Linux网络操作系统项目教程（统信UOS V20）（微课版）（第5版）项目6 配置网络和firewall防火墙

《Linux网络操作系统项目教程（统信UOSV20）（微课版）（第5版）》“十二五”“十三五”职业教育国家规划教材首届全国教材建设奖全国优秀教材一等奖第6章配置网络和firewall防火墙（含NAT）能力CAPACITY要求掌握常见网络服务的配置方法掌握SNAT掌握DNAT思政IDEOLOGY导入了解我国的雪人计划的背景和意义！思政IDEOLOGY目标“盛年不重来，一日难再晨。及时当勉励，岁月不待人。”盛世之下，青年学生要惜时如金，学好知识，报效国家。思政IDEOLOGY内容雪人计划：

2019年11月26日是全球互联网发展历程中值得铭记的一天，一封来自欧洲RIPENCC的邮件宣布全球43亿个IPv4地址正式耗尽，人类互联网跨入了IPv6时代。对于我国而言，在接下来的IPv6时代，我国存在着巨大机遇，其中我国推出的“雪人计划”就是一个益国益民的大事，这一计划必将助力中华民族的伟大复兴，助力我国在互联网方面取得更多话语权和发展权。让我们拭目以待吧！项目设计与准备项目知识准备项目实施项目实录一、项目知识准备修改主机名统信UOSV20主机要与网络中的其他主机通信，首先要正确配置网络。网络配置通常包括主机名、IP地址、子网掩码、默认网关、DNS服务器等的设置。设置主机名是首要任务。统信UOSV20有以下3种形式的主机名（1）静态（static）主机名（2）瞬态（transient）主机名（3）灵活（pretty）主机名一、项目知识准备修改主机名方式1．使用nmtui修改主机名[root@Server01~]#nmtui一、项目知识准备修改主机名2．使用hostnamectl修改主机名（1）查看主机名[root@Server01~]#hostnamectlstatusStatichostname:Server01（2）设置新的主机名[root@Server01~]#hostnamectlset-hostname（3）查看主机名[root@Server01~]#hostnamectlstatusStatichostname:……3．使用NetworkManager的命令行接口nmcli修改主机名（1）nmcli可以修改/etc/hostname中的静态主机名。//查看主机名[root@Server01~]#nmcligeneralhostname//设置新主机名[root@Server01~]#nmcligeneralhostnameServer01[root@Server01~]#nmcligeneralhostnameServer01（2）重启hostnamed服务让hostnamectl知道静态主机名已经被修改[root@Server01~]#systemctlrestartsystemd-hostnamed一、项目知识准备修改主机名一、项目知识准备防火墙概述通常所说的网络防火墙是套用了古代的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

通常所说的网络防火墙是套用了古代防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙可以使内部网络与互联网之间或者与其他外部网络间互相隔离、限制网络互访，以此来保护内部网络。

