項(xiàng)目3 -熟悉云網(wǎng)絡(luò)基礎(chǔ)命令

項(xiàng)目3熟悉云網(wǎng)絡(luò)基礎(chǔ)命令《云網(wǎng)絡(luò)技術(shù)項(xiàng)目教程》目錄/Contents33-1項(xiàng)目3熟悉云網(wǎng)絡(luò)基礎(chǔ)命令使用Iptables控制網(wǎng)絡(luò)流量3-2任務(wù)3-1構(gòu)建Linux服務(wù)器網(wǎng)絡(luò)項(xiàng)目3熟悉云網(wǎng)絡(luò)基礎(chǔ)命令項(xiàng)目描述

為提升企業(yè)運(yùn)營(yíng)效率，公司決定建設(shè)數(shù)據(jù)中心，集中管理各種應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)，優(yōu)化業(yè)務(wù)流程、改進(jìn)產(chǎn)品和服務(wù)。考慮到基礎(chǔ)硬件的使用效率，項(xiàng)目經(jīng)理決定采用虛擬化技術(shù)對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源進(jìn)行虛擬化和統(tǒng)一管理，要求王亮熟悉網(wǎng)絡(luò)虛擬化的相關(guān)知識(shí)和技術(shù)，在公司采購(gòu)的四臺(tái)服務(wù)器上安裝CentOS8網(wǎng)絡(luò)操作系統(tǒng)，遠(yuǎn)程登陸系統(tǒng)后配置靜態(tài)路由實(shí)現(xiàn)4臺(tái)服務(wù)器的網(wǎng)絡(luò)互聯(lián)。使用云網(wǎng)絡(luò)中的重要工具Iptables實(shí)現(xiàn)源地址和目標(biāo)地址轉(zhuǎn)換。

項(xiàng)目3熟悉云網(wǎng)絡(luò)基礎(chǔ)命令項(xiàng)目3任務(wù)1思維導(dǎo)圖如圖3-1所示。圖3-1項(xiàng)目3任務(wù)思維導(dǎo)圖任務(wù)3-1構(gòu)建Linux服務(wù)器網(wǎng)絡(luò)3.1.1任務(wù)描述3.1.2必備知識(shí)3.1.3使用VMware安裝CentOS8模板機(jī)3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.1.5配置靜態(tài)路由實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)學(xué)習(xí)目標(biāo)【知識(shí)目標(biāo)】（1）掌握Linux網(wǎng)絡(luò)操作系統(tǒng)的發(fā)展和分類(lèi)。（2）掌握CentOS8的安裝與登陸方法。（3）掌握Linux靜態(tài)路由的配置方法。學(xué)習(xí)目標(biāo)【技能目標(biāo)】（1）能夠使用VMware安裝使用CentOS8模板機(jī)。（2）能夠配置靜態(tài)路由實(shí)現(xiàn)4臺(tái)服務(wù)器網(wǎng)絡(luò)互聯(lián)?！揪W(wǎng)絡(luò)拓?fù)洹咳蝿?wù)3-1的網(wǎng)絡(luò)拓?fù)淙鐖D3-2所示。圖3-2任務(wù)3-1網(wǎng)絡(luò)拓?fù)?.1.2必備知識(shí)1.Linux系統(tǒng)概況 Linux是一套自由加開(kāi)放源代碼的類(lèi)UNIX操作系統(tǒng)，誕生于1991年10月5日（第一次正式向外公布），由芬蘭學(xué)生LinusTorvalds和后來(lái)陸續(xù)加入的眾多愛(ài)好者共同開(kāi)發(fā)完成，Linux是一個(gè)基于POSIX和UNIX的多用戶(hù)、多任務(wù)，支持多線(xiàn)程和多CPU的操作系統(tǒng)。Linux能運(yùn)行主要的UNIX工具軟件、應(yīng)用程序和網(wǎng)絡(luò)協(xié)議，可支持32位和64位硬件。Linux繼承了UNIX以網(wǎng)絡(luò)為核心的設(shè)計(jì)思想，是一個(gè)性能穩(wěn)定的多用戶(hù)網(wǎng)絡(luò)操作系統(tǒng)。Linux存在著許多不同的版本，但它們都使用了Linux內(nèi)核，可安裝在各種計(jì)算機(jī)設(shè)備中，如手機(jī)、平板電腦、路由器、視頻游戲控制臺(tái)、臺(tái)式計(jì)算機(jī)、大型機(jī)和超級(jí)計(jì)算機(jī)。嚴(yán)格來(lái)講，Linux這個(gè)詞本身只表示Linux內(nèi)核，但實(shí)際上人們已經(jīng)習(xí)慣了用Linux來(lái)形容整個(gè)基于Linux內(nèi)核，并且使用GNU工程各種工具和數(shù)據(jù)庫(kù)的操作系統(tǒng)。3.1.2必備知識(shí)1.Linux系統(tǒng)概況 LinusTorvalds被稱(chēng)為L(zhǎng)inux之父，著名的計(jì)算機(jī)程序員，Linux內(nèi)核的發(fā)明人及該計(jì)劃的合作者。他利用個(gè)人時(shí)間及器材創(chuàng)造出了這套當(dāng)今全球最流行的操作系統(tǒng)內(nèi)核之一，現(xiàn)受聘于開(kāi)放源代碼開(kāi)發(fā)實(shí)驗(yàn)室，全力開(kāi)發(fā)Linux內(nèi)核。Linux是一個(gè)誕生于網(wǎng)絡(luò)、成長(zhǎng)于網(wǎng)絡(luò)且成熟于網(wǎng)絡(luò)的奇特的操作系統(tǒng)。1991年，當(dāng)時(shí)還是芬蘭大學(xué)生的LinusTorvalds萌發(fā)了開(kāi)發(fā)一個(gè)自由的UNIX操作系統(tǒng)的想法，當(dāng)年，Linux就誕生了，為了不讓這個(gè)羽翼未豐的操作系統(tǒng)夭折，LinusTorvalds將自己的作品Linux通過(guò)Internet（互聯(lián)網(wǎng)）發(fā)布。從此一大批知名的、不知名的計(jì)算機(jī)黑客、編程人員加入開(kāi)發(fā)過(guò)程中來(lái)，一場(chǎng)聲勢(shì)浩大的運(yùn)動(dòng)應(yīng)運(yùn)而生，Linux逐漸成長(zhǎng)起來(lái)。Linux一開(kāi)始是要求所有的源碼必須公開(kāi)，并且任何人均不得從Linux交易中獲利。然而這種純粹的自由軟件的理想是不利于Linux普及和發(fā)展的，于是Linux開(kāi)始轉(zhuǎn)向GPL（GeneralPublicLicense，通用公共授權(quán)）。Linux憑借優(yōu)秀的設(shè)計(jì)、不凡的性能，加上IBM、Intel、CA、CORE、Oracle等國(guó)際知名企業(yè)的大力支持，市場(chǎng)份額逐步擴(kuò)大，逐漸成為主流操作系統(tǒng)之一。3.1.2必備知識(shí)2.Linux內(nèi)核版本可以使用命令字uname-r查看Linux內(nèi)核版本號(hào)，如下所示。[root@localhost~]#uname-r4.18.0-348.el8.x86_64（1）4表示當(dāng)前內(nèi)核主版本號(hào)。（2）18表示當(dāng)前內(nèi)核次版本號(hào)。（3）0-348中的0表示當(dāng)前內(nèi)核更新次數(shù)，348表示當(dāng)前內(nèi)核修補(bǔ)次數(shù)；（4）el8表示當(dāng)前內(nèi)核為RHEL8系列；（5）x86_64表示代表這是64位操作系統(tǒng)。3.1.2必備知識(shí)3.Linux發(fā)行版本 Linux有很多發(fā)行版本，好比Windows有WindowsXP、Windows7、Windows10、Windows11，在全球范圍內(nèi)有上百款Linux發(fā)行版，常見(jiàn)的主流發(fā)行版如圖3-3所示。圖3-3任務(wù)3-1主流的Linux發(fā)行版本3.1.2必備知識(shí)4.CentOS8網(wǎng)絡(luò)操作系統(tǒng)（1）基于RHEL8CentOS8是基于RedHatEnterpriseLinux8的一個(gè)免費(fèi)開(kāi)源的版本。它繼承了RHEL8的穩(wěn)定性和可靠性，并且提供了與RHEL8兼容的軟件包和功能。（2）長(zhǎng)期支持CentOS8提供長(zhǎng)期支持（LTS）的版本，這意味著它將獲得持續(xù)的更新和安全補(bǔ)丁，以保持系統(tǒng)的穩(wěn)定性和安全性。（3）主要特性CentOS8引入了許多新的特性和改進(jìn)，包括更快的啟動(dòng)時(shí)間、增強(qiáng)的安全性、更新的內(nèi)核和文件系統(tǒng)、改進(jìn)的容器支持等。此外，它還提供了廣泛的軟件包和工具，適用于各種應(yīng)用場(chǎng)景和需求。（4）軟件包管理CentOS8使用了DNF包管理器來(lái)替代之前的YUM包管理器。DNF提供了更快速的軟件包安裝和更新，同時(shí)具有更好的依賴(lài)關(guān)系解決和軟件包管理功能。（5）容器支持CentOS8對(duì)容器化技術(shù)提供了更好的支持，包括Docker容器引擎和Kubernetes容器編排。它提供了一系列工具和庫(kù)，用于構(gòu)建、部署和管理容器化應(yīng)用程序。3.1.2必備知識(shí)5.LinuxRoute命令

