Linux工程环境应用实训（防火墙、NAT、静态路由）需求

                                            配置过程、演示录像、后继给出

档案编号ID：sec01

实训重点：因为Linux操作系统（企业版）在现代化的工业环境中应用越来越多、因为它天生具备比Windows更高的开放性、可移植性、安全性。所以在工业环境中网络管理员时常使用Linux来搭建边界网络服务器，比如防火墙、NAT等。在这个实训中的重点任务是使用Redhat Linux Enterprise版本来实现简单状态防火墙和NAT服务器的建设。

支持实训平台的环境：使用虚拟实验完成４个服务器（２台windows服务器）１台Redhat Linux Enterprise服务器、１台Redhat Linux客户端。

实训拓扑及描述：具体网络环境如下图１所示，网络环境被分为企业内部网络与Internet两部分组成，严格区分RFC1918地址和公共IP，在它们之间不能启动任何动态路由协议，因为在真实环境中即便是相互公告路由也没有任何意义，因为电信运营商决不可能让私有网络的路由发向Internet，当然每个企业边界访问Internet的一条必备的路由是允许的。

实训需求：

首先复位防火墙上的已经存在的规则、用户自定义的规则、所有“链”计数器。然后第一次打印iptales filter的状态，再复位NAT的所有规则，然后打印NAT状态（其目标在于实验前和实验后的效果好作对比）

配置基于Linux的NAT服务器，要求该服务器能将192.168.200.0/24子网翻译成out接口202.202.1.1去访问Internet，事实上是去执行一个SNAT的翻译配置，必须验证配置结果，使得企业内主机可以成功的访问Internet上的202.202.2.100的Web服务器。

使用iptables配置基本的防火墙策略：配置默认安全策略拒绝一切从外部世界主动INPUT的数据包，而允许OUTPUT和FORWARD数据包。将服务器的lo接口配置为受信接口，可以接收所有数据包，否则会出现Linux防火墙自己ping不通自己。

在Linux的防火墙上外挂状态模块（state)，允许已经建立了连接，或者由防火墙主动发向外部，然后返回的数据包进入防火墙、配置防火墙防御TCP洪水攻击和ICMP洪水攻击（调用内核管理功能实现）。

要求Internet主机访问linux防火墙外部接口地址202.202.1.1的Web服务时，防火墙使用DNAT将202.202.1.1转换成192.168.200.100的80号端口应答,事实上，就是让企业内部的Web服务器对外部世界提供伺服功能，只是外部世界的主机看到的服务器IP地址是202.202.1.1而不是真实的192.168.200.100，必须测试外部主机成功访问内部的Web。

再次打印iptales filter和NAT的状态，对比配置前后的区别。

本文转自 kingsir827 51CTO博客，原文链接：http://blog.51cto.com/7658423/1264834，如需转载请自行联系原作者