RHEL7版-項目07-網(wǎng)絡(luò)配置與Firewalld防火墻的管理

“十二五”職業(yè)教育國家規(guī)劃教材

RedHatEnterpriseLinux7.3〔RHEL7.3〕Linux網(wǎng)絡(luò)操作系統(tǒng)配置與管理(第三版)主編：夏笠芹工程7網(wǎng)絡(luò)配置與Firewalld防火墻的管理課程標準(教學大綱)教學設(shè)計方案(教案)PPT電子課件教材習題參考答案模擬試卷及參考答案(4套)紅帽認證+全國技能大賽資料知識拓展&網(wǎng)絡(luò)工程解決方案附贈光盤工程7網(wǎng)絡(luò)配置與Firewalld防火墻的管理【職業(yè)知識目標】了解：網(wǎng)絡(luò)配置文件及配置方式;防火墻的概念、功能與分類；NAT效勞的概念及分類熟悉:Linux防火墻的歷史演進與架構(gòu)、firewalld防火墻的組成；NAT效勞的工作過程掌握:主機名、以太網(wǎng)卡的設(shè)置；軟路由器的配置；防火墻的配置；NAT的配置方法【職業(yè)能力目標】會配置主機名和網(wǎng)卡、路由；會配置客戶端名稱解析架設(shè)軟路由器實現(xiàn)多子網(wǎng)連通會安裝FirewallD防火墻運行管理；會使用圖形工具firewall-config配置防火墻使用命令行工具firewall-cmd配置防火墻會使用firewalld防火墻部署NAT效勞德雅職業(yè)學校校園網(wǎng)由路由器或具有路由功能的交換機連接起來的多個子網(wǎng)構(gòu)成,并通過租用電信400MB光纖接入互聯(lián)網(wǎng)。為了實現(xiàn)校園網(wǎng)內(nèi)部各子網(wǎng)和校園網(wǎng)與互聯(lián)網(wǎng)的連通,網(wǎng)絡(luò)管理員需要從以下三個方面實施網(wǎng)絡(luò)配置:網(wǎng)絡(luò)主機(終端節(jié)點)的連網(wǎng)配置:對網(wǎng)絡(luò)中所有計算機或效勞器的主機名、網(wǎng)絡(luò)接口(網(wǎng)卡)的配置(包括IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)、DNS效勞器的IP地址等),以便使同一子網(wǎng)中的主機之間能相互連通。網(wǎng)絡(luò)互連設(shè)備的配置:對內(nèi)部網(wǎng)絡(luò)中連接各子網(wǎng)的路由器和交換機的配置。其目的是實現(xiàn)不同子網(wǎng)中的主機之間能夠相互連通,主要是路由信息的配置。網(wǎng)關(guān)設(shè)備的配置:是指在校園網(wǎng)與外部互聯(lián)網(wǎng)的交界處的設(shè)備上所實施的配置。主要包括防火墻和NAT效勞的配置。通過防火墻規(guī)那么設(shè)置以保護校園內(nèi)部網(wǎng)絡(luò)中的主機(主要是效勞器);通過NAT效勞的配置以允許校園網(wǎng)內(nèi)所有配置私網(wǎng)IP地址的主機能訪問外部互聯(lián)網(wǎng),同時,外網(wǎng)的用戶也可以訪問校園網(wǎng)內(nèi)的某些效勞器。7.1工程描述7.2工程知識準備7-2-1

網(wǎng)絡(luò)配置的主要文件和對象1.網(wǎng)絡(luò)配置的主要文件及目錄路徑及文件名功能/etc/hostname用于設(shè)置和保存靜態(tài)主機名/etc/machine-info用于設(shè)置和保存靈活主機名/etc/hosts用于設(shè)置主機名映射為IP地址,從而實現(xiàn)主機名的解析/etc/sysconfig/network-scripts/網(wǎng)絡(luò)接口(網(wǎng)卡)配置文件的存放目錄/etc/resolv.conf用于對主機的DNS服務(wù)器IP地址進行配置/etc/nsswitch.conf用于指定域名解析順序/etc/services用于設(shè)置主機的不同端口對應(yīng)的網(wǎng)絡(luò)服務(wù)(一般無需修改)/usr/lib/sysctl.d/00-system.conf用于開啟或關(guān)閉路由轉(zhuǎn)發(fā)功能,從而使數(shù)據(jù)包能在不同子網(wǎng)之間轉(zhuǎn)發(fā)/etc/sysconfig/network-scripts/route-ensXX用于設(shè)置并保存靜態(tài)路由信息,從而將Linux服務(wù)器構(gòu)建為軟路由器2.網(wǎng)絡(luò)配置的主要對象——網(wǎng)絡(luò)接口與網(wǎng)絡(luò)連接網(wǎng)絡(luò)接口是指網(wǎng)絡(luò)中的計算機或網(wǎng)絡(luò)設(shè)備與其他設(shè)備實現(xiàn)通訊的進出口。這里,主要是指計算機的網(wǎng)絡(luò)接口即網(wǎng)卡設(shè)備。從RHEL7開始引入了一種新的“一致網(wǎng)絡(luò)設(shè)備命名”的方式為網(wǎng)絡(luò)接口命名,該方式可以根據(jù)固件、設(shè)備拓撲、設(shè)備類型和位置信息分配固定的名字。網(wǎng)絡(luò)接口的名稱的前兩個字符為網(wǎng)絡(luò)類型符號。如:en——示以太網(wǎng)(Ethernet)、wl表示無線局域網(wǎng)(wlan)、ww表示無線廣域網(wǎng)(wwan);接下來的字符根據(jù)設(shè)備類型或位置選擇,如:o<index>——表示內(nèi)置(onboard)于主板上的集成設(shè)備(即集成網(wǎng)卡)及索引號;s<slot>——表示是插在可以熱拔插的插槽上的獨立設(shè)備及索引號;x<MAC>——表示基于MAC地址命名的設(shè)備;p<bus>——表示PCI插槽的物理位置及編號。網(wǎng)絡(luò)連接那么是為網(wǎng)絡(luò)接口實施配置的設(shè)置集合。在同一個網(wǎng)絡(luò)接口上,可以有多套不同的設(shè)置方案,即一個網(wǎng)絡(luò)接口可以有多個網(wǎng)絡(luò)連接,但同一時間只能有一個網(wǎng)絡(luò)連接處于活動狀態(tài)。7-2-1