防火墙的分类方法多种多样，不过从传统意义上讲，防火墙大致可以分为三大类，分别是“包过滤”“应用代理”“状态检测”。项目设计与准备项目知识准备项目实施项目实录二、项目设计与准备项目设计与准备本项目要用到Server01和Client1，完成的任务如下。（1）配置Server01和Client1的网络参数。（2）创建会话。（3）配置远程服务。其中Server01的IP地址为/24，Client1的IP地址为1/24，两台计算机的网络连接方式都是桥接模式。项目设计与准备项目知识准备项目实施项目实录三、项目实施任务6-1使用系统菜单配置网络①以Server01为例。任务栏上打开“启动器”，单击“控制中心”→“网络”→“有线网络”→“有线网卡”，在有线网卡ens32一栏右侧单击“>”，打开网络配置界面，一步步完成网络配置。过程如图。②设置完成后，单击“应用”按钮应用配置，回到图1所示的界面。注意网络连接应该设置在“打开”状态，如果在“关闭”状态，请进行修改。③再次单击齿轮按钮，显示图3所示的最终配置结果，一定勾选“自动连接”选项，否则计算机启动后不能自动连接网络.三、项目实施任务6-1使用系统菜单配置网络按同样方法配置Client1的网络参数：IP地址为1/24，默认网关为54。④在Server01上测试与Client1的连通性，测试成功。[root@Server01~]#ping1-c4PING0(0)56(84)bytesofdata.64bytesfrom0:icmp_seq=1ttl=64time=0.452ms64bytesfrom0:icmp_seq=2ttl=64time=0.241ms64bytesfrom0:icmp_seq=3ttl=64time=0.341ms64bytesfrom0:icmp_seq=4ttl=64time=0.263ms---0pingstatistics---4packetstransmitted,4received,0%packetloss,time3156msrttmin/avg/max/mdev=0.241/0.324/0.452/0.082ms三、项目实施任务6-2使用图形界面配置网络使用图形界面配置网络是比较方便、简单的一种网络配置方式，仍以Server01为例。（1）使用nmtui命令来配置网络。[root@Server01~]#nmtui将依次出现如下图形配置：三、项目实施任务6-2使用图形界面配置网络（2）按下“显示”按钮，显示信息配置框，如图所示。在服务器主机的网络配置信息中填写IP地址/24等信息，单击“确定”按钮三、项目实施任务6-2使用图形界面配置网络（3）单击“返回”按钮回到nmtui图形界面初始状态，选中“启用连接”选项，激活刚才的连接“ens32”。前面有“*”号表示激活，如图所示。三、项目实施任务6-2使用图形界面配置网络（4）至此，在统信UOSV20系统中配置网络的步骤就结束了，使用ifconfig命令测试配置情况。[root@Server01~]#ifconfigens32:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inetnetmaskbroadcast55inet6fe80::58fc:be5e:bb2b:d086prefixlen64scopeid0x20<link>ether00:0c:29:c6:00:0atxqueuelen1000(Ethernet)……三、项目实施任务6-3使用nmcli命令配置网络1．常用命令nmcliconnectionshow：显示所有连接。nmcliconnectionshow--active：显示所有活动的连接状态。nmcliconnectionshow"ens32"：显示网络连接配置。nmclidevicestatus：显示设备状态。nmclideviceshowens32：显示网络接口属性。nmcliconnectionaddhelp：查看帮助。nmcliconnectionreload：重新加载配置。nmcliconnectiondowntest2：禁用test2的配置，注意一个网卡可以有多个配置。nmcliconnectionuptest2：启用test2的配置。nmclidevicedisconnectens32：禁用ens32网卡，物理网卡。nmclideviceconnectens32：启用ens32网卡。三、项目实施任务6-3使用nmcli命令配置网络2．创建新连接配置（1）创建新连接配置default，IP通过DHCP自动获取[root@Server01~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens327f7ebeee-6baa-3528-b092-f4fc37273528ethernetens32[root@Server01~]#nmcliconnectionaddcon-namedefaulttypeEthernetifnameens32连接"default"(01178d20-ffc4-4fda-a15a-0da2547f8545)已成功添加。三、项目实施任务6-3使用nmcli命令配置网络2．创建新连接配置（2）删除连接[root@Server01~]#nmcliconnectiondeletedefault成功删除连接"default"(01178d20-ffc4-4fda-a15a-0da2547f8545)。（3）创建新的连接配置test2，指定静态IP，不自动连接[root@Server01~]#nmcliconnectionaddcon-nametest2ipv4.methodmanualifnameens32autoconnectnotypeEthernetipv4.addresses00/24gw454连接"test2"(e6404347-f914-4505-8cf8-ef4ab198d90e)已成功添加。三、项目实施任务6-3使用nmcli命令配置网络2．创建新连接配置（4）参数说明con-name：指定连接名字，没有特殊要求。ipv4.methmod：指定获取IP地址的方式。ifname：指定网卡设备名，也就是次配置所生效的网卡。autoconnect：指定是否自动启动。ipv4.addresses：指定IPv4地址。gw4：指定网关。三、项目实施任务6-3使用nmcli命令配置网络3．查看/etc/sysconfig/network-scripts/目录[root@Server01~]#ls/etc/sysconfig/network-scripts/ifcfg-*/etc/sysconfig/network-scripts/ifcfg-ens32/etc/sysconfig/network-scripts/ifcfg-test2/etc/sysconfig/network-scripts/ifcfg-lo三、项目实施任务6-3使用nmcli命令配置网络4．启用test2连接配置[root@Server01~]#nmcliconnectionuptest2连接已成功激活（D-Bus活动路径：/org/freedesktop/NetworkManager/ActiveConnection/3）[root@Server01~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEtest2e6404347-f914-4505-8cf8-ef4ab198d90eethernetens32ens327f7ebeee-6baa-3528-b092-f4fc37273528ethernet--三、项目实施任务6-3使用nmcli命令配置网络5．查看是否生效[root@Server01~]#nmclideviceshowens32GENERAL.DEVICE:ens32……基本的IP地址配置成功。三、项目实施任务6-3使用nmcli命令配置网络6．修改连接设置（1）修改test2为自动启动[root@Server01~]#nmcliconnectionmodifytest2connection.autoconnectyes（2）修改DNS为