在Linux操作系統(tǒng)中，route是一個(gè)用于管理和操作IP路由表的命令行工具。用作查看、添加、刪除和修改路由表?xiàng)l目，以控制數(shù)據(jù)包在網(wǎng)絡(luò)中的路徑選擇。以下是一些常見(jiàn)的route命令的用法和功能。（1）主要參數(shù)①add 使用routeadd增加指定的路由記錄。②del使用routedel刪除指定的路由記錄。③gwgw用來(lái)設(shè)置網(wǎng)關(guān)，也就下一跳地址。④via通過(guò)routevia，可以將網(wǎng)絡(luò)流量路由到指定的下一跳地址或者接口。⑤dev路由時(shí)，選擇本地的某個(gè)接口。3.1.2必備知識(shí)5.LinuxRoute命令（2）主要選項(xiàng)①-n 不執(zhí)行DNS反向查找，直接顯示數(shù)字形式的IP地址。②-v

顯示詳細(xì)信息③-net 添加到一個(gè)網(wǎng)絡(luò)的路由表。④-host 添加到一個(gè)主機(jī)的路由表。3.1.2必備知識(shí)5.LinuxRoute命令（3）主要用法①查看路由表使用route-n命令可以顯示當(dāng)前系統(tǒng)的路由表，這將列出網(wǎng)絡(luò)目的地、網(wǎng)關(guān)、子網(wǎng)掩碼、接口和其他相關(guān)信息。②添加路由表?xiàng)l目使用routeadd命令可以向路由表添加新的路由條目。例如，routeadd-net/24gw命令的結(jié)果添加一條靜態(tài)路由，將目標(biāo)地址為/24的數(shù)據(jù)包發(fā)送給。③刪除路由表?xiàng)l目使用routedel命令可以從路由表中刪除指定的路由條目。例如，routedel-net/24將刪除目標(biāo)地址為/24的路由。④修改默認(rèn)網(wǎng)關(guān)使用routeadddefaultgw命令可以設(shè)置默認(rèn)網(wǎng)關(guān)。例如，routeadddefaultgw將設(shè)置默認(rèn)網(wǎng)關(guān)為。⑤設(shè)置下一跳使用routemetric命令可以修改路由表?xiàng)l目的優(yōu)先級(jí)。較低的度量值表示更優(yōu)先的路由。例如，routeadd-net/24gwmetric50將為目標(biāo)地址為/24的路由設(shè)置度量值為50。3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)（1）創(chuàng)建虛擬機(jī)首先打開(kāi)VMwareWorkstation，在“主頁(yè)”選項(xiàng)卡下選擇“創(chuàng)建新的虛擬機(jī)”，如圖3-4所示。圖3-4任務(wù)3-1創(chuàng)建新的虛擬機(jī)3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)

在彈出的“新建虛擬機(jī)向?qū)А睂?duì)話(huà)框中，選擇“典型”選項(xiàng)，單擊“下一步”按鈕，選擇“稍后安裝操作系統(tǒng)”，單擊“下一步”，在“選擇客戶(hù)機(jī)操作系統(tǒng)對(duì)話(huà)框”中，選擇“Linux”，版本選擇“CentOS864位”，如圖3-5所示。圖3-5任務(wù)3-1選擇操作系統(tǒng)和版本3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)在彈出的“命名虛擬機(jī)”對(duì)話(huà)框中，修改虛擬機(jī)的名稱(chēng)和保存位置，如圖3-6所示。圖3-6任務(wù)3-1修改名稱(chēng)和保存位置3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)

單擊“下一步”，修改磁盤(pán)磁盤(pán)大小為100G，為后續(xù)任務(wù)作準(zhǔn)備。選擇默認(rèn)的虛擬磁盤(pán)文件方式，如圖3-7所示。圖3-7任務(wù)3-1修改磁盤(pán)大小

單擊“下一步”后，選擇“完成”按鈕，完成虛擬機(jī)的創(chuàng)建任務(wù)。3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)（2）編輯虛擬機(jī)設(shè)置虛擬機(jī)創(chuàng)建完成后，在左側(cè)“庫(kù)”面板中單擊虛擬的名稱(chēng)，在“CentOS8”選項(xiàng)卡下內(nèi)容中單擊“編輯虛擬機(jī)設(shè)置”，如圖3-8所示。圖3-8任務(wù)3-1編輯虛擬機(jī)3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)

在彈出的“虛擬機(jī)設(shè)置”對(duì)話(huà)框中，修改內(nèi)存大小為2G，修改處理器的內(nèi)核數(shù)量為2，開(kāi)啟虛擬化引擎中的“虛擬化IntelVT-x/EPT或AMD-V/RVI(V)”，如圖3-9所示。圖3-9任務(wù)3-1修改處理器配置3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)

在“CD/DVD(IDE)”選項(xiàng)中，選擇自己本地盤(pán)符中的CentOS8鏡像文件，如圖3-10所示。圖3-10任務(wù)3-1選擇本地安裝鏡像文件3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)

單擊頁(yè)面底部的“添加”按鈕，在彈出的硬件類(lèi)型中選擇“網(wǎng)絡(luò)適配器”，單擊“按鈕”。單擊“網(wǎng)絡(luò)適配器”，在“網(wǎng)絡(luò)連接中”選擇“僅主機(jī)模式”，如圖3-11所示。圖3-11任務(wù)3-1修改網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)模式

移除“USB控制器”、“聲卡”、“打印機(jī)”，方法是選擇該項(xiàng)目，單擊底部的“移除”按鈕，修改完成后，單擊“虛擬機(jī)設(shè)備”對(duì)話(huà)框下方的“確定”按鈕。3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)（3）安裝操作系統(tǒng)在名稱(chēng)為CentOS8的虛擬機(jī)選項(xiàng)卡處選擇“開(kāi)啟虛擬機(jī)”，如圖3-12所示。圖3-12任務(wù)3-1安裝操作系統(tǒng)3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)鼠標(biāo)點(diǎn)入彈出的對(duì)畫(huà)框中，使用鼠標(biāo)或者光標(biāo)選擇第一項(xiàng)，“InstallCentOS8”后回車(chē)，如圖3-13所示。圖3-13任務(wù)3-1選擇安裝CentOSLinux83.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)

在詢(xún)問(wèn)安裝過(guò)程使用何種語(yǔ)言對(duì)框中，選擇“中文”，單擊“繼續(xù)按鈕”，在彈出的“安裝信息摘要”對(duì)話(huà)框中設(shè)置“安裝目的地”、“軟件選擇”、“網(wǎng)絡(luò)和主機(jī)名”、“根密碼”。首先單擊“安裝目的地”，在彈出的對(duì)話(huà)框中，默認(rèn)選擇本地磁盤(pán)，單擊“完成”按鈕即可。單擊“軟件選擇”選項(xiàng)，在彈出的“軟件選擇對(duì)框”中，選擇“最小安裝”，如圖3-14所示。圖3-14任務(wù)3-1選擇最小安裝3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)

單擊完成。在“網(wǎng)絡(luò)和主機(jī)名選項(xiàng)中”，將2塊網(wǎng)卡設(shè)置成開(kāi)啟啟動(dòng)，即右上角的“打開(kāi)關(guān)閉”按鈕設(shè)置成打開(kāi)狀態(tài)。如圖3-15所示。圖3-15任務(wù)3-1開(kāi)啟網(wǎng)卡3.1.3使用VMware安裝CentOS8模板機(jī)1.安裝CentOS8操作系統(tǒng)

修改完成后，單擊“完成”按鈕，在“根密碼設(shè)置”對(duì)話(huà)框中，輸入2次ROOT超級(jí)用戶(hù)的密碼，這里設(shè)置密碼為“1”，單擊2次完成即可。以上4項(xiàng)設(shè)置完成后，單擊“安裝信息摘要對(duì)話(huà)框”右下方“開(kāi)始安裝(B)”就安裝CentOS8操作系統(tǒng)了，等待一會(huì)就安裝完成了。3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件（1）本地登錄在安裝完成對(duì)話(huà)框，單擊“重啟系統(tǒng)（R）”按鈕可以進(jìn)入到本機(jī)登錄對(duì)話(huà)框，如圖3-16所示。圖3-16任務(wù)3-1本地登錄系統(tǒng)3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件輸入用戶(hù)名“root”，密碼“1”即可登錄系統(tǒng)，使用ipa查看網(wǎng)絡(luò)配置信息，如圖3-17所示。圖3-17任務(wù)3-1查看IP地址3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件

從圖中發(fā)現(xiàn)，系統(tǒng)安裝了兩塊網(wǎng)卡，第一塊是ens160，通過(guò)僅主機(jī)模式獲取到29/24的IP地址和子網(wǎng)掩碼，第二塊是ens192，通過(guò)NAT模式獲取到29/24的IP地址和子網(wǎng)掩碼，這里能夠獲取到100段和200段的地址是因?yàn)閂Mware“編輯菜單下”的“虛擬網(wǎng)絡(luò)編輯器中”設(shè)置了VMnet1的子網(wǎng)IP是/24，VMnet8的子網(wǎng)IP是/24，設(shè)置網(wǎng)關(guān)為后，虛擬機(jī)可以通過(guò)NAT方式訪問(wèn)互聯(lián)網(wǎng)。3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件（2）遠(yuǎn)程登陸首先運(yùn)行SecureCRT工具，在“快速連接”對(duì)話(huà)框的“主機(jī)名”處輸入29，“用戶(hù)名”處輸入root，如圖3-18所示。圖3-18任務(wù)3-1IP地址配置信息3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件