網(wǎng)絡(luò)配置的主要文件和對象7.2.2認識防火墻1．什么是防火墻防火墻——是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)平安域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口,能根據(jù)企業(yè)的平安策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。在邏輯上,防火墻是一個別離器、限制器和分析器,它能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的平安。2.防火墻的功能①過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包,封堵某些禁止的訪問行為②對進出網(wǎng)絡(luò)的訪問行為作出日志記錄,并提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù),實現(xiàn)對網(wǎng)絡(luò)存取和訪問的監(jiān)控審計。③對網(wǎng)絡(luò)攻擊進行檢測和告警。防火墻可以保護網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑,并通知防火墻管理員。④提供數(shù)據(jù)包的路由選擇和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),從而解決局域網(wǎng)中主機使用內(nèi)部IP地址也能夠順利訪問外部網(wǎng)絡(luò)的應(yīng)用需求。7.2.2認識防火墻3.防火墻的類型1〕按采用的技術(shù)劃分①包過濾型防火墻——在網(wǎng)絡(luò)層或傳輸層對經(jīng)過的數(shù)據(jù)包進行篩選。篩選的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)那么，通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的IP源地址、IP目的地址、傳輸協(xié)議(TCP、UDP、ICMP等)、TCP/UDP端口號等因素，來決定是否允許該數(shù)據(jù)包通過?！舶拇笮?500字節(jié)〕②代理效勞器型防火墻——是運行在防火墻之上的一種應(yīng)用層效勞器程序，它通過對每種應(yīng)用效勞編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層數(shù)據(jù)流的作用。7.2.2認識防火墻2〕按實現(xiàn)的環(huán)境劃分①軟件防火墻：學校、上前臺電腦的網(wǎng)吧普通計算機+通用的操作系統(tǒng)〔如：linux〕②硬件〔芯片級〕防火墻：基于專門的硬件平臺和固化在ASIC芯片來執(zhí)行防火墻的策略和數(shù)據(jù)加解密，具有速度快、處理能力強、性能高、價格比較昂貴的特點〔如：NetScreen、FortiNet〕通常有三個以上網(wǎng)卡接口外網(wǎng)接口：用于連接Internet網(wǎng)；內(nèi)網(wǎng)接口：用于連接代理效勞器或內(nèi)部網(wǎng)絡(luò)；DMZ接口〔非軍事化區(qū)〕：專用于連接提供效勞的效勞器群。Console口4個10/100/1000口并發(fā)連接數(shù):500000網(wǎng)絡(luò)吞吐量:1100Mbps過濾帶寬:250Mbps

