RHEL7版-项目07网络配置与Firewall课件

RHEL7版-项目07网络配置与Firewalld防火墙管理RHEL7版-项目07网络配置与Firewalld防火墙管理RHEL7版-项目07网络配置与Firewalld防火墙管理项目7网络配置与Firewalld防火墙的管理【职业知识目标】了解：网络配置文件及配置方式;防火墙的概念、功能与分类；NAT服务的概念及分类熟悉:Linux防火墙的历史演进与架构、firewalld防火墙的组成；NAT服务的工作过程掌握:主机名、以太网卡的设置；软路由器的配置；防火墙的配置；NAT的配置方法【职业能力目标】会配置主机名和网卡、路由；会配置客户端名称解析架设软路由器实现多子网连通会安装FirewallD防火墙运行管理；会使用图形工具firewall-config配置防火墙使用命令行工具firewall-cmd配置防火墙会使用firewalld防火墙部署NAT服务项目7网络配置与Firewalld防火墙的管理【职业知识目标】了解：网络配置文件及配置方式;防火墙的概念、功能与分类；NAT服务的概念及分类熟悉:Linux防火墙的历史演进与架构、firewalld防火墙的组成；NAT服务的工作过程掌握:主机名、以太网卡的设置；软路由器的配置；防火墙的配置；NAT的配置方法【职业能力目标】会配置主机名和网卡、路由；会配置客户端名称解析架设软路由器实现多子网连通会安装FirewallD防火墙运行管理；会使用图形工具firewall-config配置防火墙使用命令行工具firewall-cmd配置防火墙会使用firewalld防火墙部署NAT服务德雅职业学校校园网由路由器或具有路由功能的交换机连接起来的多个子网构成,并通过租用电信400MB光纤接入互联网。为了实现校园网内部各子网和校园网与互联网的连通,网络管理员需要从以下三个方面实施网络配置:网络主机(终端节点)的连网配置:对网络中所有计算机或服务器的主机名、网络接口(网卡)的配置(包括IP地址、子网掩码、默认网关、DNS服务器的IP地址等),以便使同一子网中的主机之间能相互连通。网络互连设备的配置:对内部网络中连接各子网的路由器和交换机的配置。其目的是实现不同子网中的主机之间能够相互连通,主要是路由信息的配置。网关设备的配置:是指在校园网与外部互联网的交界处的设备上所实施的配置。主要包括防火墙和NAT服务的配置。通过防火墙规则设置以保护校园内部网络中的主机(主要是服务器);通过NAT服务的配置以允许校园网内所有配置私网IP地址的主机能访问外部互联网,同时,外网的用户也可以访问校园网内的某些服务器。7.1项目描述7.2项目知识准备7-2-1

网络配置的主要文件和对象1.网络配置的主要文件及目录路径及文件名功能/etc/hostname用于设置和保存静态主机名/etc/machine-info用于设置和保存灵活主机名/etc/hosts用于设置主机名映射为IP地址,从而实现主机名的解析/etc/sysconfig/network-scripts/网络接口(网卡)配置文件的存放目录/etc/resolv.conf用于对主机的DNS服务器IP地址进行配置/etc/nsswitch.conf用于指定域名解析顺序/etc/services用于设置主机的不同端口对应的网络服务(一般无需修改)/usr/lib/sysctl.d/00-system.conf用于开启或关闭路由转发功能,从而使数据包能在不同子网之间转发/etc/sysconfig/network-scripts/route-ensXX用于设置并保存静态路由信息,从而将Linux服务器构建为软路由器2.网络配置的主要对象——网络接口与网络连接网络接口是指网络中的计算机或网络设备与其他设备实现通讯的进出口。这里,主要是指计算机的网络接口即网卡设备。从RHEL7开始引入了一种新的“一致网络设备命名”的方式为网络接口命名,该方式可以根据固件、设备拓扑、设备类型和位置信息分配固定的名字。网络接口的名称的前两个字符为网络类型符号。如:en——示以太网(Ethernet)、wl表示无线局域网(wlan)、ww表示无线广域网(wwan);接下来的字符根据设备类型或位置选择,如:o<index>——表示内置(onboard)于主板上的集成设备(即集成网卡)及索引号;s<slot>——表示是插在可以热拔插的插槽上的独立设备及索引号;x<MAC>——表示基于MAC地址命名的设备;p<bus>——表示PCI插槽的物理位置及编号。网络连接则是为网络接口实施配置的设置集合。在同一个网络接口上,可以有多套不同的设置方案,即一个网络接口可以有多个网络连接,但同一时间只能有一个网络连接处于活动状态。7-2-1

