网络结构如下:
A、B、C三台主机,A主机扮演外网访问角色;B主机打开核心转发,启用防火墙。两张网卡配置不同网段IP;C主机为内网HTTP服务器。以下为配置流程:
本次实验使用2台虚拟机,一台物理机;主机A和主机B虚拟机网卡设置成VMnet3
1、打开主机B中的核心转发功能;
# vi /etc/sysctl.conf 将net.ipv4.ip_forward值修改为1 net.ipv4.ip_forward = 1 # sysctl -p 查看是否生效
2、主机C安装APACHE
在实验过程中发现192.168.1.10能正常ping通所有IP,包括192.168.2网段;但192.168.2.10无法ping通192.168.1.10。解决方案:在192.168.2.10上添加一条路由,如下
# ip route add 192.168.1.0/24 via 192.168.1.1 dev enp3s0
3、在B主机上配置防火墙FORWARD链策略,放行80端口:
#iptables -I FORWARD -p tcp --dport 80 -j ACCEPT 放行入方向目标端口为80的数据包 #iptables -I FORWARD -p tcp --sport 80 -j ACCEPT 放行出方向源端口为80的数据包,即让服务器可以响应外部的http请求
测试结果:由于防火墙只放行了80端口,192.168.1.10可以请求到192.168.2.10的http页面,但无法ping通以及远程等操作。
本文出自 “时光之书” 博客,谢绝转载!
原文地址:http://chenshunde.blog.51cto.com/707114/1915518