CheckPointUTM-1570

7.2.2認識防火墻7.2.3Linux防火墻歷史演進與架構(gòu)1．Linux防火墻的歷史從1.1內(nèi)核開始，Linux系統(tǒng)就已經(jīng)具有包過濾功能了，隨著Linux內(nèi)核版本的不斷升級，Linux下的包過濾系統(tǒng)經(jīng)歷了如下4個階段：在2.0內(nèi)核中，包過濾的機制是ipfw，管理防火墻的命令工具是ipfwadm。在2.2內(nèi)核中，包過濾的機制是ipchain，管理防火墻的命令工具是ipchains。在2.4之后的內(nèi)核中，包過濾的機制是netfilter，防火墻的命令工具是iptables。在3.10之后的內(nèi)核中,包過濾機制是netfilter,管理防火墻的工具有firewalld、iptables等。firewalld的官網(wǎng)：2．Linux防火墻的架構(gòu)Linux防火墻系統(tǒng)由以下三層架構(gòu)的三個子系統(tǒng)組成:①內(nèi)核層的netfilter：netfilter是集成在內(nèi)核中的一局部作用是定義、保存相應(yīng)的過濾規(guī)那么。提供了一系列的表，每個表由假設(shè)干個鏈組成，而每條鏈可以由一條或假設(shè)干條規(guī)那么組成。netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)那么的容器。表→鏈→規(guī)那么的分層結(jié)構(gòu)來組織規(guī)那么②中間層效勞程序:是連接內(nèi)核和用戶的與內(nèi)核直接交互的監(jiān)控防火墻規(guī)那么的效勞程序或守護進程,它將用戶配置的規(guī)那么交由內(nèi)核中的netfilter來讀取,從而調(diào)整防火墻規(guī)那么。③用戶層工具:是Linux系統(tǒng)為用戶提供的用來定義和配置防火墻規(guī)那么的工具軟件。7.2.3Linux防火墻歷史演進與架構(gòu)表→鏈→規(guī)那么的結(jié)構(gòu)來組織規(guī)那么7.2.3Linux防火墻歷史演進與架構(gòu)7.2.4RHEL7中防火墻的構(gòu)件RHEL7中引入了一種與netfilter交互的新的中間層效勞程序firewalld(舊版中的iptables、ip6tables和ebtables等仍保存),firewalld是一個可以配置和監(jiān)控系統(tǒng)防火墻規(guī)那么的系統(tǒng)效勞程序或守護進程,該守護進程具備了對IPv4、IPv6和ebtables等多種規(guī)那么的監(jiān)控功能,不過firewalld底層調(diào)用的命令仍然是iptables等。firewalld防火墻體系結(jié)構(gòu)如圖7-2所示。7.2.4RHEL7中防火墻的構(gòu)件在RHEL7中用戶層的配置firewalld防火墻規(guī)那么的工具有以下三種:圖形工具firewall-config。命令行工具firewall-cmd。直接編輯/etc/firewalld/目錄中擴展名為.xml的一系列配置文件。為了簡化防火墻管理,firewalld將所有網(wǎng)絡(luò)流量劃分為多個區(qū)域。根據(jù)數(shù)據(jù)包源IP地址或傳入網(wǎng)絡(luò)接口等條件,流量將轉(zhuǎn)入相應(yīng)區(qū)域的防火墻規(guī)那么,firewalld提供的幾種預(yù)定義的區(qū)域及防火墻初始規(guī)那么見表7-2。7.2.4RHEL7中防火墻的構(gòu)件區(qū)域(zone)區(qū)域中包含的初始規(guī)則trusted(受信任的)允許所有流入的數(shù)據(jù)包。home(家庭)拒絕流入的數(shù)據(jù)包,允許外出及服務(wù)ssh,mdns,ipp-client,samba-client與dhcpv6-client。internal(內(nèi)部)拒絕流入的數(shù)據(jù)包,允許外出及服務(wù)ssh、mdns、ipp-client、samba-client、dhcpv6-client。work(工作)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān)或是ssh,ipp-client與dhcpv6-client服務(wù)則允許。public(公開)拒絕流入的數(shù)據(jù)包,允許外出及服務(wù)ssh、dhcpv6-client,新添加的網(wǎng)絡(luò)接口缺省的默認區(qū)域。external(外部)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān),允許外出及服務(wù)ssh、mdns、ipp-client、samba-client、dhcpv6-client,默認啟用了偽裝。dmz(隔離區(qū))拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān),允許外出及服務(wù)ssh。block(阻塞)拒絕流入的數(shù)據(jù)包,除非與輸出流量數(shù)據(jù)包相關(guān)。drop(丟棄)任何流入網(wǎng)絡(luò)的包都被丟棄,不作出任何響應(yīng),除非與輸出流量數(shù)據(jù)包相關(guān)。只允許流出的網(wǎng)絡(luò)連接。數(shù)據(jù)包要進入到內(nèi)核必須要通過這些區(qū)域(zone)中的一個,不同的區(qū)域里預(yù)定義的防火墻規(guī)那么不一樣(即信任度或過濾的強度不一樣),人們可以根據(jù)計算機所處的不同的網(wǎng)絡(luò)環(huán)境和平安需求將網(wǎng)卡連接到相應(yīng)區(qū)域(默認區(qū)域是public),并對區(qū)域中現(xiàn)有規(guī)那么進行補充完善,進而制定出更為精細的防火墻規(guī)那么來滿足網(wǎng)絡(luò)平安的要求。一塊物理網(wǎng)卡可以有多個網(wǎng)絡(luò)連接(邏輯連接),一個網(wǎng)絡(luò)連接只能連接一個區(qū)域,而一個區(qū)域可以接收多個網(wǎng)絡(luò)連接。根據(jù)不同的語法來源,firewalld包含的規(guī)那么有以下三種：標準規(guī)那么:利用firewalld的根本語法標準所制定或添加的防火墻規(guī)那么。直接規(guī)那么:當firewalld的根本語法表達不夠用時,通過手動編碼的方式直接利用其底層的iptables或ebtables的語法規(guī)那么所制定的防火墻規(guī)那么。富規(guī)那么:firewalld的根本語法未能涵蓋的,通過富規(guī)那么語法制定的復(fù)雜防火墻規(guī)那么。7.2.4RHEL7中防火墻的構(gòu)件公網(wǎng)地址與私網(wǎng)地址IP地址的分配與管理由ICANN管理機構(gòu)負責，公網(wǎng)地址必須經(jīng)申請后才能合法使用。為解決IP地址資源緊缺問題，IANA機構(gòu)將IP地址劃分了一局部出來，將其規(guī)定為私網(wǎng)地址，只能在局域網(wǎng)內(nèi)使用，不同局域網(wǎng)可重復(fù)使用。可使用的私網(wǎng)地址有：一個A類地址：16個B類地址：256個C類地址：。任務(wù)7.2.5NAT技術(shù)的概念、分類與工作過程任務(wù)7.2.5NAT技術(shù)的概念、分類與工作過程1．NAT效勞的概念及分類NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)是一種用另一個地址來替換IP數(shù)據(jù)包頭部中的源地址或目的地址的技術(shù)。根據(jù)NAT替換數(shù)據(jù)包頭部中地址的不同,NAT分為源地址轉(zhuǎn)換SNAT(SourceNAT)(IP偽裝)和目的地址轉(zhuǎn)換DNAT(DestinationNAT)兩類。SNAT技術(shù)主要應(yīng)用于在企事業(yè)單位內(nèi)部使用私網(wǎng)IP地址的所有計算機能夠訪問互聯(lián)網(wǎng)上效勞器,實現(xiàn)共享上網(wǎng),并且能隱藏內(nèi)部網(wǎng)絡(luò)的IP地址。在RHEL7系統(tǒng)內(nèi)置的防火墻中的IP偽裝功能就是SNAT技術(shù)具體實現(xiàn)方式。DNAT技術(shù)那么能讓互聯(lián)網(wǎng)中用戶穿透到企事業(yè)的內(nèi)部網(wǎng)絡(luò),訪問使用私網(wǎng)IP地址的效勞器,即無公網(wǎng)IP的內(nèi)網(wǎng)效勞器發(fā)布到互聯(lián)網(wǎng)(如發(fā)布Web網(wǎng)站和FTP站點等)。任務(wù)7.2.5NAT技術(shù)的概念、分類與工作過程2．NAT效勞器的工作過程NAT效勞器的工作過程如圖7-3所示。7.3工程實施任務(wù)7-1主機名的配置在RHEL7中,引入了靜態(tài)(static)、瞬態(tài)(transient)和靈活(pretty)三種主機名?！办o態(tài)”主機名——也稱為內(nèi)核主機名,是系統(tǒng)在啟動時從/etc/hostname自動初始化的主機名?！八矐B(tài)”主機名——是在系統(tǒng)運行時臨時分配的主機名,例如,通過DHCP或DNS效勞器分配。靜態(tài)主機名和瞬態(tài)主機名都遵從作為互聯(lián)網(wǎng)域名同樣的字符限制規(guī)那么,“靈活”主機名——是允許使用自由形式(可包括特殊/空白字符)的主機名,以展示給終端用戶(如Tom'sComputer)。選項說明如下：status——可同時查看靜態(tài)、瞬態(tài)和靈活三種主機名及其相關(guān)的設(shè)置信息。--static——僅查看靜態(tài)(永久)主機名。--transient——僅查看瞬態(tài)(臨時)主機名。--pretty——僅查看靈活主機名。任務(wù)7-1主機名的配置hostnamectl[status][--static|--transient|--pretty]1.查看主機名查看主機名的命令一般格式如下:[root@dyzx~]#hostnamectlstatusStatichostname:dyzxIconname:computer-vmChassis:vmMachineID:ebcaefed3f4d4359a7113ab85ec89629BootID:76f5e89582ff4e62930bfc2f5ee33aa6Virtualization:vmwareOperatingSystem:RedHatEnterpriseLinuxServer7.3(Maipo)CPEOSName:cpe:/o:redhat:enterprise_linux:7.3:GA:serverArchitecture:x86-64查看、修改瞬態(tài)(臨時)主機名的命令如下:任務(wù)7-1主機名的配置hostnamectl[--static|--transient|--pretty]set-hostname<新主機名>2.修改主機名修改主機名的命令一般格式如下:[root@dyzx~]#hostnamectl--transient //查看修改前的瞬態(tài)主機名dyzx[root@dyzx~]#hostnamectl--transientset-hostnameserver1 //修改瞬態(tài)主機名[root@dyzx~]#hostnamectl--transient //查看修改后的瞬態(tài)主機名server1查看、修改靜態(tài)(永久)主機名的命令如下:[root@dyzx~]#hostnamectl--static //查看修改前的靜態(tài)主機名dyzx[root@dyzx~]#hostnamectl--staticset-hostnameserver2 //修改靜態(tài)主機名[root@dyzx~]#hostnamectl--static //查看修改后的靜態(tài)主機名server2當用hostnamectl命令修改靜態(tài)主機名后,/etc/hostname文件中保存的主機名會被自動更新,而/etc/hosts文件中的主機名卻不會自動更新,因此,在每次修改主機名后,一定要手工更新/etc/hosts文件,在其中添加新的主機名與IP地址的映射關(guān)系任務(wù)7-1主機名的配置[root@dyzx~]#bash //重新開啟Shell[root@server2~]#2.修改主機名查看在設(shè)置新的靜態(tài)主機名后,會立即修改內(nèi)核主機名,只是在提示符中“@”后面的主機名還未自動刷新,此時,只要執(zhí)行重新開啟Shell登錄命令,便可在提示符中顯示新的主機名。[root@server2~]#vim/etc/hosts localhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1 localhostlocalhost.localdomainlocalhost6localhost6.localdomain61 sever2 //添加此行,其中是本機的IP地址:wq //保存退出由上可見,在修改靜態(tài)/瞬態(tài)主機名時,任何特殊字符或空白字符會被移除,并且大寫字母會自動轉(zhuǎn)化為小寫字母,而靈活主機名那么保持了原樣,這正是起名為靈活主機名的緣由。任務(wù)7-1主機名的配置[root@server2~]#hostnamectlset-hostname"Zhang3'sComputer"[root@server2~]#hostnamectl--static //查看靜態(tài)主機名zhang3scomputer[root@server2~]#hostnamectl--transient //查看瞬態(tài)主機名zhang3scomputer[root@server2~]#hostnamectl--pretty //查看靈活主機名Zhang3'sComputer2.修改主機名同時修改靜態(tài)、瞬態(tài)和靈活三種主機名的命令如下:任何一臺計算機要連接到網(wǎng)絡(luò),都需要對該機的網(wǎng)絡(luò)接口進行配置,而對網(wǎng)絡(luò)接口的配置,實際上就是在網(wǎng)絡(luò)接口上添加一個或多個網(wǎng)絡(luò)連接。添加網(wǎng)絡(luò)連接的方式有兩種：添加臨時生效的網(wǎng)絡(luò)連接:該方式適合在調(diào)試網(wǎng)絡(luò)時臨時使用。這種方式雖然在設(shè)置后能馬上生效,但由于是直接修改目前運行內(nèi)核中的網(wǎng)絡(luò)參數(shù),并未改動網(wǎng)絡(luò)連接配置文件中的內(nèi)容,因此在系統(tǒng)或網(wǎng)絡(luò)效勞重啟后會失效。持久生效的網(wǎng)絡(luò)連接配置:此方式是對存放網(wǎng)絡(luò)連接參數(shù)的配置文件進行修改或設(shè)置,適合在長期穩(wěn)定運行的計算機上使用。其配置工具有vim、nmtui和nmcli等。任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置1．使用ip命令配置臨時生效的網(wǎng)絡(luò)連接命令用法功能ip[-s]addrshow[網(wǎng)卡設(shè)備名]查看網(wǎng)卡在網(wǎng)絡(luò)層的配置信息,加-s表示增添顯示相關(guān)統(tǒng)計信息,如接收(RX)及傳送(TX)的數(shù)據(jù)包數(shù)量等ip[-s]linkshow[網(wǎng)卡設(shè)備名]查看網(wǎng)卡在鏈路層的配置信息ip[-4]addradd|delIP地址[/掩碼長度]dev網(wǎng)卡連接名ip-6addradd|delIP地址[/掩碼長度]dev網(wǎng)卡連接名添加或刪除網(wǎng)卡的臨時IPv4地址添加或刪除網(wǎng)卡的臨時IPv6地址iplinksetdev網(wǎng)卡的設(shè)備名down|up禁用|啟用指定網(wǎng)卡任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置1．使用ip命令配置臨時生效的網(wǎng)絡(luò)連接【例7-1】在RHEL7-1主機上,為網(wǎng)卡ens33臨時添加一個IP地址1/24,并查看其配置結(jié)果。在重啟網(wǎng)卡后再次查看配置的結(jié)果。操作的命令如下:任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置[root@RHEL7-1~]#ipaddrshowens33//查看接口ens33當前的IP地址和子網(wǎng)掩碼2:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscpfifo_faststate?UPqlen1000