网络配置的主要文件和对象7.2.2认识防火墙1．什么是防火墙防火墙——是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。2.防火墙的功能①过滤进出网络的数据包,封堵某些禁止的访问行为②对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。③对网络攻击进行检测和告警。防火墙可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径,并通知防火墙管理员。④提供数据包的路由选择和网络地址转换(NAT),从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求。7.2.2认识防火墙3.防火墙的类型1）按采用的技术划分①包过滤型防火墙——在网络层或传输层对经过的数据包进行筛选。筛选的依据是系统内设置的过滤规则，通过检查数据流中每个数据包的IP源地址、IP目的地址、传输协议(TCP、UDP、ICMP等)、TCP/UDP端口号等因素，来决定是否允许该数据包通过。（包的大小1500字节）②代理服务器型防火墙——是运行在防火墙之上的一种应用层服务器程序，它通过对每种应用服务编制专门的代理程序，实现监视和控制应用层数据流的作用。7.2.2认识防火墙2）按实现的环境划分①软件防火墙：学校、上前台电脑的网吧普通计算机+通用的操作系统（如：linux）②硬件（芯片级）防火墙：基于专门的硬件平台和固化在ASIC芯片来执行防火墙的策略和数据加解密，具有速度快、处理能力强、性能高、价格比较昂贵的特点（如：NetScreen、FortiNet）通常有三个以上网卡接口外网接口：用于连接Internet网；内网接口：用于连接代理服务器或内部网络；DMZ接口（非军事化区）：专用于连接提供服务的服务器群。Console口4个10/100/1000口并发连接数:500000网络吞吐量:1100Mbps过滤带宽:250Mbps

CheckPointUTM-1570

7.2.2认识防火墙7.2.3Linux防火墙历史演进与架构1．Linux防火墙的历史从1.1内核开始，Linux系统就已经具有包过滤功能了，随着Linux内核版本的不断升级，Linux下的包过滤系统经历了如下4个阶段：在2.0内核中，包过滤的机制是ipfw，管理防火墙的命令工具是ipfwadm。在2.2内核中，包过滤的机制是ipchain，管理防火墙的命令工具是ipchains。在2.4之后的内核中，包过滤的机制是netfilter，防火墙的命令工具是iptables。在3.10之后的内核中,包过滤机制是netfilter,管理防火墙的工具有firewalld、iptables等。firewalld的官网：/2．Linux防火墙的架构Linux防火墙系统由以下三层架构的三个子系统组成:

①内核层的netfilter：netfilter是集成在内核中的一部分作用是定义、保存相应的过滤规则。提供了一系列的表，每个表由若干个链组成，而每条链可以由一条或若干条规则组成。netfilter是表的容器，表是链的容器，而链又是规则的容器。表→链→规则的分层结构来组织规则②中间层服务程序:是连接内核和用户的与内核直接交互的监控防火墙规则的服务程序或守护进程,它将用户配置的规则交由内核中的netfilter来读取,从而调整防火墙规则。③用户层工具:是Linux系统为用户提供的用来定义和配置防火墙规则的工具软件。7.2.3Linux防火墙历史演进与架构表→链→规则的结构来组织规则7.2.3Linux防火墙历史演进与架构7.2.4RHEL7中防火墙的构件RHEL7中引入了一种与netfilter交互的新的中间层服务程序firewalld(旧版中的iptables、ip6tables和ebtables等仍保留),firewalld是一个可以配置和监控系统防火墙规则的系统服务程序或守护进程,该守护进程具备了对IPv4、IPv6和ebtables等多种规则的监控功能,不过firewalld底层调用的命令仍然是iptables等。firewalld防火墙体系结构如图7-2所示。7.2.4RHEL7中防火墙的构件在RHEL7中用户层的配置firewalld防火墙规则的工具有以下三种:图形工具firewall-config。命令行工具firewall-cmd。直接编辑/etc/firewalld/目录中扩展名为.xml的一系列配置文件。为了简化防火墙管理,firewalld将所有网络流量划分为多个区域。根据数据包源IP地址或传入网络接口等条件,流量将转入相应区域的防火墙规则,firewalld提供的几种预定义的区域及防火墙初始规则见表7-2。7.2.4RHEL7中防火墙的构件区域(zone)区域中包含的初始规则trusted(受信任的)允许所有流入的数据包。home(家庭)拒绝流入的数据包,允许外出及服务ssh,mdns,ipp-client,samba-client与ernal(内部)拒绝流入的数据包,允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client。work(工作)拒绝流入的数据包,除非与输出流量数据包相关或是ssh,ipp-client与dhcpv6-client服务则允许。public(公开)拒绝流入的数据包,允许外出及服务ssh、dhcpv6-client,新添加的网络接口缺省的默认区域。external(外部)拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client,默认启用了伪装。dmz(隔离区)拒绝流入的数据包,除非与输出流量数据包相关,允许外出及服务ssh。block(阻塞)拒绝流入的数据包,除非与输出流量数据包相关。drop(丢弃)任何流入网络的包都被丢弃,不作出任何响应,除非与输出流量数据包相关。只允许流出的网络连接。数据包要进入到内核必须要通过这些区域(zone)中的一个,不同的区域里预定义的防火墙规则不一样(即信任度或过滤的强度不一样),人们可以根据计算机所处的不同的网络环境和安全需求将网卡连接到相应区域(默认区域是public),并对区域中现有规则进行补充完善,进而制定出更为精细的防火墙规则来满足网络安全的要求。一块物理网卡可以有多个网络连接(逻辑连接),一个网络连接只能连接一个区域,而一个区域可以接收多个网络连接。根据不同的语法来源,firewalld包含的规则有以下三种：标准规则:利用firewalld的基本语法规范所制定或添加的防火墙规则。直接规则:当firewalld的基本语法表达不够用时,通过手动编码的方式直接利用其底层的iptables或ebtables的语法规则所制定的防火墙规则。富规则:firewalld的基本语法未能涵盖的,通过富规则语法制定的复杂防火墙规则。7.2.4RHEL7中防火墙的构件公网地址与私网地址IP地址的分配与管理由ICANN管理机构负责，公网地址必须经申请后才能合法使用。为解决IP地址资源紧缺问题，IANA机构将IP地址划分了一部分出来，将其规定为私网地址，只能在局域网内使用，不同局域网可重复使用。可使用的私网地址有：一个A类地址：/816个B类地址：/16~/16256个C类地址：/16。任务7.2.5NAT技术的概念、分类与工作过程任务7.2.5NAT技术的概念、分类与工作过程1．NAT服务的概念及分类NAT(NetworkAddressTranslation,网络地址转换)是一种用另一个地址来替换IP数据包头部中的源地址或目的地址的技术。根据NAT替换数据包头部中地址的不同,NAT分为源地址转换SNAT(SourceNAT)(IP伪装)和目的地址转换DNAT(DestinationNAT)两类。SNAT技术主要应用于在企事业单位内部使用私网IP地址的所有计算机能够访问互联网上服务器,实现共享上网,并且能隐藏内部网络的IP地址。在RHEL7系统内置的防火墙中的IP伪装功能就是SNAT技术具体实现方式。DNAT技术则能让互联网中用户穿透到企事业的内部网络,访问使用私网IP地址的服务器,即无公网IP的内网服务器发布到互联网(如发布Web网站和FTP站点等)。任务7.2.5NAT技术的概念、分类与工作过程2．NAT服务器的工作过程NAT服务器的工作过程如图7-3所示。7.3项目实施任务7-1主机名的配置在RHEL7中,引入了静态(static)、瞬态(transient)和灵活(pretty)三种主机名。“静态”主机名——也称为内核主机名,是系统在启动时从/etc/hostname自动初始化的主机名。“瞬态”主机名——是在系统运行时临时分配的主机名,例如,通过DHCP或DNS服务器分配。静态主机名和瞬态主机名都遵从作为互联网域名同样的字符限制规则,“灵活”主机名——是允许使用自由形式(可包括特殊/空白字符)的主机名,以展示给终端用户(如Tom'sComputer)。选项说明如下：status——可同时查看静态、瞬态和灵活三种主机名及其相关的设置信息。--static——仅查看静态(永久)主机名。--transient——仅查看瞬态(临时)主机名。--pretty——仅查看灵活主机名。任务7-1主机名的配置hostnamectl[status][--static|--transient|--pretty]1.查看主机名查看主机名的命令一般格式如下:[root@dyzx~]#hostnamectlstatusStatichostname:Iconname:computer-vmChassis:vmMachineID:ebcaefed3f4d4359a7113ab85ec89629BootID:76f5e89582ff4e62930bfc2f5ee33aa6Virtualization:vmwareOperatingSystem:RedHatEnterpriseLinuxServer7.3(Maipo)CPEOSName:cpe:/o:redhat:enterprise_linux:7.3:GA:serverKernel:Linux3.10.0-514.el7.x86_64Architecture:x86-64查看、修改瞬态(临时)主机名的命令如下:任务7-1主机名的配置hostnamectl[--static|--transient|--pretty]set-hostname<新主机名>2.修改主机名修改主机名的命令一般格式如下:[root@dyzx~]#hostnamectl--transient //查看修改前的瞬态主机名[root@dyzx~]#hostnamectl--transientset-hostnameserver1 //修改瞬态主机名[root@dyzx~]#hostnamectl--transient //查看修改后的瞬态主机名server1查看、修改静态(永久)主机名的命令如下:[root@dyzx~]#hostnamectl--static //查看修改前的静态主机名[root@dyzx~]#hostnamectl--staticset-hostname //修改静态主机名[root@dyzx~]#hostnamectl--static //查看修改后的静态主机名当用hostnamectl命令修改静态主机名后,/etc/hostname文件中保存的主机名会被自动更新,而/etc/hosts文件中的主机名却不会自动更新,因此,在每次修改主机名后,一定要手工更新/etc/hosts文件,在其中添加新的主机名与IP地址的映射关系任务7-1主机名的配置[root@dyzx~]#bash //重新开启Shell[root@server2~]#2.修改主机名查看在设置新的静态主机名后,会立即修改内核主机名,只是在提示符中“@”后面的主机名还未自动刷新,此时,只要执行重新开启Shell登录命令,便可在提示符中显示新的主机名。[root@server2~]#vim/etc/hosts localhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1 localhostlocalhost.localdomainlocalhost6localhost6.localdomain61 //添加此行,其中1是本机的IP地址:wq //保存退出由上可见,在修改静态/瞬态主机名时,任何特殊字符或空白字符会被移除,并且大写字母会自动转化为小写字母,而灵活主机名则保持了原样,这正是起名为灵活主机名的缘由。任务7-1主机名的配置[root@server2~]#hostnamectlset-hostname"Zhang3'sComputer"[root@server2~]#hostnamectl--static //查看静态主机名zhang3scomputer[root@server2~]#hostnamectl--transient //查看瞬态主机名zhang3scomputer[root@server2~]#hostnamectl--pretty //查看灵活主机名Zhang3'sComputer2.修改主机名同时修改静态、瞬态和灵活三种主机名的命令如下:任何一台计算机要连接到网络,都需要对该机的网络接口进行配置,而对网络接口的配置,实际上就是在网络接口上添加一个或多个网络连接。添加网络连接的方式有两种：添加临时生效的网络连接:该方式适合在调试网络时临时使用。这种方式虽然在设置后能马上生效,但由于是直接修改目前运行内核中的网络参数,并未改动网络连接配置文件中的内容,因此在系统或网络服务重启后会失效。持久生效的网络连接配置:此方式是对存放网络连接参数的配置文件进行修改或设置,适合在长期稳定运行的计算机上使用。其配置工具有vim、nmtui和nmcli等。任务7-2网络接口(网卡)的配置1．使用ip命令配置临时生效的网络连接命令用法功能ip[-s]addrshow[网卡设备名]查看网卡在网络层的配置信息,加-s表示增添显示相关统计信息,如接收(RX)及传送(TX)的数据包数量等ip[-s]linkshow[网卡设备名]查看网卡在链路层的配置信息ip[-4]addradd|delIP地址[/掩码长度]dev网卡连接名ip-6addradd|delIP地址[/掩码长度]dev网卡连接名添加或删除网卡的临时IPv4地址添加或删除网卡的临时IPv6地址iplinksetdev网卡的设备名down|up禁用|启用指定网卡任务7-2网络接口(网卡)的配置1．使用ip命令配置临时生效的网络连接【例7-1】在RHEL7-1主机上,为网卡ens33临时添加一个IP地址1/24,并查看其配置结果。在重启网卡后再次查看配置的结果。操作的命令如下:任务7-2网络接口(网卡)的配置[root@RHEL7-1~]#ipaddrshowens33//查看接口ens33当前的IP地址和子网掩码2:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscpfifo_faststate❶UPqlen1000

