iptables之網絡防火牆(FORWARD鏈)初步實驗

時間 2020-05-11

原文原文鏈接

網絡結構以下：服務器

A、B、C三臺主機，A主機扮演外網訪問角色；B主機打開核心轉發，啓用防火牆。兩張網卡配置不一樣網段IP；C主機爲內網HTTP服務器。如下爲配置流程：網絡

本次實驗使用2臺虛擬機，一臺物理機；主機A和主機B虛擬機網卡設置成VMnet3tcp

一、打開主機B中的核心轉發功能；ide

# vi /etc/sysctl.conf
  將net.ipv4.ip_forward值修改成1
  net.ipv4.ip_forward = 1
# sysctl -p  查看是否生效

二、主機C安裝APACHE測試

在實驗過程當中發現192.168.1.10能正常ping通全部IP，包括192.168.2網段；但192.168.2.10沒法ping通192.168.1.10。解決方案：在192.168.2.10上添加一條路由，以下blog

# ip route add 192.168.1.0/24 via 192.168.1.1 dev enp3s0

三、在B主機上配置防火牆FORWARD鏈策略，放行80端口：ip

#iptables -I FORWARD -p tcp --dport 80 -j ACCEPT   放行入方向目標端口爲80的數據包
#iptables -I FORWARD -p tcp --sport 80 -j ACCEPT   放行出方向源端口爲80的數據包，即讓服務器能夠響應外部的http請求

測試結果：因爲防火牆只放行了80端口，192.168.1.10能夠請求到192.168.2.10的http頁面，但沒法ping通以及遠程等操做。路由

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。