?link/ether00:0c:29:3d:b8:92brdff:ff:ff:ff:ff:ff

??brd55scopeglobalens33valid_lftforeverpreferred_lftforever

?inet6fe80::1671:5718:ea13:ef42/64scopelinkvalid_lftforeverpreferred_lftforever?已啟用的活動接口的狀態(tài)為UP,禁用接口的狀態(tài)為DOWN。?link行指定網(wǎng)卡設(shè)備的硬件(MAC)地址。?inet行顯示IPv4地址和網(wǎng)絡(luò)前綴(子網(wǎng)掩碼)。?播送地址、作用域和網(wǎng)卡設(shè)備的名稱。?inet6行顯示IPv6信息。1．使用ip命令配置臨時生效的網(wǎng)絡(luò)連接任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置[root@RHEL7-1~]#ipaddradd6/24devens33 //在接口ens33上添加臨時IP地址

[root@RHEL7-1~]#ipaddrshowens332:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscpfifo_faststateUPqlen1000link/ether00:0c:29:3d:b8:92brdff:ff:ff:ff:ff:ffvalid_lftforeverpreferred_lftforevervalid_lftforeverpreferred_lftforeverinet6fe80::1671:5718:ea13:ef42/64scopelinkvalid_lftforeverpreferred_lftforever[root@RHEL7-1~]#iplinksetdevens33down[root@RHEL7-1~]#iplinksetdevens33up