單擊“連接”按鈕，在彈出的“輸入安全外殼密碼”對(duì)話(huà)框中輸入root用戶(hù)的密碼1，單擊“確定”按鈕就可以實(shí)現(xiàn)通過(guò)本地虛擬網(wǎng)卡VMnet1登錄到CentOS8系統(tǒng)了，登錄后，在SecureCRT的“選項(xiàng)”下的“會(huì)話(huà)選項(xiàng)”對(duì)話(huà)框中，設(shè)置外觀選項(xiàng)中的字體為“三號(hào)”，字符編碼為“UTF-8”，單擊“確定”按鈕，修改后如圖3-19所示。圖3-18任務(wù)3-1IP地址配置信息3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件

單擊“連接”按鈕，在彈出的“輸入安全外殼密碼”對(duì)話(huà)框中輸入root用戶(hù)的密碼1，單擊“確定”按鈕就可以實(shí)現(xiàn)通過(guò)本地虛擬網(wǎng)卡VMnet1登錄到CentOS8系統(tǒng)了，登錄后，在SecureCRT的“選項(xiàng)”下的“會(huì)話(huà)選項(xiàng)”對(duì)話(huà)框中，設(shè)置外觀選項(xiàng)中的字體為“三號(hào)”，字符編碼為“UTF-8”，單擊“確定”按鈕，修改后如圖3-19所示。圖3-18任務(wù)3-1IP地址配置信息3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件（3）配置本地YUM源當(dāng)讀者沒(méi)有網(wǎng)絡(luò)環(huán)境時(shí)，使用本地YUM源安裝軟件。如果具備網(wǎng)絡(luò)環(huán)境，建議使用阿里云的YUM源，如同同時(shí)使用本地源和網(wǎng)絡(luò)源，建議配置源的優(yōu)先級(jí)，否則在出現(xiàn)網(wǎng)絡(luò)中斷時(shí)，YUM源會(huì)出現(xiàn)錯(cuò)誤，這里配置本地源，適合所有讀者。①掛載本地ISO鏡像使用vi命令打開(kāi)/etc/fstab文件，在文件末尾處輸入以下配置。/dev/sr0/mntiso9660defaults00保存退出后，在命令行中輸入mount-a，使掛載生效。②配置本地源首先進(jìn)入/etc/yum.repos.d目錄，創(chuàng)建目錄backup，把提供的所有源移動(dòng)到backup目錄中，然后創(chuàng)建local.repo文件，在文件中輸入以下內(nèi)容，這里的base是基礎(chǔ)文件目錄，app都應(yīng)用文件目錄。分別指向掛載目錄中的BaseOS和AppStream目錄，保存配置。3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件[base]name=basebaseurl=file:///mnt/BaseOSgpgcheck=0enabled=1[app]name=appbaseurl=file:///mnt/AppStreamgpgcheck=0enabled=13.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件使用yumcleanall清楚緩存，再使用yumrepolist查看本地源配置，結(jié)果如圖3-20所示。圖3-20任務(wù)3-1修改字體和字符編碼3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件③安裝網(wǎng)絡(luò)工具net-tools配置了yum源之后，安裝net-tools網(wǎng)絡(luò)工具，如下所示。[root@localhost~]#yuminstallnet-tools-y也可以使用dnfinstall命令安裝軟件，方法和使用yum基本一致。④安裝網(wǎng)橋工具網(wǎng)橋工具在虛擬化網(wǎng)絡(luò)中經(jīng)常使用，提前安裝到模板機(jī)中，首先上傳bridge-utils-1.5-9.el7.x86_64.rpm軟件包，然后在命令行中安裝軟件，如下所示。[root@localhost~]#rpm-ivhbridge-utils-1.5-9.el7.x86_64.rpm⑤安裝網(wǎng)絡(luò)抓包工具tcpdumptcpdump是非常優(yōu)秀的分析網(wǎng)絡(luò)流量、排查網(wǎng)絡(luò)故障的網(wǎng)絡(luò)抓包工具，安裝命令如下。[root@localhost~]#yuminstalltcpdump-y#安裝tcpdump網(wǎng)絡(luò)抓包工具3.1.3使用VMware安裝CentOS8模板機(jī)2.登錄安裝網(wǎng)絡(luò)組件⑥設(shè)置防火墻iptables防火墻工具被廣泛的應(yīng)用于云計(jì)算網(wǎng)絡(luò)中，所以將默認(rèn)的firewalld防火墻工具關(guān)閉，安裝啟動(dòng)iptables防火墻工具，命令如下。[root@localhost~]#yuminstalliptables-services-y#安裝iptables管理工具[root@localhost~]#systemctlstopfirewalld&&systemctldisablefirewalld#關(guān)閉默認(rèn)firewalld防火墻管理[root@localhost~]#systemctlstartiptables&&systemctlenableiptables#啟動(dòng)iptables管理工具，設(shè)置開(kāi)啟自啟動(dòng)[root@localhost~]iptables-F#清空iptables的默認(rèn)配置[root@localhost~]#serviceiptablessave#保存iptables配置⑦關(guān)閉SELINUX[root@localhost~]#sed-i'/SELINUX=/cSELINUX=disabled'/etc/selinux/config[root@localhost~]#setenforce03.1.3使用VMware安裝CentOS8模板機(jī)3.導(dǎo)出OVA模板機(jī)

安裝好模板機(jī)之后，在VMwareWorkstation的“虛擬機(jī)”菜單下，選擇“電源”選項(xiàng)下的“關(guān)閉客戶(hù)機(jī)”選項(xiàng)關(guān)閉虛擬機(jī)。選擇“文件”菜單下的“導(dǎo)出為OVF(E)”選項(xiàng)，在彈出的“將虛擬機(jī)導(dǎo)出為OVF”對(duì)話(huà)框中，輸入文件名為“CentOS8.ova”，選擇保存的磁盤(pán)后，單擊“保存”按鈕即可將虛擬機(jī)保存為名稱(chēng)為CentOS8.ova的模板機(jī)了。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)1.創(chuàng)建4臺(tái)CentOS8服務(wù)器

在本地磁盤(pán)的某個(gè)盤(pán)符下建立文件夾任務(wù)3-1，在任務(wù)3-1文件夾中建立同級(jí)的4個(gè)子文件夾，分別為node1、node2、node3、node4。接下來(lái)在VMware中，選擇“文件”菜單下的“打開(kāi)”選項(xiàng)，選擇保存好的CentOS8.ova文件，在彈出的“導(dǎo)入虛擬機(jī)”對(duì)話(huà)框中輸入主機(jī)名稱(chēng)node1，保存到“任務(wù)3-1\node1”目錄。如圖3-21所示。圖3-21任務(wù)3-1輸入主機(jī)名稱(chēng)為存儲(chǔ)位置3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)1.創(chuàng)建4臺(tái)CentOS8服務(wù)器圖3-21任務(wù)3-1輸入主機(jī)名稱(chēng)為存儲(chǔ)位置

單擊“導(dǎo)入”按鈕后，服務(wù)器node1就創(chuàng)建成功了，同理創(chuàng)建服務(wù)器node2、服務(wù)器node3，存儲(chǔ)到對(duì)應(yīng)的目錄。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址表3-1任務(wù)3-1主機(jī)IP地址規(guī)劃表4臺(tái)主機(jī)IP地址規(guī)劃如表3-1所示。設(shè)備名稱(chēng)直連接口IP地址設(shè)備名稱(chēng)直連接口IP地址網(wǎng)絡(luò)服務(wù)器node1ens160/24服務(wù)器node2ens160VMnet1服務(wù)器node3ens192/24ens192VMnet2ens160/24服務(wù)器

node4ens160VMnet33.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-22任務(wù)3-1修改服務(wù)器node1IP地址配置

按照以上配置修改4臺(tái)服務(wù)器的IP地址，在/etc/sysconfig/network-scripts/目錄下配置服務(wù)器node1的ens160網(wǎng)卡，將BOOTPROTO設(shè)置為static，即靜態(tài)配置模式。設(shè)置IPADDR的IP地址為，NETMASK子網(wǎng)掩碼位，配置如圖3-22所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址配置ens192的網(wǎng)卡，設(shè)置ONBOOT=NO，即開(kāi)機(jī)不自動(dòng)啟動(dòng)，不獲取IP地址。配置完成后，在命令行中輸入重啟網(wǎng)卡和網(wǎng)絡(luò)管理networking的命令，如下所示。nmclinetworkingoff&&nmclinetworkingon&&nmclicreload需要注意的是，centos8棄用了network.service服務(wù)，采用了NetworkManager.service服務(wù)來(lái)管理網(wǎng)絡(luò)，nmcli是NetworkManager（網(wǎng)絡(luò)管理）的命令行，重啟網(wǎng)絡(luò)管理的命令如下。nmclinetworkingoff&&nmclinetworkingon該命令相當(dāng)于centos7中的systemctlrestartnetwork，其中的networking可以簡(jiǎn)寫(xiě)成n，查看當(dāng)前的網(wǎng)絡(luò)管理工具NetworkManager是否啟動(dòng)的命令如下。[root@node1~]#nmclin重啟網(wǎng)絡(luò)管理后，還需要重新啟動(dòng)網(wǎng)卡，配置才能生效，重啟所有網(wǎng)卡的命令如下。nmclicreload3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-23任務(wù)3-1服務(wù)器node1的IP地址配置如果想禁用和啟動(dòng)某個(gè)網(wǎng)卡，可以使用nmclicdown/up網(wǎng)卡名，重啟完成后，查看服務(wù)器node1的IP地址信息，如圖3-23所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址 ip命令是一個(gè)新網(wǎng)絡(luò)命令行工具，它是iproute軟件包的組成部分，提供了若干網(wǎng)絡(luò)管理任務(wù)，諸如開(kāi)啟或關(guān)閉網(wǎng)絡(luò)接口，分配和移除IP地址和路由，管理ARP緩存等，ipa是ipaddr的簡(jiǎn)寫(xiě)，用于查看網(wǎng)卡配置信息。