[root@Server01~]#nmcliconnectionmodifytest2ipv4.dns（3）添加DNS14[root@Server01~]#nmcliconnectionmodifytest2+ipv4.dns14（4）看下是否成功[root@Server01~]#cat/etc/sysconfig/network-scripts/ifcfg-test2三、项目实施任务6-3使用nmcli命令配置网络6．修改连接设置（5）删除DNS[root@Server01~]#nmcliconnectionmodifytest2-ipv4.dns14（6）修改IP地址和默认网关[root@Server01~]#nmcliconnectionmodifytest2ipv4.addresses00/24gw454（7）还可以添加多个IP[root@Server01~]#nmcliconnectionmodifytest2+ipv4.addresses50/24[root@Server01~]#nmcliconnectionshow"test2"（8）为了不影响后面的实训，将test2连接删除[root@Server01~]#nmcliconnectiondeletetest2三、项目实施任务6-3使用nmcli命令配置网络7．nmcli命令和/etc/sysconfig/network-scripts/ifcfg-*文件的对应关系nmcli命令/etc/sysconfig/network-scripts/ifcfg-*文件ipv4.methodmanualBOOTPROTO=noneipv4.methodautoBOOTPROTO=dhcpipv4.addresses/24IPADDR=PREFIX=24gw454GATEWAY=54ipv4.dnsDNS0=ipv4.dns-searchDOMAIN=ipv4.ignore-auto-dnstruePEERDNS=noconnection.autoconnectyesONBOOT=yesconnection.ideth0NAME=eth0erface-nameeth0DEVICE=eth0802-3-ethernet.mac-address...HWADDR=...三、项目实施任务6-4使用firewalld服务统信UOSV20集成了多款防火墙管理工具，其中firewalld提供了支持网络/防火墙区域（zone）定义的网络连接以及接口安全等级的动态防火墙管理工具—统信UOSV20系统的动态防火墙管理器（dynamicfirewallmanagerofLinuxsystems）。统信UOSV20系统的动态防火墙管理器拥有基于命令行界面（CommandLineInterface，CLI）和基于图形用户界面（GraphicalUserInterface，GUI）的两种管理方式。三、项目实施任务6-4使用firewalld服务1．使用终端管理工具命令行终端是一种极富效率的运行工具，firewall-cmd命令是firewalld防火墙管理工具的CLI版本。三、项目实施任务6-4使用firewalld服务（6）使用终端管理工具实例。①查看firewalld服务当前状态和使用的区域。[root@Server01~]#firewall-cmd--state #查看防火墙状态[root@Server01

~]#

systemctl

restart

firewalld[root@Server01

~]#

firewall-cmd--get-default-zone #查看默认区域public②查询防火墙生效ens32网卡在firewalld服务中的区域。[root@Server01

~]#

firewall-cmd--get-active-zones #查看当前防火墙中生效的区域[root@Server01

~]#

firewall-cmd--set-default-zone=trusted #设定默认区域三、项目实施任务6-4使用firewalld服务（6）使用终端管理工具实例。③把firewalld服务中ens32网卡的默认区域修改为external，并在系统重启后生效。分别查看运行时模式与永久模式下的区域名称。[root@Server01