❷link/ether00:0c:29:3d:b8:92brdff:ff:ff:ff:ff:ff

❸inet1/24❹brd55scopeglobalens33valid_lftforeverpreferred_lftforever

❺inet6fe80::1671:5718:ea13:ef42/64scopelinkvalid_lftforeverpreferred_lftforever➊已启用的活动接口的状态为UP,禁用接口的状态为DOWN。➋link行指定网卡设备的硬件(MAC)地址。➌inet行显示IPv4地址和网络前缀(子网掩码)。➍广播地址、作用域和网卡设备的名称。➎inet6行显示IPv6信息。1．使用ip命令配置临时生效的网络连接任务7-2网络接口(网卡)的配置[root@RHEL7-1~]#ipaddradd6/24devens33 //在接口ens33上添加临时IP地址

[root@RHEL7-1~]#ipaddrshowens332:ens33:<BROADCAST,MULTICAST,UP,LOWER_UP>mtu1500qdiscpfifo_faststateUPqlen1000link/ether00:0c:29:3d:b8:92brdff:ff:ff:ff:ff:ffinet1/24brd55scopeglobalens33valid_lftforeverpreferred_lftforeverinet6/24scopeglobalens33valid_lftforeverpreferred_lftforeverinet6fe80::1671:5718:ea13:ef42/64scopelinkvalid_lftforeverpreferred_lftforever[root@RHEL7-1~]#iplinksetdevens33down[root@RHEL7-1~]#iplinksetdevens33up