[root@RHEL7-1~]#ipaddrshow //顯示所有網(wǎng)絡(luò)接口的當前IP地址和子網(wǎng)掩碼//省略顯示結(jié)果2．用vim直接編輯持久生效的網(wǎng)卡配置文件【例7-2】在RHEL7-1主機上,通過編輯網(wǎng)絡(luò)連接配置文件為網(wǎng)卡ens33配置網(wǎng)絡(luò)參數(shù)。其配置方法如下:任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet //指定網(wǎng)絡(luò)類型為以太網(wǎng)模式BOOTPROTO=none //指定啟動地址協(xié)議的獲取方式(dhcp或bootp為自動獲取,none //為放棄自動獲取,一般用于網(wǎng)卡綁定時,static為靜態(tài)指定IPDEFROUTE=yes //是否把這個ens38設(shè)置為默認路由IPV4_FAILURE_FATAL=no //如果IPv4配置失敗,設(shè)備是否被禁用IPV6INIT=yes //允許在該網(wǎng)卡上啟動IPV6的功能IPV6_AUTOCONF=yes //是否使用IPV6地址的自動配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33 //網(wǎng)絡(luò)連接標識名UUID=00decbce-3c43-47f1-82a6-627cbd80188f //網(wǎng)卡全球通用唯一識別碼DEVICE=ens33 //網(wǎng)卡設(shè)備名ONBOOT=yes //設(shè)置系統(tǒng)或網(wǎng)絡(luò)效勞在啟動時是否啟動該接口IPADDR=1 //設(shè)置IP地址PREFIX=24 //設(shè)置子網(wǎng)掩碼GATEWAY=54 //設(shè)置網(wǎng)關(guān)DNS1= //設(shè)置DNS的IP地址IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A //網(wǎng)卡的物理地址(也稱網(wǎng)卡號)[root@dyzxnetwork-scripts]#systemctlrestartnetwork.service //重啟網(wǎng)絡(luò)效勞,使配置生效3．用nmtui工具修改網(wǎng)卡配置文件【例7-3】使用nmtui工具,為RHEL7-1主機的第二塊網(wǎng)卡ens38配置網(wǎng)絡(luò)參數(shù)。其配置步驟如下:步驟1:檢查nmtui工具相應(yīng)的效勞是否啟用。RHEL7默認已安裝,并已開啟了相應(yīng)的效勞(NetworkManager.service)。假設(shè)nmtui工具的安裝包已卸載可用以下命令進行安裝、啟用并檢查啟用狀態(tài)。[root@RHEL7-1~]#yuminstallNetworkManager-tui[root@RHEL7-1~]#systemctlstartNetworkManager.service[root@RHEL7-1~]#systemctlstatusNetworkManager.service步驟2:在命令行執(zhí)行以下命令:[root@rhel7-1~]#nmtui步驟3:在翻開的【NetworkManag】窗口中按圖7-4所示完成操作。任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置3．用nmtui工具修改網(wǎng)卡配置文件步驟4:系統(tǒng)返回【以太網(wǎng)】窗口,按【Tab】鍵將焦點移至【<Back>】→按【Enter】鍵→在返回的【NetworkManag】窗口中使用光標下移鍵將焦點移至【退出】選項→按【Enter】鍵后系統(tǒng)退出nmtui工具。步驟5:在命令行下,執(zhí)行重啟網(wǎng)絡(luò)效勞命令,使配置生效。[root@RHEL7-1]#systemctlrestartnetwork.service任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置4.使用nmcli命令配置網(wǎng)絡(luò)連接命令用法功能nmclidevstatus顯示所有網(wǎng)卡設(shè)備的狀態(tài)nmcliconshow[-active][網(wǎng)絡(luò)連接名]顯示所有或活動的或指定的網(wǎng)絡(luò)連接nmcliconaddcon-name網(wǎng)絡(luò)連接名typeethernetifname網(wǎng)絡(luò)接口名稱[ip4ip地址/前綴gw4默認網(wǎng)關(guān)]為指定的網(wǎng)卡設(shè)備添加網(wǎng)絡(luò)連接,并以“ifcfg-連接名”名稱保存其配置文件nmcliconmod網(wǎng)絡(luò)連接名ipv4.add“ip地址/前綴

默認網(wǎng)關(guān)”修改并保存指定網(wǎng)絡(luò)連接中的IP地址和網(wǎng)關(guān)nmcliconup網(wǎng)絡(luò)連接名將綁定到網(wǎng)絡(luò)接口上指定的網(wǎng)絡(luò)連接激活nmclidevdis網(wǎng)絡(luò)連接名將綁定到網(wǎng)絡(luò)接口上指定的網(wǎng)絡(luò)連接關(guān)閉nmclicondel網(wǎng)絡(luò)連接名刪除指定的網(wǎng)絡(luò)連接及其配置文件nmcliconreload重新讀取網(wǎng)絡(luò)連接配置文件,使其修改生效任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置【例7-4】使用nmcli命令完成以下系列操作：①查看當前主機中所有網(wǎng)卡設(shè)備的狀態(tài)信息。任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置[root@rhel7-1~]#nmclidevstatus設(shè)備

類型

狀態(tài) CONNECTIONEns33 ethernet 連接的 ens33Ens38 ethernet 已斷開 --Lo loopback 未管理 --②查看網(wǎng)絡(luò)連接的信息。[root@RHEL7-1~]#nmcliconshow //查看所有網(wǎng)絡(luò)連接 名稱 UUID 類型 設(shè)備Ens33 0243e05a-81f0-4671-93e0-55a4be1dcdbe 802-3-ethernet ens33Ens38 e3e26e34-e13c-48d2-bb51-d19caaeb0d15 802-3-ethernet --[root@RHEL7-1~]#nmcliconshowens33 //查看指定網(wǎng)絡(luò)連接的詳細信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbeconnection.stable-id: --erface-name:ens33connection.type: 802-3-ethernet//省略假設(shè)干行任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置③在ens33設(shè)備上添加網(wǎng)絡(luò)連接名為ens33-1的新連接。[root@RHEL7-1~]#成功添加的連接'ens33-1'(b926e70b-07c6-4934-b020-9f95a1777f4e)。[root@RHEL7-1~]#nmcliconshow名稱 UUID 類型

