IP地址伪装
通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的原地址更改为NAT的接口地址转发到不同步目的地。当是返回数据包是,会将目的地之修改为原始主机地址并路由。
端口转发
也叫端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上不同端口,或不同计算机上的端口。
拓扑:
内网--------网关服务器--------web服务器-----外网
内网:192.168.1.10
网关服务器:192.168.1.1、192.168.2.1、100.1.1.1
web服务器:192.168.2.1
外网;100.1.1.10
1、配置好ip(注意看网卡)
2、在网关服务器上开启路由转换(使得四台机子能实现ping通)
3、web服务器安装http、并开启
4、配置IP伪装和地址转发
在外网服务器上搭建web用于测试
结果:内网测试机可以访问。dmz区域的网站服务器也可以访问
yum -y install httpd
vim /var/www/html/index.html
systemctl enable httpd
systemctl restart httpd
firefox 127.0.0.1
内网服务器访问:firefox http://100.1.1.10
web服务器访问:firefox http://100.1.1.10
原因:
在网关服务器上查看
firewall-cmd --list-all --zone=external
masquerade: yes 地址伪装开启
在网关服务器上配置:
firewall-cmd --remove-masquerade --zone=external
firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 masquerade'
2、配置端口转发实现外网服务器访问dmz的web服务器
在网关服务器上配置:
firewall-cmd --zone=external --add-forward-port=port=443:proto=tcp:toaddr=192.168.2.10
验证:
外网服务器访问
firefox https://100.1.1.1
3、使用富规则实现端口转发
新申请的公网地址100.1.1.15配置在网关服务器的外网接口ens33上
在网关服务器上配置:
vim /etc/*/*/*ens33
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
NAME=ens33
UUID=95692582-d4b6-4b10-bd94-79b64a0bb19e
DEVICE=ens33
ONBOOT=yes
IPADDR0=100.1.1.1
NETMASK=255.255.255.0
ZONE=external
IPADDR1=100.1.1.15
NETMASK=255.255.255.0
ifdown ens33
ifup ens33
ip addr查看
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:f7:c3:83 brd ff:ff:ff:ff:ff:ff
inet 100.1.1.10/8 brd 100.255.255.255 scope global ens33
valid_lft forever preferred_lft forever
inet 100.1.1.15/8 brd 100.255.255.255 scope global secondary ens33
valid_lft forever preferred_lft forever
firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 destination address=100.1.1.15/32 forward-port port=443 protocol=tcp to-addr=192.168.2.10'