[root@RHEL7-1~]#ipaddrshow //显示所有网络接口的当前IP地址和子网掩码//省略显示结果2．用vim直接编辑持久生效的网卡配置文件【例7-2】在RHEL7-1主机上,通过编辑网络连接配置文件为网卡ens33配置网络参数。其配置方法如下:任务7-2网络接口(网卡)的配置[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33TYPE=Ethernet //指定网络类型为以太网模式BOOTPROTO=none //指定启动地址协议的获取方式(dhcp或bootp为自动获取,none //为放弃自动获取,一般用于网卡绑定时,static为静态指定IPDEFROUTE=yes //是否把这个ens38设置为默认路由IPV4_FAILURE_FATAL=no //如果IPv4配置失败,设备是否被禁用IPV6INIT=yes //允许在该网卡上启动IPV6的功能IPV6_AUTOCONF=yes //是否使用IPV6地址的自动配置IPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33 //网络连接标识名UUID=00decbce-3c43-47f1-82a6-627cbd80188f //网卡全球通用唯一识别码DEVICE=ens33 //网卡设备名ONBOOT=yes //设置系统或网络服务在启动时是否启动该接口IPADDR=1 //设置IP地址PREFIX=24 //设置子网掩码GATEWAY=54 //设置网关DNS1= //设置DNS的IP地址IPV6_PEERDNS=yesIPV6_PEERROUTES=yesHWADDR=00:0C:29:C7:FE:8A //网卡的物理地址(也称网卡号)[root@dyzxnetwork-scripts]#systemctlrestartnetwork.service //重启网络服务,使配置生效3．用nmtui工具修改网卡配置文件【例7-3】使用nmtui工具,为RHEL7-1主机的第二块网卡ens38配置网络参数。其配置步骤如下:步骤1:检查nmtui工具相应的服务是否启用。RHEL7默认已安装,并已开启了相应的服务(NetworkManager.service)。若nmtui工具的安装包已卸载可用以下命令进行安装、启用并检查启用状态。[root@RHEL7-1~]#yuminstallNetworkManager-tui[root@RHEL7-1~]#systemctlstartNetworkManager.service[root@RHEL7-1~]#systemctlstatusNetworkManager.service步骤2:在命令行执行以下命令:[root@rhel7-1~]#nmtui步骤3:在打开的【NetworkManag】窗口中按图7-4所示完成操作。任务7-2网络接口(网卡)的配置3．用nmtui工具修改网卡配置文件步骤4:系统返回【以太网】窗口,按【Tab】键将焦点移至【<Back>】→按【Enter】键→在返回的【NetworkManag】窗口中使用光标下移键将焦点移至【退出】选项→按【Enter】键后系统退出nmtui工具。步骤5:在命令行下,执行重启网络服务命令,使配置生效。[root@RHEL7-1]#systemctlrestartnetwork.service任务7-2网络接口(网卡)的配置4.使用nmcli命令配置网络连接命令用法功能nmclidevstatus显示所有网卡设备的状态nmcliconshow[-active][网络连接名]显示所有或活动的或指定的网络连接nmcliconaddcon-name网络连接名typeethernetifname网络接口名称[ip4ip地址/前缀gw4默认网关]为指定的网卡设备添加网络连接,并以“ifcfg-连接名”名称保存其配置文件nmcliconmod网络连接名ipv4.add“ip地址/前缀

默认网关”修改并保存指定网络连接中的IP地址和网关nmcliconup网络连接名将绑定到网络接口上指定的网络连接激活nmclidevdis网络连接名将绑定到网络接口上指定的网络连接关闭nmclicondel网络连接名删除指定的网络连接及其配置文件nmcliconreload重新读取网络连接配置文件,使其修改生效任务7-2网络接口(网卡)的配置【例7-4】使用nmcli命令完成以下系列操作：①查看当前主机中所有网卡设备的状态信息。任务7-2网络接口(网卡)的配置[root@rhel7-1~]#nmclidevstatus设备

类型

状态 CONNECTIONEns33 ethernet 连接的 ens33Ens38 ethernet 已断开 --Lo loopback 未管理 --②查看网络连接的信息。[root@RHEL7-1~]#nmcliconshow //查看所有网络连接

名称 UUID 类型

设备Ens33 0243e05a-81f0-4671-93e0-55a4be1dcdbe 802-3-ethernet ens33Ens38 e3e26e34-e13c-48d2-bb51-d19caaeb0d15 802-3-ethernet --[root@RHEL7-1~]#nmcliconshowens33 //查看指定网络连接的详细信息connection.id: ens33connection.uuid: 0243e05a-81f0-4671-93e0-55a4be1dcdbeconnection.stable-id: --erface-name:ens33connection.type: 802-3-ethernet//省略若干行任务7-2网络接口(网卡)的配置③在ens33设备上添加网络连接名为ens33-1的新连接。[root@RHEL7-1~]#nmcliconaddcon-nameens33-1ifnameens33typeethernetip4/24gw454成功添加的连接'ens33-1'(b926e70b-07c6-4934-b020-9f95a1777f4e)。[root@RHEL7-1~]#nmcliconshow名称 UUID 类型

设备Ens33 0243e05a-81f0-4671-93e0-55a4be1dcdbe 802-3-ethernet ens33Ens38 e3e26e34-e13c-48d2-bb51-d19caaeb0d15 802-3-ethernet --ens33-1 b926e70b-07c6-4934-b020-9f95a1777f4e 802-3-ethernet --④修改ens33-1网络连接在其中添加首选DNS的IP地址和辅助DNS的IP地址[root@RHEL7-1~]#nmcliconmodifyens33-1ipv4.dns[root@RHEL7-1~]#nmcliconmodifyens33-1+ipv4.dns⑤修改ens33网络连接,使得开机时能自动启动,并将IP地址/前缀修改为21/24。[root@RHEL7-1~]#nmcliconmodiens33autoconnectyesipv4.add21/24[root@RHEL7-1~]#nmcliconupens33 //激活连接使修改后的配置立即生效⑥删除网络连接ens33-1及其配置文件。[root@RHEL7-1~]#nmcliconnectiondeleteens33-15.为Linux主机指派域名解析(1)通过/etc/hosts文件实现域名解析【例7-5】添加主机名与IP地址7的对应记录。[root@RHEL7-1~]#vim/etc/hostslocalhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain6 RHEL7-1.7