從圖中可以發(fā)現(xiàn)，服務(wù)器node1的ens160網(wǎng)卡IP地址是/24，網(wǎng)卡ens192關(guān)閉后獲取不到IP地址了。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-24任務(wù)3-1服務(wù)器node2的IP地址配置按照以上方法設(shè)置服務(wù)器node2兩塊網(wǎng)卡的IP地址，如圖3-24所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-25任務(wù)3-1服務(wù)器node3的IP地址配置服務(wù)器node3兩塊網(wǎng)卡的IP地址，如圖3-25所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)2.修改IP地址圖3-26任務(wù)3-1服務(wù)器node4的IP地址配置服務(wù)器node4的網(wǎng)卡ens160IP地址，如圖3-26所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)（1）VMware的三種網(wǎng)絡(luò)模式VMware采用橋接網(wǎng)絡(luò)、僅主機(jī)網(wǎng)絡(luò)、NAT網(wǎng)絡(luò)三種網(wǎng)絡(luò)模式實(shí)現(xiàn)虛擬機(jī)與虛擬機(jī)、虛擬機(jī)與宿主機(jī)、虛擬機(jī)與外部網(wǎng)絡(luò)之間的通信，在VMware中，點(diǎn)擊“編輯”菜單下的虛擬網(wǎng)絡(luò)編輯器，可以看到三種網(wǎng)絡(luò)模式使用的默認(rèn)交換機(jī)名稱(chēng)如圖3-27所示，其中橋接模式使用的虛擬交換機(jī)時(shí)VMnet0，僅主機(jī)模式使用的交換機(jī)時(shí)VMnet1，NAT模式使用的交換機(jī)名稱(chēng)是VMnet8，三種模式下虛擬機(jī)和宿主機(jī)之間都可以正常通信，在橋接模式和NAT模式下，虛擬機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)，在僅主機(jī)模式下，虛擬機(jī)無(wú)法訪問(wèn)外部網(wǎng)絡(luò)。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-27任務(wù)3-1三種網(wǎng)絡(luò)模式的虛擬交換機(jī)名稱(chēng)3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)①橋接網(wǎng)絡(luò)橋接模式就是將宿主機(jī)網(wǎng)卡與虛擬機(jī)網(wǎng)卡利用虛擬網(wǎng)橋進(jìn)行通信。在橋接的作用下，類(lèi)似于在物理主機(jī)上虛擬一個(gè)交換機(jī)，將設(shè)置橋接網(wǎng)絡(luò)的虛擬機(jī)連接到虛擬交換機(jī)的一個(gè)接口上，物理主機(jī)的網(wǎng)卡也同樣連接在這個(gè)交換機(jī)上，所有橋接下的網(wǎng)卡與網(wǎng)卡都是交換模式的，相互可以訪問(wèn)而不干擾。在橋接模式下，虛擬機(jī)ip地址需要與主機(jī)配置在同一個(gè)網(wǎng)段，如果需要訪問(wèn)外部網(wǎng)絡(luò)，則網(wǎng)關(guān)與DNS需要與宿主機(jī)網(wǎng)卡一致。橋接模式下的虛擬機(jī)與虛擬機(jī)、虛擬機(jī)與宿主機(jī)之間網(wǎng)絡(luò)拓?fù)淙鐖D3-28所示，外框表示宿主機(jī)。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-28任務(wù)3-1橋接模式網(wǎng)絡(luò)拓?fù)?.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)②僅主機(jī)網(wǎng)絡(luò)僅主機(jī)網(wǎng)絡(luò)模式拓?fù)淙鐖D3-29所示，虛擬機(jī)之間在同一個(gè)網(wǎng)段，虛擬機(jī)和宿主機(jī)之間默認(rèn)通過(guò)VMnet1交換機(jī)通信，虛擬機(jī)只能與宿主機(jī)通信，無(wú)法與外部網(wǎng)絡(luò)通信，需要注意的是VMnet1具備IP地址分配功能，可以為虛擬機(jī)分別IP地址，同時(shí)可以添加多個(gè)僅主機(jī)網(wǎng)絡(luò)，如VMnet2、VMnet3等。圖3-29任務(wù)3-1僅主機(jī)模式網(wǎng)絡(luò)拓?fù)?.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)③NAT網(wǎng)絡(luò)NAT網(wǎng)絡(luò)模式拓?fù)淙鐖D3-30所示。虛擬機(jī)和虛擬機(jī)之間在同一個(gè)網(wǎng)段，虛擬機(jī)和宿主機(jī)之間默認(rèn)通過(guò)VMnet8交換機(jī)通信，虛擬機(jī)不但可以與宿主機(jī)通信，而且還可以與外部網(wǎng)絡(luò)通信，因?yàn)镹AT網(wǎng)絡(luò)模式增加了一個(gè)虛擬NAT設(shè)備，連接到了VMnet8交換機(jī)上。為vmnet8可以為虛擬機(jī)分配IP地址和網(wǎng)關(guān)，網(wǎng)關(guān)是虛擬NAT連接VMnet8的接口，當(dāng)虛擬機(jī)的上外網(wǎng)數(shù)據(jù)到達(dá)虛擬NAT后，將源地址轉(zhuǎn)換成出接口的IP地址，因?yàn)槌鼋涌谶B接到了宿主機(jī)與外部網(wǎng)絡(luò)通信接口，就可以訪問(wèn)外部網(wǎng)絡(luò)了。圖3-30任務(wù)3-1NAT模式網(wǎng)絡(luò)拓?fù)?.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)（2）添加VMnet2和VMnet3僅主機(jī)網(wǎng)絡(luò)首先在“編輯”菜單下的“虛擬網(wǎng)絡(luò)編輯器”對(duì)話(huà)框中，單擊“添加網(wǎng)絡(luò)按鈕”，在彈出的添加“虛擬網(wǎng)絡(luò)對(duì)話(huà)框中”選擇要添加的網(wǎng)絡(luò)，選擇默認(rèn)的VMnet2，單擊“確定”按鈕，如圖3-31所示，再添加一個(gè)網(wǎng)絡(luò)VMnet3。圖3-31任務(wù)3-1VMware添加網(wǎng)絡(luò)3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)接下來(lái)，在“虛擬網(wǎng)絡(luò)編輯器”對(duì)話(huà)框中，選擇VMnet1，在底部的子網(wǎng)處設(shè)置，子網(wǎng)掩碼為，同理設(shè)置VMnet2網(wǎng)絡(luò)地址為，子網(wǎng)掩碼為VMnet3網(wǎng)絡(luò)地址為，子網(wǎng)掩碼為，如圖3-32所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-32任務(wù)3-1修改網(wǎng)絡(luò)地址3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-33任務(wù)3-1配置網(wǎng)卡所在網(wǎng)絡(luò)（3）設(shè)置服務(wù)器各網(wǎng)卡所屬的網(wǎng)絡(luò)在左側(cè)“庫(kù)”面板中，“我的計(jì)算機(jī)”下右鍵單擊主機(jī)“node1”，選擇“設(shè)置”，打開(kāi)“虛擬機(jī)設(shè)置”對(duì)話(huà)框，選擇第1塊網(wǎng)絡(luò)適配器，在右側(cè)“網(wǎng)絡(luò)連接”選項(xiàng)中，選擇“自定義”下拉列表框中的VMnet1（僅主機(jī)模式），單擊“確定”按鈕，如圖3-33所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-34任務(wù)3-1修改連接名和主機(jī)名同理，將服務(wù)器node2的第1塊網(wǎng)絡(luò)適配器配置在VMnet1網(wǎng)絡(luò)，第2塊網(wǎng)絡(luò)適配器配置在VMnet2網(wǎng)絡(luò)。服務(wù)器node3的第1塊網(wǎng)絡(luò)適配器配置在VMnet3網(wǎng)絡(luò)，第2塊網(wǎng)絡(luò)適配器配置VMnet2網(wǎng)絡(luò)。服務(wù)器node4的第1塊網(wǎng)卡配置在VMnet3網(wǎng)絡(luò)。（4）登錄服務(wù)器測(cè)試連通性使用SecureCRT登錄到4臺(tái)服務(wù)器上，登錄完成后，通過(guò)右鍵單擊連接選項(xiàng)卡，“重命名”修改連接名。通過(guò)hostnamectlset-hostname命令修改主機(jī)名，如圖3-34所示。3.1.4使用VMware組建服務(wù)器網(wǎng)絡(luò)3.配置服務(wù)器網(wǎng)絡(luò)圖3-35任務(wù)3-1測(cè)試服務(wù)器node1與其他服務(wù)器的連通性在服務(wù)器node1上測(cè)試與服務(wù)器node2直連網(wǎng)卡，發(fā)現(xiàn)是能夠正常訪問(wèn)的，但是測(cè)試服務(wù)器“node4”的連通性時(shí)，發(fā)現(xiàn)不能正常訪問(wèn)，如圖3-35所示。3.1.5配置靜態(tài)路由實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)3.配置服務(wù)器網(wǎng)絡(luò)

