2.
Server1的配置正常即可,可以改变其IP地址,关闭防火墙。
3.
先将server2关机,然后点击编辑虚拟机设置
为server2添加一块网卡,使用VMnet1虚拟网卡(VMnet1使用的是192.168.100.0网段)
(注意:第二块网卡不能和第一块网卡选用相同的虚拟网卡。这里我的第一块网卡使用的虚拟网卡的IP网段为192.168.200.0网段,也就是和server1位于同一网段。而server1和server2的第一块网卡都使用VMnet8网卡,此时的VMnet8就是这两块网卡的网关,而server2的第二块网卡网段为192.168.100.0,不同于前两块网卡,所以另起VMnet1作为它的网关。)
[root@client ~]# cd /etc/sysconfig/network-scripts/
//在server2上进入网卡配置目录
[root@client network-scripts]# cp ifcfg-eth0 ifcfg-eth1
//复制eth0的网卡配置文件,将其更名为eth1。
解释:新添加的网卡默认是没有配置文件的,所以我们需要在网卡的配置目录手动编写一个配置文件。将其更名为eth1网卡的配置文件,然后进入其中修改内容。
[root@client network-scripts]# vim ifcfg-eth1
//修改eth1网卡配置文件
切记,除了修改IP地址外,上面的DEVICE的值要修改成eth1,否则它将调用eth0网卡,但是它找不到,所以IP将不能应用。
[root@client network-scripts]# ifcfg eth1 up
//启动eth1网卡
[root@client network-scripts]# service network restart
//重启网卡
[root@client network-scripts]# ifconfig
//查看网卡状态
应用成功
4.
将server3的IP地址改成192.168.100.7,并更改其网卡为VMnet1,然后关闭防火墙。
5.
此时server2拥有两块网卡,地址分别是192.168.200.6和192.168.100.6。然后我们在server2上分别Ping server1和server3,测试连通性。
无误后,我们再在server1上ping server3
可以通信。
这是因为server1的数据包发送给server2的eth0网卡,eth0网卡入站交给kernel,然后在经过eth1网卡出站,发到192.168.100.7。server2在这里就充当了网关的作用。
6.
如果出现server1和server3不能ping通,那么执行以下操作
[root@client ~]# vi /etc/sysctl.conf
//进入linux内核参数配置文件(不要用vim)
将第一个生效参数的0改成1
[root@client ~]# sysctl -p
//让其立即生效
此过程是为了打开FORWARD传输。
实践测试
[root@client ~]# iptables -t filter -L
//查看filter表里的内容,默认看的就是filter表
policy默认链规则,如果链种没有特殊设定规则,那么默认遵循默链的默认规则。
目前Chain(链)里是没有内容的,如果你的有,那么你应该没有关闭iptables服务。
由于规则是空的,所以它不会阻止任何数据包。
·从入站让它不通
Xshell的连接协议为TCP,ping的协议为ICMP
[root@client ~]# iptables -A INPUT -p icmp -j DROP
//-A不指定表名为人为filter,在INPUT,-p指定协议icmp,-j控制类型为DROP丢包
[root@client ~]# iptables -L
//查看规则
source:来源 ?destination:目标;anywhere是任何,也就是所有用户
测试:
[root@client ~]# iptables -F
//清空链里的所有规则
测试:
·从出站让他出去
[root@client ~]# iptables -A OUTPUT -p icmp -j DROP
//出站限制icmp
测试:
数据包能被接收,但是回不来了
如果不限定协议,那么将拒绝所有,xshell也将不能运行。
桥接模式模拟的其实是交换机,NAT模式模拟的其实是路由器。
[root@client ~]# yum -y install tcpdump
//安装抓包工具
[root@client ~]# tcpdump -p icmp
//实时监控抓取icmp协议包
使用Pcping虚拟机
我这里有域名,所以是·,但并不影响
192.168.200.1向·发数据包,·回复相应包给192.168.200.1。
数据包在经过VMnet8后,被重新封装转发,将源地址从PC改成VMnet8。
修改链的默认规则
[root@client ~]# iptables -A INPUT -p tcp -j ACCEPT
//先添加一条允许tcp的规则,防止xshell掉线
[root@client ~]# iptables -P INPUT DROP
//更改默认链的规则为DROP
有几个网卡,几个网段就有几个路由规则。
跨网段数据包是发给网关的,由网关选择数据包走的网卡接口。
如果不设置网关,那么数据包可以发出,但是不能回来。
实验操作
1.
[root@centos ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
//进入server3的网卡配置文件,注释网关
[root@centos ~]# service network restart
//重启网卡
//当server3注释掉网卡时,server1就不能ping server3了
在server3上进行抓包测试:
//可以看到,数据包虽然不能返回,但是server1发出的数据包是成功发到server3,但是没有回复。
当我们解除网卡的注释,在server1上ping server3,再server3上抓包测试:
可以看到,不光由从200.4接收的数据包,还有从100.7发出的数据包。
2021-2-21
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,会注明原创字样,如未注明都非原创,如有侵权请联系删除!;3.作者投稿可能会经我们编辑修改或补充;4.本站不提供任何储存功能只提供收集或者投稿人的网盘链接。 |
标签: #linux系统防火墙 #Linux防火墙