設(shè)備Ens33 0243e05a-81f0-4671-93e0-55a4be1dcdbe 802-3-ethernet ens33Ens38 e3e26e34-e13c-48d2-bb51-d19caaeb0d15 802-3-ethernet --ens33-1 b926e70b-07c6-4934-b020-9f95a1777f4e 802-3-ethernet --④修改ens33-1網(wǎng)絡(luò)連接在其中添加首選DNS的IP地址和輔助DNS的IP地址[root@RHEL7-1~]#[root@RHEL7-1~]#⑤修改ens33網(wǎng)絡(luò)連接,使得開機時能自動啟動,并將IP地址/前綴修改為。[root@RHEL7-1~]#[root@RHEL7-1~]#nmcliconupens33 //激活連接使修改后的配置立即生效⑥刪除網(wǎng)絡(luò)連接ens33-1及其配置文件。[root@RHEL7-1~]#nmcliconnectiondeleteens33-15.為Linux主機指派域名解析(1)通過/etc/hosts文件實現(xiàn)域名解析【例7-5】添加主機名與IP地址的對應(yīng)記錄。[root@RHEL7-1~]#vim/etc/hostslocalhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain67 任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置(2)通過/etc/resolv.conf文件指派域名解析效勞的地址【例7-6】為當前主機設(shè)置如下DNS主機地址、。[root@RHEL7-1~]#vim/etc/resolv.conf#GeneratedbyNetworkManager5.為Linux主機指派域名解析(3)指定域名解析的順序/etc/hosts和/etc/resolv.conf文件均可響應(yīng)域名解析的請求,其響應(yīng)的先后順序可在文件/etc/nsswitch.conf中設(shè)置,其默認解析順序為hosts文件、resolv.conf文件中的DNS效勞器。[root@RHEL7-1~]#grephosts/etc/nsswitch.conf#hosts:dbfilesnisplusnisdnshosts:filesdns //其中的files代表用hosts文件來進行名稱解析任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置6．測試網(wǎng)絡(luò)的連通性(1)使用ping命令測試網(wǎng)絡(luò)的連通性命令一般格式為:ping[選項]<目標主機名或IP地址>常用選項:-c數(shù)字——用于設(shè)定本命令發(fā)出的ICMP消息包的數(shù)量,假設(shè)無此選項,那么會無限次發(fā)送消息包直到用戶按下【Ctrl+C】組合鍵才終止命令。-s字節(jié)數(shù)——設(shè)置ping命令發(fā)出的消息包的大小,默認發(fā)送的測試數(shù)據(jù)大小為56字節(jié);自動添加8字節(jié)的ICMP協(xié)議頭后,顯示的是64字節(jié);再添加20字節(jié)的IP協(xié)議頭,那么顯示的為84字節(jié)。最大設(shè)置值為65507B。-i時間間隔量——設(shè)定前后兩次發(fā)送ICMP消息包之間的時間間隔,無此選項時,默認時間間隔為1秒。為了保障本機和目標主機的平安,一般不要小于0.2秒。-t——設(shè)置存活時間TTL(TimeToLive)。【例7-7】使用ping命令,向百度網(wǎng)站(baidu)發(fā)送三個測試數(shù)據(jù)包。[root@RHEL7-1~]#任務(wù)7-2網(wǎng)絡(luò)接口(網(wǎng)卡)的配置6．測試網(wǎng)絡(luò)的連通性(2)使用tracepath命令跟蹤并顯示網(wǎng)絡(luò)路徑命令一般格式為:tracepath[選項]<目標主機名或目標IP地址>常用選項:-n——對沿途各主機節(jié)點,僅僅獲取并輸出IP地址,不在每個IP地址的節(jié)點設(shè)備上通過DNS查找其主機名,以此來加快測試速度。-b——對沿途各主機節(jié)點同時顯示IP地址和主機名。-l包長度——設(shè)置初始的數(shù)據(jù)包的大小。-p端口號——設(shè)置UDP傳輸協(xié)議的端口(缺省為33434)?！纠?-8】跟蹤從本主機到目標主機(如rednet)的路由途徑。[root@RHEL7-1~]#1?:[LOCALHOST]pmtu15001:noreply2:2.957ms……//省略假設(shè)干行Resume:pmtu1500hops10back10本任務(wù)針對圖7-5中(具有3個子網(wǎng))各主機及其網(wǎng)卡(網(wǎng)卡1～網(wǎng)卡6)進行配置,使得主機PC1與主機PC2之間的鏈路能雙向連通。其配置步驟如下:步驟1:按任務(wù)7-2中介紹的方法,依據(jù)圖7-5標示的IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)等參數(shù)配置各網(wǎng)卡。任務(wù)7-3

架設(shè)軟路由器實現(xiàn)多子網(wǎng)連通步驟2:在RHEL7-1和RHEL7-2兩臺主機上開啟IP轉(zhuǎn)發(fā)功能,以使各主機中的網(wǎng)卡不僅能收發(fā)數(shù)據(jù)包還能轉(zhuǎn)發(fā)數(shù)據(jù)包。在RHEL7-1主機上開啟IP轉(zhuǎn)發(fā)功能的過程如下(RHEL7-2上的操作方式相同):[root@RHEL7-1~]#vim/usr/lib/sysctl.d/00-system.conf…… //省略假設(shè)干行net.ipv4.ip_forward=1 //添加此行或?qū)⒋诵兄械摹?”改為“1”:wq //保存退出[root@RHEL7-1~]#sysctl-p/usr/lib/sysctl.d/00-system.conf //使修改生效(系統(tǒng)會顯示配置參數(shù))任務(wù)7-3

架設(shè)軟路由器實現(xiàn)多子網(wǎng)連通步驟3:為了實現(xiàn)子網(wǎng)1與子網(wǎng)3之間永久生效的雙向連通,需要在路由器RHEL7-1的ens38網(wǎng)卡上和RHEL7-2的ens33網(wǎng)卡上分別添加永久生效的靜態(tài)路由記錄:[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/route-ens38/24viadevens38 //添加從子網(wǎng)1到子網(wǎng)3的路由[root@RHEL7-1~]#systemctlrestartnetwork //重啟網(wǎng)絡(luò)效勞使配置生效[root@RHEL7-2~]#vim/etc/sysconfig/network-scripts/route-ens33/24viadevens33 //添加從子網(wǎng)3到子網(wǎng)1的路由[root@RHEL7-2~]#systemctlrestartnetwork //重啟網(wǎng)絡(luò)效勞使配置生效[root@RHEL7-2~]#iprouteshow //查看RHEL7-2上的路由表信息步驟4:在PC1上添加永久生效的能到達子網(wǎng)2(/24)和子網(wǎng)3(/24)的靜態(tài)路由,在PC2上添加永久生效的能到達其他子網(wǎng)的默認路由,如圖7-6所示。命令功能Linux系統(tǒng)中的命令格式Windows系統(tǒng)中的命令格式顯示路由表iprouteshowrouteprint[-4|-6]添加或刪除iprouteadd|del目標地址/子網(wǎng)掩碼via網(wǎng)關(guān)route[-p]add|delete目標地址mask掩碼網(wǎng)關(guān)metric躍點數(shù)添加或刪除默認路由iprouteadd|deldefaultvia網(wǎng)關(guān)dev網(wǎng)絡(luò)接口route[-p]add|deletemask掩碼網(wǎng)關(guān)metric躍點數(shù)(-p表示添加或刪除保存到注冊表中的永久路由記錄)任務(wù)7-3

