《Linux網絡操作系統項目教程（統信UOSV20）（微課版）（第5版）》“十二五”“十三五”職業教育國家規劃教材首屆全國教材建設獎全國優秀教材一等獎第6章配置網絡和firewall防火墻（含NAT）能力CAPACITY要求掌握常見網絡服務的配置方法掌握SNAT掌握DNAT思政IDEOLOGY導入了解我國的雪人計劃的背景和意義！思政IDEOLOGY目標“盛年不重來，一日難再晨。及時當勉勵，歲月不待人。”盛世之下，青年學生要惜時如金，學好知識，報效國家。思政IDEOLOGY內容雪人計劃：

2019年11月26日是全球互聯網發展歷程中值得銘記的一天，一封來自歐洲RIPENCC的郵件宣布全球43億個IPv4地址正式耗盡，人類互聯網跨入了IPv6時代。對于我國而言，在接下來的IPv6時代，我國存在著巨大機遇，其中我國推出的“雪人計劃”就是一個益國益民的大事，這一計劃必將助力中華民族的偉大復興，助力我國在互聯網方面取得更多話語權和發展權。讓我們拭目以待吧！項目設計與準備項目知識準備項目實施項目實錄一、項目知識準備修改主機名統信UOSV20主機要與網絡中的其他主機通信，首先要正確配置網絡。網絡配置通常包括主機名、IP地址、子網掩碼、默認網關、DNS服務器等的設置。設置主機名是首要任務。統信UOSV20有以下3種形式的主機名（1）靜態（static）主機名（2）瞬態（transient）主機名（3）靈活（pretty）主機名一、項目知識準備修改主機名方式1．使用nmtui修改主機名[root@Server01~]#nmtui一、項目知識準備修改主機名2．使用hostnamectl修改主機名（1）查看主機名[root@Server01~]#hostnamectlstatusStatichostname:Server01（2）設置新的主機名[root@Server01~]#hostnamectlset-hostname（3）查看主機名[root@Server01~]#hostnamectlstatusStatichostname:……3．使用NetworkManager的命令行接口nmcli修改主機名（1）nmcli可以修改/etc/hostname中的靜態主機名。//查看主機名[root@Server01~]#nmcligeneralhostname//設置新主機名[root@Server01~]#nmcligeneralhostnameServer01[root@Server01~]#nmcligeneralhostnameServer01（2）重啟hostnamed服務讓hostnamectl知道靜態主機名已經被修改[root@Server01~]#systemctlrestartsystemd-hostnamed一、項目知識準備修改主機名一、項目知識準備防火墻概述通常所說的網絡防火墻是套用了古代的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

通常所說的網絡防火墻是套用了古代防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火墻可以使內部網絡與互聯網之間或者與其他外部網絡間互相隔離、限制網絡互訪，以此來保護內部網絡。