服務(wù)器node1在/24網(wǎng)絡(luò)，服務(wù)器node4在/24網(wǎng)絡(luò)，兩臺(tái)主機(jī)分別連接到服務(wù)器node2和服務(wù)器node3，所以將服務(wù)器node2和服務(wù)器node3增加路由功能，幫助node1和node4轉(zhuǎn)發(fā)數(shù)據(jù)，才能實(shí)現(xiàn)服務(wù)器node1和服務(wù)器node4之間的通信。3.1.5配置靜態(tài)路由實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)1.配置默認(rèn)路由服務(wù)器node1只有到服務(wù)器node2一條鏈路，所以首先配置服務(wù)器node1到服務(wù)器node2的默認(rèn)路由，當(dāng)服務(wù)器node1無(wú)法找到目標(biāo)IP地址時(shí)，將數(shù)據(jù)請(qǐng)求轉(zhuǎn)發(fā)給服務(wù)器node2，相當(dāng)于配置服務(wù)器node1的網(wǎng)關(guān)。同理，需要配置服務(wù)器node4到服務(wù)器node3的默認(rèn)路由。首先在服務(wù)器node1上添加一條默認(rèn)路由，命令如下。[root@node1~]#routeadddefaultgw3.1.5配置靜態(tài)路由實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)1.配置默認(rèn)路由圖3-36任務(wù)3-1服務(wù)器node1添加默認(rèn)路由添加完成后，使用route-n命令查看服務(wù)器node1的路由表，如圖3-36所示。3.1.5配置靜態(tài)路由實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)1.配置默認(rèn)路由圖3-37任務(wù)3-1服務(wù)器node4添加默認(rèn)路由

在表中可以看出，服務(wù)器node1有兩條路由，一條是配置了IP地址自動(dòng)生成的直連路由/24網(wǎng)絡(luò)，另一條是使用routeadd命令添加到主機(jī)的默認(rèn)路由。同樣的在服務(wù)器node4上添加一條默認(rèn)路由，命令如下。 [root@node4~]#routeadddefaultgw

添加完成后，使用route-n命令查看服務(wù)器node4的路由表，如圖3-37所示。

需要注意的是默認(rèn)路由也就是網(wǎng)關(guān)，可以在網(wǎng)卡的GATEWAY選項(xiàng)中配置，這里為了講解默認(rèn)路由的配置，所以使用route命令添加了服務(wù)器node1和服務(wù)器node4的默認(rèn)路由。3.1.5配置靜態(tài)路由實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)2.配置服務(wù)器node2與服務(wù)器node3靜態(tài)路由圖3-38任務(wù)3-1添加服務(wù)器node2的靜態(tài)路由

在服務(wù)器node2上添加靜態(tài)路由，設(shè)置去往/24網(wǎng)絡(luò)的下一跳是與本機(jī)直連服務(wù)器node3的ens192網(wǎng)卡地址，命令如下。 [root@node2~]#routeadd-net/24gw

添加完成后，使用route-n命令查看服務(wù)器node2的路由表，如圖3-38所示。3.1.5配置靜態(tài)路由實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)2.配置服務(wù)器node2與服務(wù)器node3靜態(tài)路由圖3-39任務(wù)3-1添加服務(wù)器node3的靜態(tài)路由

從圖中可以看出，添加了一條去往/24的路由條目，下一跳是。同樣的在服務(wù)器node3上添加一條靜態(tài)路由，去往/24網(wǎng)絡(luò)的下一跳是，命令如下。 [root@node3~]#routeadd-net/24gw

添加完成后，使用route-n命令查看服務(wù)器node3的路由表，如圖3-39所示。3.1.5配置靜態(tài)路由實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)4.永久保存路由圖3-41任務(wù)3-1刪除默認(rèn)路由