架設(shè)軟路由器實現(xiàn)多子網(wǎng)連通步驟5:驗證連通性。在PC1和PC2主機上關(guān)閉各自的防火墻→使用ping命令''ping"對方的IP地址來測試連通性.如圖7-7所示→使用tracert命令跟蹤并顯示所經(jīng)過的路徑,如圖7-8所示。任務(wù)7-3

架設(shè)軟路由器實現(xiàn)多子網(wǎng)連通1．安裝firewalld軟件包任務(wù)7-4

firewalld防火墻的安裝與運行管理[root@RHEL7-1~]#rpm-qa|grepfirewall[root@RHEL7-1~]#yum-yinstallfirewalldfirewall-config2．firewall效勞的運行管理ss-nutap|grepfirewalld(1)firewalld防火墻的狀態(tài)查看、啟動、停止、重啟、重載效勞的命令格式為:systemctlstatus|start|stop|restart|reloadfirewalld.service(2)開機自動啟動或停止firewalld效勞的命令格式為:systemctlenable|disablefirewalld.service(3)檢查firewalld進程ps-ef|grepfirewalld(4)查看firewalld運行的端口1.認識firewall-config的工作界面任務(wù)7-5使用圖形工具firewall-config配置防火墻1.認識firewall-config的工作界面任務(wù)7-5使用圖形工具firewall-config配置防火墻標簽名稱標簽的設(shè)置功能服務(wù)定義哪些區(qū)域的服務(wù)是可信的?？尚诺姆?wù)可以綁定該區(qū)的任意連接、接口和源地址。端口用于添加并設(shè)置允許訪問的主機或者網(wǎng)絡(luò)的附加端口或端口范圍。協(xié)議用于添加所有主機或網(wǎng)絡(luò)均可訪問的協(xié)議源端口添加額外的源端口或范圍,它們對于所有可連接至這臺主機的所有主機或網(wǎng)絡(luò)都需要是可以訪問的。偽裝將本地的私有網(wǎng)絡(luò)的多個IP地址進行隱藏并映射到一個公網(wǎng)IP,偽裝功能目前只能適用于ipv4。端口轉(zhuǎn)發(fā)將本地系統(tǒng)的(源)端口映射為本地系統(tǒng)或其他系統(tǒng)的另一個(目標)端口,此功能只適應(yīng)于IPv4ICMP過濾器可以選擇Internet控制報文協(xié)議的報文。這些報文可以是信息請求亦可是對信息請求或錯誤條件創(chuàng)建的響應(yīng)富規(guī)則用于同時基于服務(wù)、主機地址、端口號等多種因素,進行更詳細、更復(fù)雜的規(guī)則設(shè)置,優(yōu)先級最高。接口用于為所選區(qū)域綁定相應(yīng)的網(wǎng)絡(luò)接口(即網(wǎng)卡)來源用于為所選區(qū)域添加來源地址或地址范圍2.firewall-config的使用【例7-9】允許其他主機訪問本機的效勞,僅當前生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用【例7-10】開放本機的8080-8088端口且重啟后依然生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用【例7-11】過濾“echo-reply”的ICMP協(xié)議報文數(shù)據(jù)包,僅當前生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用【例7-12】僅允許主機訪問本機()的1520端口,當前生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻2.firewall-config的使用【例7-13】將本機的網(wǎng)絡(luò)接口ens38添加到dmz區(qū)域,僅運行時生效。任務(wù)7-5使用圖形工具firewall-config配置防火墻firewall-cmd命令一般格式為:任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻firewall-cmd參數(shù)1[參數(shù)2][參數(shù)3]……參數(shù)作用--state查詢當前防火墻狀態(tài)--panic-on拒絕所有包。--permanent永久生效的設(shè)置。永久選項不直接影響運行時的狀態(tài),僅在重載或者重啟服務(wù)時可用--reload重新加載“永久”生效的配置規(guī)則,使其立即生效,否則要重啟后才生效--zone=<區(qū)域名稱>指定區(qū)域,若未指定區(qū)域則為當前默認區(qū)域--get-service查看當前激活services.取得當前支持service--get-active-zones查看當前活動區(qū)域(已經(jīng)有網(wǎng)絡(luò)接口連接的區(qū)域)--get-service--permanent查看當前服務(wù)配置是否生啟后還是生效--get-default-zone查詢當前默認的區(qū)域--set-default-zone=<區(qū)域名稱>將指定區(qū)域設(shè)置為默認區(qū)域,。此命令會改變運行時配置和永久配置--list-ports查看默認區(qū)域或指定區(qū)域的端口--list-services查看所有允許的服務(wù)--list-all[--zone=<區(qū)域名>]顯示指定區(qū)域全部啟用的特性。若省略區(qū)域,將顯示默認區(qū)域的信息--list-all-zones顯示所有區(qū)域的特性(網(wǎng)卡配置參數(shù),資源,端口以及服務(wù)等信息。--get-zones顯示所有可用的區(qū)域。列出當前有幾個zone--get-services顯示預(yù)先定義的服務(wù)--get-active-zones顯示當前正在使用(被網(wǎng)卡或源關(guān)聯(lián))的所有區(qū)域--add-source=將來源于此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域--remove-source=不再將此IP或子網(wǎng)的流量導(dǎo)向某個指定區(qū)域任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻參數(shù)作用--get-active-zones顯示當前正在使用(被網(wǎng)卡或源關(guān)聯(lián))的所有區(qū)域--add-source=將來源于此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域--remove-source=不再將此IP或子網(wǎng)的流量導(dǎo)向某個指定區(qū)域--add-interface=<網(wǎng)卡名稱>將來自于該網(wǎng)卡的所有流量都導(dǎo)向某個指定區(qū)域--change-interface=<網(wǎng)卡名稱>將指定的網(wǎng)卡接口修改到指定的區(qū)域,即將接口添加到選定的區(qū)域--remove-interface=<網(wǎng)卡名稱>從區(qū)域中刪除一個接口--query-interface=<網(wǎng)卡名稱>查詢區(qū)域中是否包含某接口--add-service=<服務(wù)名>設(shè)置默認區(qū)域或指定區(qū)域允許該服務(wù)的流量(添加開放的服務(wù))--remove-service=<服務(wù)名>禁用區(qū)域中的指定服務(wù)--query-service=<服務(wù)名>查詢區(qū)域中的服務(wù)是否啟用--add-port=<端口號>[-<端口號>]/協(xié)議>啟用區(qū)域中的一個端口-協(xié)議組合--remove-port=<端口號>[-<端口號>]/協(xié)議>禁用區(qū)域中的一個端口-協(xié)議組合--query-port=<端口號>[-<端口號>]/協(xié)議>查詢區(qū)域中的端口-協(xié)議組合是否啟用[--zone=<zone>]--add-masquerade啟用偽裝。私有網(wǎng)絡(luò)的地址將被隱藏并映射到一個公有IP。這是地址轉(zhuǎn)換的一種形式,常用于路由。由于內(nèi)核的限制,偽裝功能僅可用于IPv4[--zone=<zone>]--remove-masquerade禁止區(qū)域中的偽裝的狀態(tài)[--zone=<zone>]--query-masquerade查詢區(qū)域中的偽裝的狀態(tài)[--zone=<zone>]--add-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}在指定區(qū)域或默認區(qū)域中啟用端口轉(zhuǎn)發(fā)或映射--panic-on|off啟動/關(guān)閉應(yīng)急狀況模式,應(yīng)急狀況模式啟動后會禁止所有的網(wǎng)絡(luò)連接,一切服務(wù)的請求也都會被拒絕【例7-14】假設(shè)在內(nèi)網(wǎng)架設(shè)了一臺Web效勞器,IP地址是,端口是80,設(shè)置內(nèi)網(wǎng)網(wǎng)段中的主機均可以訪問此Web效勞器,如圖7-16所示。步驟1:按圖7-16所示配置各主機和網(wǎng)卡參數(shù)→在RHEL7-2主機上重啟Firewalld防火墻→查看當前防火墻的配置。[root@RHEL7-2~]#systemctlrestartfirewalld.service[root@RHEL7-2~]#firewall-cmd--list-all任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻步驟2:查看當前的默認區(qū)域→查詢ens33網(wǎng)卡所屬的區(qū)域→設(shè)置默認區(qū)域為dmz→將ens33網(wǎng)卡永久移至dmz區(qū)域→重新載入防火墻設(shè)置使上述設(shè)置立即生效[root@RHEL7-2~]#firewall-cmd--get-default-zonepublic[root@RHEL7-2~]#firewall-cmd--get-zone-of-interface=ens33public[root@RHEL7-2~]#firewall-cmd--set-default-zone=dmz[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--change-interface=ens33[root@RHEL7-2~]#firewall-cmd--reload步驟3:安裝d效勞軟件包→啟用d效勞→創(chuàng)立網(wǎng)站的測試首頁。[root@RHEL7-2~]#yum-yinstalld[root@RHEL7-2~]#systemctlstartd.service[root@RHEL7-2~]#echo"防火墻配置測試">/var/www/html/index.html任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻步驟4:測試:在本機可成功訪問網(wǎng)站→在網(wǎng)段中的其他主機上訪問失敗。[root@RHEL7-2~]#防火墻配置測試 //在本機RHEL7-2上訪問成功[root@RHEL7-1~]#curl:(7)Failedconnectto:80;沒有到主機的路由