任务7-2网络接口(网卡)的配置(2)通过/etc/resolv.conf文件指派域名解析服务的地址【例7-6】为当前主机设置如下DNS主机地址:0、。[root@RHEL7-1~]#vim/etc/resolv.conf#GeneratedbyNetworkManagernameserver0nameserver5.为Linux主机指派域名解析(3)指定域名解析的顺序/etc/hosts和/etc/resolv.conf文件均可响应域名解析的请求,其响应的先后顺序可在文件/etc/nsswitch.conf中设置,其默认解析顺序为hosts文件、resolv.conf文件中的DNS服务器。[root@RHEL7-1~]#grephosts/etc/nsswitch.conf#hosts:dbfilesnisplusnisdnshosts:filesdns //其中的files代表用hosts文件来进行名称解析任务7-2网络接口(网卡)的配置任务7-2网络接口(网卡)的配置6．测试网络的连通性(1)使用ping命令测试网络的连通性命令一般格式为:ping[选项]<目标主机名或IP地址>常用选项:-c数字——用于设定本命令发出的ICMP消息包的数量,若无此选项,则会无限次发送消息包直到用户按下【Ctrl+C】组合键才终止命令。-s字节数——设置ping命令发出的消息包的大小,默认发送的测试数据大小为56字节;自动添加8字节的ICMP协议头后,显示的是64字节;再添加20字节的IP协议头,则显示的为84字节。最大设置值为65507B。-i时间间隔量——设定前后两次发送ICMP消息包之间的时间间隔,无此选项时,默认时间间隔为1秒。为了保障本机和目标主机的安全,一般不要小于0.2秒。-t——设置存活时间TTL(TimeToLive)。【例7-7】使用ping命令,向百度网站()发送三个测试数据包。[root@RHEL7-1~]#ping-c3任务7-2网络接口(网卡)的配置6．测试网络的连通性(2)使用tracepath命令跟踪并显示网络路径命令一般格式为:tracepath[选项]<目标主机名或目标IP地址>常用选项:-n——对沿途各主机节点,仅仅获取并输出IP地址,不在每个IP地址的节点设备上通过DNS查找其主机名,以此来加快测试速度。-b——对沿途各主机节点同时显示IP地址和主机名。-l包长度——设置初始的数据包的大小。-p端口号——设置UDP传输协议的端口(缺省为33434)。【例7-8】跟踪从本主机到目标主机(如)的路由途径。[root@RHEL7-1~]#tracepath1?:[LOCALHOST]pmtu15001:noreply2:2.957ms……//省略若干行Resume:pmtu1500hops10back10本任务针对图7-5中(具有3个子网)各主机及其网卡(网卡1～网卡6)进行配置,使得主机PC1与主机PC2之间的链路能双向连通。其配置步骤如下:步骤1:按任务7-2中介绍的方法,依据图7-5标示的IP地址、子网掩码、默认网关等参数配置各网卡。任务7-3

架设软路由器实现多子网连通步骤2:在RHEL7-1和RHEL7-2两台主机上开启IP转发功能,以使各主机中的网卡不仅能收发数据包还能转发数据包。在RHEL7-1主机上开启IP转发功能的过程如下(RHEL7-2上的操作方式相同):[root@RHEL7-1~]#vim/usr/lib/sysctl.d/00-system.conf…… //省略若干行net.ipv4.ip_forward=1 //添加此行或将此行中的“0”改为“1”:wq //保存退出[root@RHEL7-1~]#sysctl-p/usr/lib/sysctl.d/00-system.conf //使修改生效(系统会显示配置参数)任务7-3

架设软路由器实现多子网连通步骤3:为了实现子网1与子网3之间永久生效的双向连通,需要在路由器RHEL7-1的ens38网卡上和RHEL7-2的ens33网卡上分别添加永久生效的静态路由记录:[root@RHEL7-1~]#vim/etc/sysconfig/network-scripts/route-ens38/24viadevens38 //添加从子网1到子网3的路由[root@RHEL7-1~]#systemctlrestartnetwork //重启网络服务使配置生效[root@RHEL7-2~]#vim/etc/sysconfig/network-scripts/route-ens33/24viadevens33 //添加从子网3到子网1的路由[root@RHEL7-2~]#systemctlrestartnetwork //重启网络服务使配置生效[root@RHEL7-2~]#iprouteshow //查看RHEL7-2上的路由表信息/24viadevens33protostaticmetric100/24devens33protokernelscopelinksrcmetric100/24devens38protokernelscopelinksrcmetric100步骤4:在PC1上添加永久生效的能到达子网2(/24)和子网3(/24)的静态路由,在PC2上添加永久生效的能到达其他子网的默认路由,如图7-6所示。命令功能Linux系统中的命令格式Windows系统中的命令格式显示路由表iprouteshowrouteprint[-4|-6]添加或删除iprouteadd|del目标地址/子网掩码via网关route[-p]add|delete目标地址mask掩码网关metric跃点数添加或删除默认路由iprouteadd|deldefaultvia网关dev网络接口route[-p]add|deletemask掩码网关metric跃点数(-p表示添加或删除保存到注册表中的永久路由记录)任务7-3

架设软路由器实现多子网连通步骤5:验证连通性。在PC1和PC2主机上关闭各自的防火墙→使用ping命令''ping"对方的IP地址来测试连通性.如图7-7所示→使用tracert命令跟踪并显示所经过的路径,如图7-8所示。任务7-3