在命令行中通過(guò)命令添加的路由都是臨時(shí)生效的，當(dāng)主機(jī)重啟后，路由不會(huì)生效了。以下介紹如何添加永久性的路由。（1）創(chuàng)建永久的默認(rèn)路由在服務(wù)器node1上刪除默認(rèn)路由，命令如下。[root@node1~]#routedeldefault執(zhí)行命令，再次查看路由表發(fā)現(xiàn)默認(rèn)路由已經(jīng)被刪除了，如圖3-41所示。在網(wǎng)絡(luò)配置文件目錄/etc/sysconfig/network-scripts/創(chuàng)建名稱(chēng)為route-ens160的路由配置文件，代表為ens160網(wǎng)卡創(chuàng)建路由配置。在文件中輸入內(nèi)容如下。defaultvia3.1.5配置靜態(tài)路由實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)互聯(lián)4.永久保存路由以上配置中default表示默認(rèn)路由，via表示通過(guò)哪個(gè)地址轉(zhuǎn)發(fā)，保存配置后，重啟網(wǎng)絡(luò)管理服務(wù)和網(wǎng)卡。[root@node1network-scripts]#nmclinoff&&nmclinon&&nmclicreload再次查看服務(wù)器node1的路由表，發(fā)現(xiàn)靜態(tài)路由已經(jīng)存在路由表中了，而且主機(jī)重啟后路由不會(huì)消失，同理可以修改服務(wù)器node4的默認(rèn)路由。（2）創(chuàng)建永久的靜態(tài)路由在服務(wù)器node2上刪除靜態(tài)路由，命令如下。[root@node2~]#routedel-net/24在網(wǎng)卡配置文件目錄/etc/sysconfig/network-scripts/下創(chuàng)建文件route-ens192，注意這要使用ens192，因?yàn)槿ネ?24的下一跳是，與ens192直連。在路由配置文件中輸入以下配置。/24via保存配置后，重啟網(wǎng)絡(luò)管理服務(wù)和網(wǎng)卡。[root@node2network-scripts]#nmclinoff&&nmclinon&&nmclicreload再次查看，發(fā)現(xiàn)靜態(tài)路由出現(xiàn)在路由表中了，同理可以修改服務(wù)器node3的靜態(tài)路由任務(wù)3-2使用Iptables控制網(wǎng)絡(luò)流量3.2.1任務(wù)描述3.2.2必備知識(shí)3.2.3配置Iptables過(guò)濾數(shù)據(jù)包3.2.4配置Iptables實(shí)現(xiàn)源地址和目標(biāo)地址轉(zhuǎn)換3.2.5使用Tcpdump抓包驗(yàn)證地址轉(zhuǎn)換學(xué)習(xí)目標(biāo)【知識(shí)目標(biāo)】（1）掌握Iptables工具與內(nèi)核netfilter的關(guān)系。（2）掌握Iptables四表五鏈的工作機(jī)制。（3）掌握Tcpdump抓包工具的使用方法。學(xué)習(xí)目標(biāo)【技能目標(biāo)】（1）能夠配置Iptables規(guī)則實(shí)現(xiàn)網(wǎng)絡(luò)流量過(guò)濾。（2）能夠配置Iptables規(guī)則實(shí)現(xiàn)源地址和目標(biāo)地址轉(zhuǎn)換。（3）能夠使用抓包工具抓取分析Linux系統(tǒng)中的網(wǎng)絡(luò)流量?！揪W(wǎng)絡(luò)拓?fù)洹咳蝿?wù)3-2的網(wǎng)絡(luò)拓?fù)淙鐖D3-42所示。圖3-42任務(wù)3-2網(wǎng)絡(luò)拓?fù)?.2.2必備知識(shí)1.Iptables工具介紹（1）Netfilter和Iptables關(guān)系Netfilter（安全框架）是一個(gè)工作在Linux內(nèi)核的網(wǎng)絡(luò)數(shù)據(jù)包處理框架，是Linux操作系統(tǒng)核心層內(nèi)部的一個(gè)數(shù)據(jù)包處理模塊，它具備網(wǎng)絡(luò)地址轉(zhuǎn)換，數(shù)據(jù)包內(nèi)容修改以及數(shù)據(jù)包過(guò)濾的防火墻功能。用戶(hù)需要一個(gè)工具把用戶(hù)態(tài)的“安全設(shè)定”配置到內(nèi)核態(tài)netfilter，這個(gè)工具就是iptables。（2）Firewalld和Iptables關(guān)系在CentOS8中，默認(rèn)啟用的防火墻工具是Firewalld，增加了區(qū)域概念和應(yīng)用層協(xié)議的支持，但底層調(diào)用的仍然Iptables命令，由于Iptables廣泛的應(yīng)用在虛擬化網(wǎng)絡(luò)中，如虛擬化網(wǎng)絡(luò)中的防火墻、安全組、EIP等功能都是通過(guò)Iptables實(shí)現(xiàn)的，所以Iptables工具是學(xué)習(xí)云計(jì)算網(wǎng)絡(luò)的基礎(chǔ)。3.2.2必備知識(shí)2.Iptables四表五鏈Iptables是基于一種稱(chēng)為"四表五鏈"的數(shù)據(jù)結(jié)構(gòu)模型。（1）四表表是一類(lèi)規(guī)則的集合，Iptables包括以下4類(lèi)規(guī)則表。①filter表用于過(guò)濾數(shù)據(jù)包，是默認(rèn)的表。它用于控制數(shù)據(jù)包的傳輸，比如允許或拒絕特定的網(wǎng)絡(luò)連接。②nat表用于網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，它可以修改數(shù)據(jù)包的源地址、目標(biāo)地址或端口號(hào)。它通常用于實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、端口轉(zhuǎn)發(fā)等功能。③mangle表用于修改數(shù)據(jù)包的IP頭部信息，通常用于特殊的網(wǎng)絡(luò)處理需求。④raw表用于配置連接追蹤的規(guī)則，可以控制數(shù)據(jù)包是否經(jīng)過(guò)連接追蹤機(jī)制。3.2.2必備知識(shí)2.Iptables四表五鏈（2）五鏈當(dāng)某個(gè)數(shù)據(jù)包進(jìn)入系統(tǒng)、離開(kāi)系統(tǒng)需要經(jīng)歷的關(guān)卡，默然包括以下幾個(gè)鏈，也可以自定義鏈。①I(mǎi)NPUT鏈用于處理進(jìn)入系統(tǒng)的數(shù)據(jù)包。②OUTPUT鏈用于處理離開(kāi)系統(tǒng)的數(shù)據(jù)包。③FORWARD鏈用于處理通過(guò)系統(tǒng)轉(zhuǎn)發(fā)的數(shù)據(jù)包，Linux系統(tǒng)作為路由器使用時(shí)數(shù)據(jù)包將經(jīng)過(guò)此鏈進(jìn)行轉(zhuǎn)發(fā)。④PREROUTING鏈用于在數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)接口之前進(jìn)行處理，例如NAT規(guī)則的修改。⑤POSTROUTING鏈用于在數(shù)據(jù)包離開(kāi)網(wǎng)絡(luò)接口之后進(jìn)行處理，例如NAT規(guī)則的修改。當(dāng)數(shù)據(jù)包進(jìn)入系統(tǒng)而且訪問(wèn)系統(tǒng)某個(gè)應(yīng)用時(shí)，需要經(jīng)過(guò)PREROUTING鏈、INPUT鏈，當(dāng)數(shù)據(jù)包從系統(tǒng)某個(gè)程序發(fā)出，需要經(jīng)過(guò)OUTPUT鏈、POSTROUTING鏈，當(dāng)一個(gè)數(shù)據(jù)包只是經(jīng)過(guò)本系統(tǒng)時(shí)，需要經(jīng)過(guò)PREROUTING鏈、FORWARD鏈、POSTROUTING鏈。3.2.2必備知識(shí)3.表鏈對(duì)應(yīng)關(guān)系配置Iptables就是定義在某個(gè)鏈上的規(guī)則。所以要知道表（規(guī)則）和鏈的對(duì)應(yīng)關(guān)系。（1）表鏈對(duì)應(yīng)關(guān)系①filter表對(duì)應(yīng)的鏈在INPUT鏈、FORWARD鏈、OUTPUT鏈上定義filter表的規(guī)則，用于過(guò)濾數(shù)據(jù)包，filter表是定義規(guī)則時(shí)的默認(rèn)表，即定義規(guī)則時(shí)，如不指定表，默認(rèn)就是filter表。②nat表對(duì)應(yīng)的鏈在PREROUTING鏈、POSTROUTING鏈、OUTPUT鏈定義nat規(guī)則，用于網(wǎng)絡(luò)地址轉(zhuǎn)換。經(jīng)常使用的是PREROUTING鏈用戶(hù)目的地址轉(zhuǎn)換、POSTROUTING鏈用于源地址轉(zhuǎn)換。③mangle表對(duì)應(yīng)的鏈在PREROUTING鏈、POSTROUTING鏈、INPUT鏈、OUTPUT鏈、FORWARD鏈定義mangle表規(guī)則，作用是修改數(shù)據(jù)包的服務(wù)類(lèi)型、配置路由實(shí)現(xiàn)QOS內(nèi)核模塊等，平時(shí)幾乎不使用。④raw表對(duì)應(yīng)的鏈在OUTPUT鏈、PREROUTING鏈上定義raw規(guī)則作用是決定數(shù)據(jù)包是否被狀態(tài)跟蹤機(jī)制處理，平時(shí)幾乎不使用。3.2.2必備知識(shí)4.Iptables命令語(yǔ)法iptables工具的語(yǔ)法為iptables[-ttable]command[鏈名][條件匹配][-j目標(biāo)動(dòng)作]其中table用于指明定義哪些表的規(guī)則，經(jīng)常使用的有filter表和nat表，如不指定，默認(rèn)是filter表，鏈名指的是鏈的名稱(chēng)，下面重點(diǎn)介紹command、條件匹配和目標(biāo)動(dòng)作。（1）command命令①-AAppend在規(guī)則最后邊追加一條規(guī)則，規(guī)則是有順序的，數(shù)據(jù)包從上到下匹配規(guī)則，匹配結(jié)束后，不再繼續(xù)匹配其它規(guī)則，如果所有都沒(méi)有匹配上，最后的默認(rèn)規(guī)則是允許通過(guò)。②-IInsert，在指定的位置插入規(guī)則，如圖Insert3表示插入的規(guī)則位于第3條。③-LList，查看規(guī)則列表，-L經(jīng)常配置-n、-v、--line-number使用，其中-n表示只顯示IP地址和端口號(hào)碼，不顯示域名和服務(wù)名稱(chēng)、-v表示顯示詳細(xì)規(guī)則信息，--line-number顯示規(guī)則的編號(hào)。④-DDelete，從規(guī)則列表中刪除規(guī)則，如iptables-DFILTER3表示刪除filter表中的第3條規(guī)則。⑤-PPolicy，設(shè)置設(shè)置某個(gè)鏈的默認(rèn)規(guī)則，如iptables-PINPUTDROP表示設(shè)置INPUT鏈的默認(rèn)規(guī)則是丟棄。⑥-FFlush，清空鏈上的規(guī)則，不指明鏈會(huì)清空所有鏈上規(guī)則。清空規(guī)則還有-X，表示清空自己定義的鏈上規(guī)則，-Z清空指定鏈的所有計(jì)數(shù)器歸零，經(jīng)常使用的是-F。3.2.2必備知識(shí)4.Iptables命令語(yǔ)法（2）條件匹配①按網(wǎng)絡(luò)接口匹配-i匹配數(shù)據(jù)進(jìn)入的網(wǎng)絡(luò)接口，該參數(shù)主要應(yīng)用nat表，-o匹配數(shù)據(jù)流出的網(wǎng)絡(luò)接口，如-iens160匹配從網(wǎng)絡(luò)接口ens160進(jìn)來(lái)的數(shù)據(jù)包，-oens192匹配從ens192流出的數(shù)據(jù)包。②匹配源地址和目的地址-s匹配源地址，如-s匹配源地址是的數(shù)據(jù)包，也可以指定網(wǎng)絡(luò)地址，如-s/24，如果匹配不連續(xù)的多個(gè)地址，可以用逗號(hào)分隔，如-d,。-d匹配目標(biāo)地址，如-d匹配的目標(biāo)地址是，也可以匹配一個(gè)網(wǎng)絡(luò)地址，如圖-d/24。③按協(xié)議類(lèi)型匹配-p匹配協(xié)議類(lèi)型，可以是tcp、udp、icmp等，如-ptcp匹配的是tcp協(xié)議的數(shù)據(jù)包，在協(xié)議之前加上!表示取反，如！tcp表示除了tcp之外的其它協(xié)議。④按源及目的端口匹配--sport匹配源端口，可以是單個(gè)端口，也可以是端口范圍，如--sport1000，匹配源是1000的端口，--sport1000:2000匹配源端口1000到2000的數(shù)據(jù)包。--dport匹配目的端口，如--dport80匹配的是目標(biāo)端口是80的數(shù)據(jù)包，--sport和--dport必須配合-p參數(shù)使用。3.2.2必備知識(shí)4.Iptables命令語(yǔ)法（3）目的動(dòng)作①ACCEPTACCEPT允許數(shù)據(jù)包通過(guò)本鏈，如iptables-AINPUT-jACCEPT表示在INPUT鏈規(guī)則末尾添加一條規(guī)則，允許所有訪問(wèn)本機(jī)的數(shù)據(jù)包通過(guò)。②DROPDROP阻止數(shù)據(jù)包通過(guò)本鏈，如iptables-IOUTPUT-s-jDROP表示在OUTPUT鏈的最前邊插入一條規(guī)則，阻止來(lái)自的數(shù)據(jù)包通過(guò)。③SNAT源地址轉(zhuǎn)換，支持單個(gè)和連續(xù)的源地址和目標(biāo)地址。如iptables-tnat-APOSTROUTING-s/24-jSNAT--to0，在數(shù)據(jù)包離開(kāi)網(wǎng)絡(luò)接口時(shí)，將/24網(wǎng)絡(luò)的源IP地址轉(zhuǎn)換成0，連續(xù)目的地址可以寫(xiě)成0-0。④DNAT目的地址轉(zhuǎn)換，同樣支持轉(zhuǎn)換成單個(gè)IP和地址池。如iptables-tnat-APREROUTING-iens192-ptcp--dport80-jDNAT--to⑤MASQUERADE動(dòng)態(tài)SNAT轉(zhuǎn)換，當(dāng)用于連接公網(wǎng)的IP不固定時(shí)，使用MASQUERADE進(jìn)行源IP地址轉(zhuǎn)換，如iptables-tnat-APOSTROUTING-s/24-oens192-jMASQUERADE，將源地址是/24的數(shù)據(jù)包進(jìn)行地址偽裝，轉(zhuǎn)換成ens192上的IP地址。3.2.2必備知識(shí)4.Iptables命令語(yǔ)法（4）應(yīng)用示例①拒絕外部數(shù)據(jù)訪問(wèn)本地服務(wù)器80端口在配置Iptabels規(guī)則時(shí)，要注意以下兩點(diǎn)。一是要清楚使用的是過(guò)濾還是地址轉(zhuǎn)換，本例是拒絕訪問(wèn)，所以是過(guò)濾規(guī)則，作用在filter表上，默認(rèn)可以不寫(xiě)。作用在filter表上的鏈包括INPUT鏈、FORWARD鏈、OUTPUT鏈。二是要清楚數(shù)據(jù)包的流向，是訪問(wèn)本機(jī)、還是從本機(jī)流出、還是只是經(jīng)過(guò)本機(jī)，確定后才能在某個(gè)鏈上配置規(guī)則，本例要求拒絕訪問(wèn)本機(jī)的80端口，是訪問(wèn)本機(jī)的數(shù)據(jù)，訪問(wèn)本機(jī)的數(shù)據(jù)會(huì)經(jīng)過(guò)PREROUTING和INPUT兩個(gè)鏈，所以確定寫(xiě)在INPUT鏈上。再進(jìn)行條件匹配，執(zhí)行動(dòng)作，配置如下。iptables-AINPUT-ptcp--dport80-jDROP②將源地址是/24的地址轉(zhuǎn)換成自己出接口IP，地址為0首先看是流量本機(jī)的數(shù)據(jù)，所以經(jīng)過(guò)的鏈?zhǔn)荘REROUTING、FORWARD、POSTROUTING，一般將源地址轉(zhuǎn)換配置在POSTROUTING鏈上，目的地址轉(zhuǎn)換配置在PREROUTING鏈上。由于是地址轉(zhuǎn)換要求，所以配置在nat表上，確定了表和鏈后，再進(jìn)行規(guī)則匹配，執(zhí)行動(dòng)作，配置如下。iptables-tnat-APOSTROUTING-s/24-jsnat--to03.2.2必備知識(shí)5.Tcpdump工具的使用tcpdump是網(wǎng)絡(luò)抓包工具，可以針對(duì)關(guān)鍵字，如主機(jī)名（HOST）、網(wǎng)段（NET）、端口（PORT）抓取網(wǎng)絡(luò)中的流量，也可以針對(duì)數(shù)據(jù)包的方向，如源（src）、目的（dst）進(jìn)行抓包，還可以針對(duì)協(xié)議如tcp/udp/imcp等協(xié)議進(jìn)行抓包。（1）tcpdump工具常用選項(xiàng)①-i監(jiān)聽(tīng)的網(wǎng)絡(luò)接口②-e在輸出行打印出數(shù)據(jù)鏈路層的頭部信息，包括源mac和目的mac，以及網(wǎng)絡(luò)層的協(xié)議。③-nn指定將每個(gè)監(jiān)聽(tīng)到數(shù)據(jù)包中的域名轉(zhuǎn)換成IP、端口從應(yīng)用名稱(chēng)轉(zhuǎn)換成端口號(hào)后顯示。④-v輸出一個(gè)稍微詳細(xì)的信息，例如在ip包中可以包括ttl和服務(wù)類(lèi)型的信息。⑤-vv輸出詳細(xì)的報(bào)文信息。⑥-c在收到指定的包的數(shù)目后，tcpdump就會(huì)停止。⑦-w將輸出結(jié)果寫(xiě)到某個(gè)文件中。⑧-t不顯示抓包時(shí)間戳。3.2.2必備知識(shí)5.Tcpdump工具的使用tcpdump是網(wǎng)絡(luò)抓包工具，可以針對(duì)關(guān)鍵字，如主機(jī)名（HOST）、網(wǎng)段（NET）、端口（PORT）抓取網(wǎng)絡(luò)中的流量，也可以針對(duì)數(shù)據(jù)包的方向，如源（src）、目的（dst）進(jìn)行抓包，還可以針對(duì)協(xié)議如tcp/udp/imcp等協(xié)議進(jìn)行抓包。（1）tcpdump工具常用選項(xiàng)①-i監(jiān)聽(tīng)的網(wǎng)絡(luò)接口（2）過(guò)濾命令①類(lèi)型關(guān)鍵字主要包括host，net，port，如host，指定主機(jī)，net/24指明是一個(gè)網(wǎng)絡(luò)地址，port21指明端口號(hào)是21。②方向關(guān)鍵字主要包括src，dst，dstorsrc，dstandsrc，如src，指明數(shù)據(jù)包中源地址是，dstnet/24指明目的網(wǎng)絡(luò)地址是/24，方向關(guān)鍵字可以和類(lèi)型關(guān)鍵字聯(lián)合使用，如源IP為并且目的端口是22可以寫(xiě)成srchostanddstport22。③協(xié)議關(guān)鍵字主要包括arp，ip，icmp，tcp，udp等協(xié)議，默認(rèn)tcpdump會(huì)監(jiān)聽(tīng)所有協(xié)議的數(shù)據(jù)包。3.2.2必備知識(shí)5.Tcpdump工具的使用（2）應(yīng)用舉例①監(jiān)聽(tīng)本機(jī)ens160端口與0的數(shù)據(jù)包tcpdump-iens160host0②監(jiān)聽(tīng)所有端口關(guān)于/24網(wǎng)絡(luò)地址的數(shù)據(jù)包tcpdumpnet/24③監(jiān)聽(tīng)端口ens192的關(guān)于/24主機(jī)且端口為80的數(shù)據(jù)包tcpdump-iens192net0/24anddstport80④監(jiān)聽(tīng)ens160上所有tcp協(xié)議并且目標(biāo)端口是22的數(shù)據(jù)包tcpdump-iens160tcpanddstport223.2.2必備知識(shí)5.Tcpdump工具的使用⑤監(jiān)聽(tīng)ens160源服務(wù)器node和目的端口不是80的數(shù)據(jù)，顯示數(shù)據(jù)鏈路層信息，以IP地址和端口號(hào)方式顯示。將結(jié)果導(dǎo)入文件1.txt中。tcpdump-nn-e-iens160srchostanddstportnot23-w1.txt②-e在輸出行打印出數(shù)據(jù)鏈路層的頭部信息，包括源mac和目的mac，以及網(wǎng)絡(luò)層的協(xié)議。③-nn指定將每個(gè)監(jiān)聽(tīng)到數(shù)據(jù)包中的域名轉(zhuǎn)換成IP、端口從應(yīng)用名稱(chēng)轉(zhuǎn)換成端口號(hào)后顯示。④-v輸出一個(gè)稍微詳細(xì)的信息，例如在ip包中可以包括ttl和服務(wù)類(lèi)型的信息。⑤-vv輸出詳細(xì)的報(bào)文信息。⑥-c在收到指定的包的數(shù)目后，tcpdump就會(huì)停止。⑦-w將輸出結(jié)果寫(xiě)到某個(gè)文件中。⑧-t不顯示抓包時(shí)間戳。3.2.3配置Iptables過(guò)濾數(shù)據(jù)包1.修改主機(jī)IP地址和網(wǎng)絡(luò)4臺(tái)服務(wù)器IP地址規(guī)劃如表3-2所示。設(shè)備名稱(chēng)網(wǎng)卡IP地址網(wǎng)關(guān)網(wǎng)絡(luò)服務(wù)器node1ens160/24VMnet1服務(wù)器node2ens160/24VMnet1服務(wù)器node3ens160/24