~]#

firewall-cmd--list-all--zone=work #查看指定区域的火墙策略[root@Server01

~]#

firewall-cmd

--permanent

--zone=external

--change-interface=ens32success[root@Server01

~]#

firewall-cmd

--get-zone-of-interface=ens32trusted[root@Server01

~]#

firewall-cmd

--permanent

--get-zone-of-interface=ens32no

zone④把firewalld服务的当前默认区域设置为public。⑤启动/关闭firewalld服务的应急状况模式，阻断一切网络连接。三、项目实施任务6-4使用firewalld服务（6）使用终端管理工具实例。④把firewalld服务的当前默认区域设置为public。[root@Server01~]#firewall-cmd--set-default-zone=public[root@Server01~]#firewall-cmd--get-default-zonepublic⑤启动/关闭firewalld服务的应急状况模式，阻断一切网络连接。[root@Server01

~]#

firewall-cmd

--panic-onsuccess[root@Server01

~]#

firewall-cmd

--panic-offsuccess三、项目实施任务6-4使用firewalld服务（6）使用终端管理工具实例。⑥查询public区域是否允许请求ssh和https的流量。[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=sshyes[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=httpsno⑦把firewalld服务中请求https的流量设置为永久允许，并立即生效。[root@Server01~]#firewall-cmd--get-services #查看所有可以设定的服务[root@Server01~]#firewall-cmd--zone=public--add-service=https[root@Server01~]#firewall-cmd--permanent--zone=public--add-service=https[root@Server01~]#firewall-cmd--reload[root@Server01~]#firewall-cmd--list-all #查看生效的防火墙策略三、项目实施任务6-4使用firewalld服务（6）使用终端管理工具实例。⑧把firewalld服务中请求https的流量设置为永久拒绝，并立即生效。[root@Server01

~]#

firewall-cmd

--permanent

--zone=public

--remove-service=https

success[root@Server01

~]#

firewall-cmd

--reload

[root@Server01

~]#firewall-cmd--list-all #查看生效的防火墙策略⑨把在firewalld服务中访问8088和8089端口的流量策略设置为允许，但仅限当前生效。[root@Server01

~]#

firewall-cmd

--zone=public

--add-port=8088-8089/tcpsuccess[root@Server01

~]#

firewall-cmd

--zone=public

--list-ports

8088-8089/tcp三、项目实施任务6-4使用firewalld服务2．使用图形管理工具（1）安装firewall-config。（2）启动图形界面的firewall。安装完成后，计算机的“活动”菜单中就会出现防火墙图标，在终端输入命令firewall-config或者单击“活动”→“防火墙”。功能如图所示。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#vim/etc/yumdnf.repos.d/dvd.repo[root@Server01~]#dnfinstallfirewall-config-y三、项目实施任务6-4使用firewalld服务【例6-1】将当前区域中请求http服务的流量设置为允许，但仅限当前生效，具体配置如图【例6-1】

三、项目实施任务6-4使用firewalld服务【例6-2】尝试添加一条防火墙策略规则，使其放行访问8088～8089端口（TCP）的流量，并将其设置为永久生效，以达到系统重启后防火墙策略规则依然生效的目的。①选择“端口”→“添加”，打开“端口和协议”对话框。②配置完毕后单击“确定”按钮，如图三、项目实施任务6-4使用firewalld服务③在“选项”菜单中单击“重载防火墙”，让配置的防火墙策略规则立即生效，如图三、项目实施任务6-5配置NAT统信UOSV20的防火墙（firewall）利用nat表能够实现NAT功能，将内网地址与外网地址进行转换，完成内、外网的通信。nat表支持以下3种操作。SNAT：改变数据包的源地址。DNAT：改变数据包的目的地址。MASQUERADE：MASQUERADE的作用与SNAT完全一样，改变数据包的源地址。三、项目实施任务6-5配置NAT1.企业环境企业网络拓扑如图

所示。内部主机使用/24网段的IP地址，并且使用统信UOSV20主机作为服务器连接互联网，外网IP地址为固定IP地址（12）。三、项目实施任务6-5配置NAT1.企业环境（1）配置SNAT保证内网用户能够正常访问Internet。（2）配置DNAT保证外网用户能够正常访问内网的Web服务器。统信UOSV20服务器和客户端的信息如表所示：三、项目实施任务6-5配置NAT2.配置SNAT并测试（1）在Server02上安装双网卡。①在Server02关机状态下，在虚拟机中添加两块网卡：第1块网卡连接到VMnet1，第2块网卡连接到VMnet8。②启动Server02，以root用户身份登录计算机。③单击右上角的网络连接图标，配置。④设置网络接口ens34的IP地址为：12/24。⑤按照前文的方法，设置ens32的IP地址为0/24。三、项目实施任务6-5配置NAT2.配置SNAT并测试（2）测试环境。①配置Server01和Client1的IP地址、子网掩码、网关等信息。Server02要安装双网卡，同时一定要注意计算机的网络连接方式！②在Server01上测试与Server02和Client1的连通性[root@Server01