架设软路由器实现多子网连通1．安装firewalld软件包任务7-4

firewalld防火墙的安装与运行管理[root@RHEL7-1~]#rpm-qa|grepfirewall[root@RHEL7-1~]#yum-yinstallfirewalldfirewall-config2．firewall服务的运行管理ss-nutap|grepfirewalld(1)firewalld防火墙的状态查看、启动、停止、重启、重载服务的命令格式为:systemctlstatus|start|stop|restart|reloadfirewalld.service(2)开机自动启动或停止firewalld服务的命令格式为:systemctlenable|disablefirewalld.service(3)检查firewalld进程ps-ef|grepfirewalld(4)查看firewalld运行的端口1.认识firewall-config的工作界面任务7-5使用图形工具firewall-config配置防火墙1.认识firewall-config的工作界面任务7-5使用图形工具firewall-config配置防火墙标签名称标签的设置功能服务定义哪些区域的服务是可信的。可信的服务可以绑定该区的任意连接、接口和源地址。端口用于添加并设置允许访问的主机或者网络的附加端口或端口范围。协议用于添加所有主机或网络均可访问的协议源端口添加额外的源端口或范围,它们对于所有可连接至这台主机的所有主机或网络都需要是可以访问的。伪装将本地的私有网络的多个IP地址进行隐藏并映射到一个公网IP,伪装功能目前只能适用于ipv4。端口转发将本地系统的(源)端口映射为本地系统或其他系统的另一个(目标)端口,此功能只适应于IPv4ICMP过滤器可以选择Internet控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应富规则用于同时基于服务、主机地址、端口号等多种因素,进行更详细、更复杂的规则设置,优先级最高。接口用于为所选区域绑定相应的网络接口(即网卡)来源用于为所选区域添加来源地址或地址范围2.firewall-config的使用【例7-9】允许其他主机访问本机的http服务,仅当前生效。任务7-5使用图形工具firewall-config配置防火墙2.firewall-config的使用【例7-10】开放本机的8080-8088端口且重启后依然生效。任务7-5使用图形工具firewall-config配置防火墙2.firewall-config的使用【例7-11】过滤“echo-reply”的ICMP协议报文数据包,仅当前生效。任务7-5使用图形工具firewall-config配置防火墙2.firewall-config的使用【例7-12】仅允许8主机访问本机()的1520端口,当前生效。任务7-5使用图形工具firewall-config配置防火墙2.firewall-config的使用【例7-13】将本机的网络接口ens38添加到dmz区域,仅运行时生效。任务7-5使用图形工具firewall-config配置防火墙firewall-cmd命令一般格式为:任务7-6

使用命令行工具firewall-cmd配置防火墙firewall-cmd参数1[参数2][参数3]……参数作用--state查询当前防火墙状态--panic-on拒绝所有包。--permanent永久生效的设置。永久选项不直接影响运行时的状态,仅在重载或者重启服务时可用--reload重新加载“永久”生效的配置规则,使其立即生效,否则要重启后才生效--zone=<区域名称>指定区域,若未指定区域则为当前默认区域--get-service查看当前激活services.取得当前支持service--get-active-zones查看当前活动区域(已经有网络接口连接的区域)--get-service--permanent查看当前服务配置是否生启后还是生效--get-default-zone查询当前默认的区域--set-default-zone=<区域名称>将指定区域设置为默认区域,。此命令会改变运行时配置和永久配置--list-ports查看默认区域或指定区域的端口--list-services查看所有允许的服务--list-all[--zone=<区域名>]显示指定区域全部启用的特性。若省略区域,将显示默认区域的信息--list-all-zones显示所有区域的特性(网卡配置参数,资源,端口以及服务等信息。--get-zones显示所有可用的区域。列出当前有几个zone--get-services显示预先定义的服务--get-active-zones显示当前正在使用(被网卡或源关联)的所有区域--add-source=将来源于此IP或子网的流量导向指定的区域--remove-source=不再将此IP或子网的流量导向某个指定区域任务7-6

使用命令行工具firewall-cmd配置防火墙参数作用--get-active-zones显示当前正在使用(被网卡或源关联)的所有区域--add-source=将来源于此IP或子网的流量导向指定的区域--remove-source=不再将此IP或子网的流量导向某个指定区域--add-interface=<网卡名称>将来自于该网卡的所有流量都导向某个指定区域--change-interface=<网卡名称>将指定的网卡接口修改到指定的区域,即将接口添加到选定的区域--remove-interface=<网卡名称>从区域中删除一个接口--query-interface=<网卡名称>查询区域中是否包含某接口--add-service=<服务名>设置默认区域或指定区域允许该服务的流量(添加开放的服务)--remove-service=<服务名>禁用区域中的指定服务--query-service=<服务名>查询区域中的服务是否启用--add-port=<端口号>[-<端口号>]/协议>启用区域中的一个端口-协议组合--remove-port=<端口号>[-<端口号>]/协议>禁用区域中的一个端口-协议组合--query-port=<端口号>[-<端口号>]/协议>查询区域中的端口-协议组合是否启用[--zone=<zone>]--add-masquerade启用伪装。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于IPv4[--zone=<zone>]--remove-masquerade禁止区域中的伪装的状态[--zone=<zone>]--query-masquerade查询区域中的伪装的状态[--zone=<zone>]--add-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}在指定区域或默认区域中启用端口转发或映射--panic-on|off启动/关闭应急状况模式,应急状况模式启动后会禁止所有的网络连接,一切服务的请求也都会被拒绝【例7-14】假设在内网架设了一台Web服务器,IP地址是,端口是80,设置内网网段/24中的主机均可以访问此Web服务器,如图7-16所示。步骤1:按图7-16所示配置各主机和网卡参数→在RHEL7-2主机上重启Firewalld防火墙→查看当前防火墙的配置。[root@RHEL7-2~]#systemctlrestartfirewalld.service[root@RHEL7-2~]#firewall-cmd--list-all任务7-6