VMnet1Ens192/24

VMnet8Windows10主機(jī)VMwareNetworkAdapterVMnet8/24

VMnet8表3-2任務(wù)3-2主機(jī)IP地址規(guī)劃表3.2.3配置Iptables過(guò)濾數(shù)據(jù)包1.修改主機(jī)IP地址和網(wǎng)絡(luò)根據(jù)表3-2的IP地址規(guī)劃配置4臺(tái)服務(wù)器的IP地址和網(wǎng)關(guān)，其中服務(wù)器node1的IP地址和網(wǎng)關(guān)配置如圖3-43所示，這里在IP地址的配置中配置了GATEWAY網(wǎng)關(guān)，同配置默認(rèn)路由功能一致，同時(shí)配置了DNS服務(wù)器地址為，提供域名解析服務(wù)。圖3-43任務(wù)3-2服務(wù)器node1的IP地址和網(wǎng)關(guān)配置3.2.3配置Iptables過(guò)濾數(shù)據(jù)包1.修改主機(jī)IP地址和網(wǎng)絡(luò)配置服務(wù)器node1的ens160網(wǎng)卡屬于VMnet1網(wǎng)絡(luò)，如圖2-44所示。圖3-44任務(wù)3-2服務(wù)器node1的ens160網(wǎng)卡屬于VMnet13.2.3配置Iptables過(guò)濾數(shù)據(jù)包1.修改主機(jī)IP地址和網(wǎng)絡(luò)