~]#

ping

0

-c4

//通[root@Server01

~]#

ping

12

-c4

//通[root@Server01

~]#

ping

13

-c4

//不通③在Server02上测试与Server01和Client1的连通性。[root@Server02~]#ping-c4[root@Server02~]#ping-c413④在Client1上测试与Server01和Server02的连通性。三、项目实施任务6-5配置NAT2.配置SNAT并测试（2）测试环境。③在Server02上测试与Server01和Client1的连通性。[root@Server02~]#ping-c4[root@Server02~]#ping-c413④在Client1上测试与Server01和Server02的连通性。[root@Client1~]#ping-c412 //通[root@Client1~]#ping-c4 //不通connect:网络不可达三、项目实施任务6-5配置NAT2.配置SNAT并测试（3）在Server02上开启转发功能。[root@client1~]#cat/proc/sys/net/ipv4/ip_forward1//确认开启路由存储转发，其值为1。若没有开启，则需要下面的操作[root@Server02~]#echo1>/proc/sys/net/ipv4/ip_forward三、项目实施任务6-5配置NAT2.配置SNAT并测试（4）在Server02上将接口ens34加入外网区域external。通过NAT将内网计算机的IP地址转换成RHEL主机接口ens34的IP地址[root@Server02~]#firewall-cmd--get-zone-of-interface=ens34public[root@Server02~]#firewall-cmd--permanent--zone=external--change-interface=ens34TheinterfaceisundercontrolofNetworkManager,settingzoneto'external'.success[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、项目实施任务6-5配置NAT2.配置SNAT并测试（5）由于需要NAT连接网络，因此将外网区域的伪装打开（Server02）。[root@Server02~]#firewall-cmd--permanent--zone=external--add-masquerade[root@Server02~]#firewall-cmd--reloadsuccess[root@Server02~]#firewall-cmd--permanent--zone=external--query-masqueradeyes #查询伪装是否打开，下面的命令也可以[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、项目实施任务6-5配置NAT2.配置SNAT并测试（6）在Server02上配置内部接口ens32。将内部接口加入内网区域（internal）[root@Server02~]#firewall-cmd--get-zone-of-interface=ens32public[root@Server02~]#firewall-cmd--permanent--zone=internal--change-interface=ens32TheinterfaceisundercontrolofNetworkManager,settingzoneto'internal'.success[root@Server02~]#firewall-cmd--reload[root@Server02~]#firewall-cmd--zone=internal--list-allinternal(active)三、项目实施任务6-5配置NAT2.配置SNAT并测试（7）在外网Client1上配置供测试的Web服务器。[root@client2~]#mount/dev/cdrom/media[root@client2~]#dnfcleanall[root@client2~]#dnfinstallhttpd-y[root@client2~]#firewall-cmd--permanent--add-service=http[root@client2~]#firewall-cmd--reload[root@client2~]#firewall-cmd–list-all[root@client2~]#systemctlrestarthttpd[root@client2~]#netstat-an|grep:80 //查看80端口是否开放[root@client2~]#firefox三、项目实施任务6-5配置NAT2.配置SNAT并测试（8）在内网Server01上测试SNAT配置是否成功。[root@Server01~]#ping13-c4[root@Server01~]#firefox13[root@Client1~]#cat/var/log/httpd/access_log|grep[root@Client1~]#cat/var/log/httpd/access_log|grep12三、项目实施任务6-5配置NAT3.配置DNAT并测试（1）在Server01上配置内网Web服务器及防火墙。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#dnfcleanall[root@Server01~]#dnfinstallhttpd-y[root@Server01~]#systemctlrestarthttpd[root@Server01~]#netstat-an|grep:80 //查看80端口是否开放[root@Server01~]#firefox三、项目实施任务6-5配置NAT3.配置DNAT并测试（2）在Server02上配置DNAT。端口映