使用命令行工具firewall-cmd配置防火墙步骤2:查看当前的默认区域→查询ens33网卡所属的区域→设置默认区域为dmz→将ens33网卡永久移至dmz区域→重新载入防火墙设置使上述设置立即生效[root@RHEL7-2~]#firewall-cmd--get-default-zonepublic[root@RHEL7-2~]#firewall-cmd--get-zone-of-interface=ens33public[root@RHEL7-2~]#firewall-cmd--set-default-zone=dmz[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--change-interface=ens33[root@RHEL7-2~]#firewall-cmd--reload步骤3:安装httpd服务软件包→启用httpd服务→创建网站的测试首页。[root@RHEL7-2~]#yum-yinstallhttpd[root@RHEL7-2~]#systemctlstarthttpd.service[root@RHEL7-2~]#echo"防火墙配置测试">/var/www/html/index.html任务7-6

使用命令行工具firewall-cmd配置防火墙步骤4:测试:在本机可成功访问网站→在网段/24中的其他主机上访问失败。[root@RHEL7-2~]#curl防火墙配置测试 //在本机RHEL7-2上访问成功[root@RHEL7-1~]#curlcurl:(7)Failedconnectto:80;没有到主机的路由

//在其他主机RHEL7-1上访问失败步骤5:在dmz区域允许http服务流量通过,要求立即生效且永久有效。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-service=http[root@RHEL7-2~]#firewall-cmd--reload步骤6:在网段/24的其他主机上再次访问网站便可成功。[root@RHEL7-1~]#curl防火墙配置测试任务7-6

使用命令行工具firewall-cmd配置防火墙【例7-15】为了安全起见,将【例7-14】中的Web服务器工作在8080端口,现要求通过端口转换,让用户能通过“”的地址格式访问。步骤1:配置httpd服务,使其工作在8080端口→重启httpd服务。[root@RHEL7-2~]#vim/etc/httpd/conf/httpd.conf…… //省略若干行Listen8080 //42行:将httpd监听端口修改为8080…… //省略若干行:wq //保存退出[root@RHEL7-2~]#systemctlrestarthttpd.service步骤2:允许8080与8088端口流量通过dmz区域,立即生效且永久生效;查看对端口的操作是否成功。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-port=8080-8088/tcp[root@RHEL7-2~]#firewall-cmd--reload[root@RHEL7-2~]#firewall-cmd--zone=dmz--list-ports8080-8088/tcp[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--list-ports8080-8088/tcp任务7-6

使用命令行工具firewall-cmd配置防火墙步骤3:初步测试。在本机和其他主机上使用“:8080”格式访问均能成功,而使用“”格式访问均失败。[root@RHEL7-1~]#curl:8080防火墙配置测试[root@RHEL7-2~]#curl:8080防火墙配置测试[root@RHEL7-2~]#curlcurl:(7)Failedconnectto:80;拒绝连接步骤4:添加一条永久生效的富规则,把从/24网段进入的数据流的目标80端口转换为8080端口→让以上配置立即生效→查看dmz区域的配置结果。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-rich-rule="rulefamily=ipv4sourceaddress=/24forward-portport=80protocol=tcpto-port=8080"[root@RHEL7-2~]#firewall-cmd--reload[root@RHEL7-2~]#firewall-cmd--list-allzone=dmz任务7-6

使用命令行工具firewall-cmd配置防火墙步骤5:添加一条富规则,拒绝/24网段的用户访问http服务。[root@RHEL7-2~]#firewall-cmd--permanent--zone=dmz--add-rich-rule="rulefamily=ipv4sourceaddress=/24servicename=httprejectsuccess步骤6:测试。在网段/24的某台主机中,在打开的浏览器的地址栏中输入“/”,若能成功访问,则表明防火墙成功地将80端口转换到了8080端口,如图7-17所示。。任务7-6

使用命令行工具firewall-cmd配置防火墙通过端口转发,使非标准的Web服务端口(8080)转换为标准的80端口,使网络用户能通过80端口方便地访问内网中8080端口的Web服务器。【例7-16】部署SNAT和DNAT服务,使得内部网络的计算机均能访问互联网且互联网中的用户能访问内部网络中的Web服务器,网络结构及配置参数如图7-18所示。任务7-7使用firewalld防火墙部署NAT服务1.使用SNAT技术实现共享上网SNAT主要通过在连接互联网的外部网卡上配置“伪装”来实现,其步骤如下:步骤1:在NAT服务器上,开启防火墙→将网络接口ens33移至外部区域(external)→将网络接口ens38移至内部区域(internal),并确保设置永久生效和立即生效。[root@RH