//在其他主機RHEL7-1上訪問失敗步驟5:在dmz區(qū)域允許效勞流量通過,要求立即生效且永久有效。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-service=[root@RHEL7-2~]#firewall-cmd--reload步驟6:在網(wǎng)段的其他主機上再次訪問網(wǎng)站便可成功。[root@RHEL7-1~]#防火墻配置測試任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻【例7-15】為了平安起見,將【例7-14】中的Web效勞器工作在8080端口,現(xiàn)要求通過端口轉(zhuǎn)換,讓用戶能通過“”的地址格式訪問。步驟1:配置d效勞,使其工作在8080端口→重啟d效勞。[root@RHEL7-2~]#vim/etc/d/conf/d.conf…… //省略假設(shè)干行Listen8080 //42行:將d監(jiān)聽端口修改為8080…… //省略假設(shè)干行:wq //保存退出[root@RHEL7-2~]#systemctlrestartd.service步驟2:允許8080與8088端口流量通過dmz區(qū)域,立即生效且永久生效;查看對端口的操作是否成功。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-port=8080-8088/tcp[root@RHEL7-2~]#firewall-cmd--reload[root@RHEL7-2~]#firewall-cmd--zone=dmz--list-ports8080-8088/tcp[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--list-ports8080-8088/tcp任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻步驟3:初步測試。在本機和其他主機上使用“://:8080”格式訪問均能成功,而使用“”格式訪問均失敗。[root@RHEL7-1~]#curl://:8080防火墻配置測試[root@RHEL7-2~]#curl://:8080防火墻配置測試[root@RHEL7-2~]#curl:(7)Failedconnectto:80;拒絕連接步驟4:添加一條永久生效的富規(guī)那么,把從網(wǎng)段進入的數(shù)據(jù)流的目標80端口轉(zhuǎn)換為8080端口→讓以上配置立即生效→查看dmz區(qū)域的配置結(jié)果。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-rich-rule="rulefamily=ipv4sourceaddress=/24forward-portport=80protocol=tcpto-port=8080"[root@RHEL7-2~]#firewall-cmd--reload[root@RHEL7-2~]#firewall-cmd--list-allzone=dmz任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻步驟5:添加一條富規(guī)那么,拒絕網(wǎng)段的用戶訪問效勞。[root@RHEL7-2~]#步驟6:測試。在網(wǎng)段的某臺主機中,在翻開的瀏覽器的地址欄中輸入“”,假設(shè)能成功訪問,那么說明防火墻成功地將80端口轉(zhuǎn)換到了8080端口,如圖7-17所示。。任務(wù)7-6

使用命令行工具firewall-cmd配置防火墻通過端口轉(zhuǎn)發(fā),使非標準的Web效勞端口(8080)轉(zhuǎn)換為標準的80端口,使網(wǎng)絡(luò)用戶能通過80端口方便地訪問內(nèi)網(wǎng)中8080端口的Web效勞器?！纠?-16】部署SNAT和DNAT效勞,使得內(nèi)部網(wǎng)絡(luò)的計算機均能訪問互聯(lián)網(wǎng)且互聯(lián)網(wǎng)中的用戶能訪問內(nèi)部網(wǎng)絡(luò)中的Web效勞器,網(wǎng)絡(luò)結(jié)構(gòu)及配置參數(shù)如圖7-18所示。任務(wù)7-7使用firewalld防火墻部署NAT效勞1.使用SNAT技術(shù)實現(xiàn)共享上網(wǎng)SNAT主要通過在連接互聯(lián)網(wǎng)的外部