同理按照地址規(guī)劃表配置服務(wù)器node2、服務(wù)器node3的IP地址和網(wǎng)絡(luò)，windows10主機(jī)連接到VMnet8虛擬交換機(jī)的網(wǎng)卡是VMwareNetworkAdapterVMnet8，默認(rèn)配置了/24的IP地址。3.2.3配置Iptables過(guò)濾數(shù)據(jù)包2.配置只允許windows10主機(jī)遠(yuǎn)程登錄服務(wù)器node3

在默認(rèn)情況下，服務(wù)器node3是開(kāi)啟了sshd遠(yuǎn)程登陸服務(wù)的，所以任意一臺(tái)與服務(wù)器node3相連的主機(jī)，只要具備ssh協(xié)議的客戶(hù)端，就可以登陸到服務(wù)器node3上，如在服務(wù)器node1上登錄服務(wù)器node3的過(guò)程如圖3-45所示。圖3-45任務(wù)3-2服務(wù)器node1遠(yuǎn)程登陸服務(wù)器node33.2.3配置Iptables過(guò)濾數(shù)據(jù)包2.配置只允許windows10主機(jī)遠(yuǎn)程登錄服務(wù)器node3

從圖中看出，在服務(wù)器node1命令行中，使用ssh，當(dāng)出現(xiàn)保存公鑰信息時(shí)，輸入yes,然后輸入服務(wù)器node3的密碼后即成功登錄到了服務(wù)器node3上，在服務(wù)器node2上使用該方法同樣可以登陸到node3上，如圖3-46所示。圖3-46任務(wù)3-2服務(wù)器node2遠(yuǎn)程登陸服務(wù)器node33.2.3配置Iptables過(guò)濾數(shù)據(jù)包2.配置只允許windows10主機(jī)遠(yuǎn)程登錄服務(wù)器node3

顯示只要與服務(wù)器node3連網(wǎng)的計(jì)算機(jī)就能夠通過(guò)用戶(hù)名和密碼遠(yuǎn)程登陸上來(lái)是不夠安全的，所以配置Iptables規(guī)則允許windows宿主機(jī)可以使用ssh協(xié)議遠(yuǎn)程登錄服務(wù)器node3，其它主機(jī)無(wú)法登錄服務(wù)器node3，但不影響與服務(wù)器node3的其它通信。3.2.3配置Iptables過(guò)濾數(shù)據(jù)包2.配置只允許windows10主機(jī)遠(yuǎn)程登錄服務(wù)器node3（1）安裝啟動(dòng)服務(wù)iptables的命令默認(rèn)是存在的，但是無(wú)法對(duì)配置進(jìn)行保存等操作，所以需要安裝iptables-services服務(wù)，配置完成后，可以將配置保存，重啟后仍然生效，同時(shí)關(guān)閉firewalld服務(wù)，開(kāi)啟iptables服務(wù)，命令如下。[root@node3~]#yuminstalliptables-services-y[root@node3~]#systemctlstopfirewalld&&systemctldisablefirewalld[root@node3~]#systemctlstartiptables&&systemctlenableiptables這個(gè)步驟在模板機(jī)中已經(jīng)進(jìn)行了設(shè)置，這里再次強(qiáng)調(diào)基礎(chǔ)環(huán)境配置。（2）確定配置的表和鏈允許或者禁止訪問(wèn)本機(jī)的某個(gè)服務(wù)，這個(gè)數(shù)據(jù)包一定是流入本機(jī)的，所以在Iptables的PREROUTING或者INPUT鏈上配置規(guī)則，由于是過(guò)濾規(guī)則，所以將規(guī)則配置在filter表和INPUT鏈上。因?yàn)樵贗NPUT鏈、FORWARD鏈、OUTPUT鏈上定義filter表的規(guī)則。3.2.3配置Iptables過(guò)濾數(shù)據(jù)包2.配置只允許windows10主機(jī)遠(yuǎn)程登錄服務(wù)器node3（3）分析和配置sshd服務(wù)使用的是ssh協(xié)議，在傳輸層上的協(xié)議是tcp，使用的端口是22端口，又因?yàn)镮ptables的默然規(guī)則是放行所有，所以首先配置一條規(guī)則允許宿主機(jī)地址使用tcp的22端口流量，然后拒絕所有其它主機(jī)使用tcp協(xié)議的22端口流量，配置如下。[root@node3~]#iptables-tfilter-AINPUT-s-d-ptcp--dport22-jACCEPT[root@node3~]#iptables-tfilter-AINPUT-d,-ptcp--dport22-jDROP配置完成后，使用命令查看iptables的配置，如圖3-47所示。圖3-47任務(wù)3-2iptables配置3.2.3配置Iptables過(guò)濾數(shù)據(jù)包2.配置只允許windows10主機(jī)遠(yuǎn)程登錄服務(wù)器node3在重啟后iptables生效，需要保存配置，命令如下。[root@node3~]#serviceiptablessave這里需要注意的是由于服務(wù)器node3有兩個(gè)網(wǎng)卡，所以需要在第2條規(guī)則中將兩個(gè)IP地址都禁止掉，配置完成后，只要宿主機(jī)通過(guò)，即VMwareNetworkAdapterVMnet8網(wǎng)卡登錄到服務(wù)器node3上。使用服務(wù)器node1和服務(wù)器node2已經(jīng)無(wú)法遠(yuǎn)程登陸服務(wù)器node3了。3.2.3配置Iptables過(guò)濾數(shù)據(jù)包2.配置只允許windows10主機(jī)遠(yuǎn)程登錄服務(wù)器node3（4）配置修改當(dāng)配置過(guò)程中出現(xiàn)錯(cuò)誤或者需要修改的時(shí)候，有2種方法解決，一是清除所有的配置，清除命令如下。[root@node3~]#iptables-F使用-F清除默認(rèn)5個(gè)鏈上的所有配置，所以要謹(jǐn)慎使用，當(dāng)需要?jiǎng)h除某一個(gè)鏈上的某條規(guī)則時(shí)，可以使用iptables-nL--line-number查看iptables的配置并且顯示規(guī)則編號(hào)，如圖3-48所示。圖3-48任務(wù)3-2查看iptables規(guī)則顯示規(guī)則號(hào)如果想刪除INPUT表中的第3條規(guī)則，使用如下命令。[root@node3~]#iptables-DINPUT33.2.4配置Iptables實(shí)現(xiàn)源地址和目標(biāo)地址轉(zhuǎn)換1.配置源地址轉(zhuǎn)換實(shí)現(xiàn)服務(wù)器node1和服務(wù)器node2訪問(wèn)外部網(wǎng)絡(luò)（1）啟用服務(wù)器node3的路由轉(zhuǎn)發(fā)功能服務(wù)器node3有兩塊網(wǎng)卡，分別是連接服務(wù)器node1和服務(wù)器node2的ens160和連接宿主機(jī)的ens192，無(wú)論配置服務(wù)器node1和服務(wù)器node2的源地址轉(zhuǎn)換，實(shí)現(xiàn)服務(wù)器node1和服務(wù)器node2訪問(wèn)外網(wǎng)，還是配置目的地址轉(zhuǎn)換實(shí)現(xiàn)windows10主機(jī)訪問(wèn)服務(wù)器node2的WEB服務(wù)，都需要在服務(wù)器node3上開(kāi)啟路由轉(zhuǎn)發(fā)功能，方法如下。在服務(wù)器node3的/etc/sysctl.conf末尾加入以下配置。net.ipv4.ip_forward=1然后在命令行，使用sysctl-p使配置生效。3.2.3配置Iptables過(guò)濾數(shù)據(jù)包2.配置只允許windows10主機(jī)遠(yuǎn)程登錄服務(wù)器node3（2）配置Iptables源地址轉(zhuǎn)換在當(dāng)前網(wǎng)絡(luò)拓?fù)湎拢?wù)器node1和服務(wù)器node2采用僅主機(jī)模式連接是無(wú)法訪問(wèn)外部網(wǎng)絡(luò)的，服務(wù)器node3通過(guò)NAT模式連接是可以訪問(wèn)外部網(wǎng)絡(luò)的，如圖3-49所示。圖3-49任務(wù)3-2服務(wù)器node3訪問(wèn)外部公網(wǎng)地址3.2.3配置Iptables過(guò)濾數(shù)據(jù)包2.配置只允許windows10主機(jī)遠(yuǎn)程登錄服務(wù)器node3服務(wù)器node1和服務(wù)器node2連接著服務(wù)器node3的ens160網(wǎng)卡，所以在服務(wù)器node3上配置源地址轉(zhuǎn)換，即將服務(wù)器node1和服務(wù)器node2去往外部網(wǎng)絡(luò)的數(shù)據(jù)包中的源地址轉(zhuǎn)換成服務(wù)器node3連接VMnet8交換機(jī)的ens192地址，就可以實(shí)現(xiàn)服務(wù)器node1和服務(wù)器node2訪問(wèn)外部網(wǎng)絡(luò)了。（3）確定表鏈為服務(wù)器node1和服務(wù)器node2做源地址轉(zhuǎn)換，所以規(guī)則寫(xiě)在nat表中，PREROUTING鏈、POSTROUTING鏈、OUTPUT。服務(wù)器node1和服務(wù)器node2的數(shù)據(jù)經(jīng)過(guò)服務(wù)器node3，需要經(jīng)過(guò)PREROUTING鏈、FORWARD鏈、P