防火墻的分類方法多種多樣，不過從傳統意義上講，防火墻大致可以分為三大類，分別是“包過濾”“應用代理”“狀態檢測”。項目設計與準備項目知識準備項目實施項目實錄二、項目設計與準備項目設計與準備本項目要用到Server01和Client1，完成的任務如下。（1）配置Server01和Client1的網絡參數。（2）創建會話。（3）配置遠程服務。其中Server01的IP地址為/24，Client1的IP地址為1/24，兩臺計算機的網絡連接方式都是橋接模式。項目設計與準備項目知識準備項目實施項目實錄三、項目實施任務6-1使用系統菜單配置網絡①以Server01為例。任務欄上打開“啟動器”，單擊“控制中心”→“網絡”→“有線網絡”→“有線網卡”，在有線網卡ens32一欄右側單擊“>”，打開網絡配置界面，一步步完成網絡配置。過程如圖。②設置完成后，單擊“應用”按鈕應用配置，回到圖1所示的界面。注意網絡連接應該設置在“打開”狀態，如果在“關閉”狀態，請進行修改。③再次單擊齒輪按鈕，顯示圖3所示的最終配置結果，一定勾選“自動連接”選項，否則計算機啟動后不能自動連接網絡.三、項目實施任務6-1使用系統菜單配置網絡按同樣方法配置Client1的網絡參數：IP地址為1/24，默認網關為54。④在Server01上測試與Client1的連通性，測試成功。[root@Server01~]#ping1-c4PING0(0)56(84)bytesofdata.64bytesfrom0:icmp_seq=1ttl=64time=0.452ms64bytesfrom0:icmp_seq=2ttl=64time=0.241ms64bytesfrom0:icmp_seq=3ttl=64time=0.341ms64bytesfrom0:icmp_seq=4ttl=64time=0.263ms---0pingstatistics---4packetstransmitted,4received,0%packetloss,time3156msrttmin/avg/max/mdev=0.241/0.324/0.452/0.082ms三、項目實施任務6-2使用圖形界面配置網絡使用圖形界面配置網絡是比較方便、簡單的一種網絡配置方式，仍以Server01為例。（1）使用nmtui命令來配置網絡。[root@Server01~]#nmtui將依次出現如下圖形配置：三、項目實施任務6-2使用圖形界面配置網絡（2）按下“顯示”按鈕，顯示信息配置框，如圖所示。在服務器主機的網絡配置信息中填寫IP地址/24等信息，單擊“確定”按鈕三、項目實施任務6-2使用圖形界面配置網絡（3）單擊“返回”按鈕回到nmtui圖形界面初始狀態，選中“啟用連接”選項，激活剛才的連接“ens32”。前面有“*”號表示激活，如圖所示。三、項目實施任務6-2使用圖形界面配置網絡（4）至此，在統信UOSV20系統中配置網絡的步驟就結束了，使用ifconfig命令測試配置情況。[root@Server01~]#ifconfigens32:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inetnetmaskbroadcast55inet6fe80::58fc:be5e:bb2b:d086prefixlen64scopeid0x20<link>ether00:0c:29:c6:00:0atxqueuelen1000(Ethernet)……三、項目實施任務6-3使用nmcli命令配置網絡1．常用命令nmcliconnectionshow：顯示所有連接。nmcliconnectionshow--active：顯示所有活動的連接狀態。nmcliconnectionshow"ens32"：顯示網絡連接配置。nmclidevicestatus：顯示設備狀態。nmclideviceshowens32：顯示網絡接口屬性。nmcliconnectionaddhelp：查看幫助。nmcliconnectionreload：重新加載配置。nmcliconnectiondowntest2：禁用test2的配置，注意一個網卡可以有多個配置。nmcliconnectionuptest2：啟用test2的配置。nmclidevicedisconnectens32：禁用ens32網卡，物理網卡。nmclideviceconnectens32：啟用ens32網卡。三、項目實施任務6-3使用nmcli命令配置網絡2．創建新連接配置（1）創建新連接配置default，IP通過DHCP自動獲取[root@Server01~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens327f7ebeee-6baa-3528-b092-f4fc37273528ethernetens32[root@Server01~]#nmcliconnectionaddcon-namedefaulttypeEthernetifnameens32連接"default"(01178d20-ffc4-4fda-a15a-0da2547f8545)已成功添加。三、項目實施任務6-3使用nmcli命令配置網絡2．創建新連接配置（2）刪除連接[root@Server01~]#nmcliconnectiondeletedefault成功刪除連接"default"(01178d20-ffc4-4fda-a15a-0da2547f8545)。（3）創建新的連接配置test2，指定靜態IP，不自動連接[root@Server01~]#nmcliconnectionaddcon-nametest2ipv4.methodmanualifnameens32autoconnectnotypeEthernetipv4.addresses00/24gw454連接"test2"(e6404347-f914-4505-8cf8-ef4ab198d90e)已成功添加。三、項目實施任務6-3使用nmcli命令配置網絡2．創建新連接配置（4）參數說明con-name：指定連接名字，沒有特殊要求。ipv4.methmod：指定獲取IP地址的方式。ifname：指定網卡設備名，也就是次配置所生效的網卡。autoconnect：指定是否自動啟動。ipv4.addresses：指定IPv4地址。gw4：指定網關。三、項目實施任務6-3使用nmcli命令配置網絡3．查看/etc/sysconfig/network-scripts/目錄[root@Server01~]#ls/etc/sysconfig/network-scripts/ifcfg-*/etc/sysconfig/network-scripts/ifcfg-ens32/etc/sysconfig/network-scripts/ifcfg-test2/etc/sysconfig/network-scripts/ifcfg-lo三、項目實施任務6-3使用nmcli命令配置網絡4．啟用test2連接配置[root@Server01~]#nmcliconnectionuptest2連接已成功激活（D-Bus活動路徑：/org/freedesktop/NetworkManager/ActiveConnection/3）[root@Server01~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEtest2e6404347-f914-4505-8cf8-ef4ab198d90eethernetens32ens327f7ebeee-6baa-3528-b092-f4fc37273528ethernet--三、項目實施任務6-3使用nmcli命令配置網絡5．查看是否生效[root@Server01~]#nmclideviceshowens32GENERAL.DEVICE:ens32……基本的IP地址配置成功。三、項目實施任務6-3使用nmcli命令配置網絡6．修改連接設置（1）修改test2為自動啟動[root@Server01~]#nmcliconnectionmodifytest2connection.autoconnectyes（2）修改DNS為

[root@Server01~]#nmcliconnectionmodifytest2ipv4.dns（3）添加DNS14[root@Server01~]#nmcliconnectionmodifytest2+ipv4.dns14（4）看下是否成功[root@Server01~]#cat/etc/sysconfig/network-scripts/ifcfg-test2三、項目實施任務6-3使用nmcli命令配置網絡6．修改連接設置（5）刪除DNS[root@Server01~]#nmcliconnectionmodifytest2-ipv4.dns14（6）修改IP地址和默認網關[root@Server01~]#nmcliconnectionmodifytest2ipv4.addresses00/24gw454（7）還可以添加多個IP[root@Server01~]#nmcliconnectionmodifytest2+ipv4.addresses50/24[root@Server01~]#nmcliconnectionshow"test2"（8）為了不影響后面的實訓，將test2連接刪除[root@Server01~]#nmcliconnectiondeletetest2三、項目實施任務6-3使用nmcli命令配置網絡7．nmcli命令和/etc/sysconfig/network-scripts/ifcfg-*文件的對應關系nmcli命令/etc/sysconfig/network-scripts/ifcfg-*文件ipv4.methodmanualBOOTPROTO=noneipv4.methodautoBOOTPROTO=dhcpipv4.addresses/24IPADDR=PREFIX=24gw454GATEWAY=54ipv4.dnsDNS0=ipv4.dns-searchDOMAIN=ipv4.ignore-auto-dnstruePEERDNS=noconnection.autoconnectyesONBOOT=yesconnection.ideth0NAME=eth0erface-nameeth0DEVICE=eth0802-3-ethernet.mac-address...HWADDR=...三、項目實施任務6-4使用firewalld服務統信UOSV20集成了多款防火墻管理工具，其中firewalld提供了支持網絡/防火墻區域（zone）定義的網絡連接以及接口安全等級的動態防火墻管理工具—統信UOSV20系統的動態防火墻管理器（dynamicfirewallmanagerofLinuxsystems）。統信UOSV20系統的動態防火墻管理器擁有基于命令行界面（CommandLineInterface，CLI）和基于圖形用戶界面（GraphicalUserInterface，GUI）的兩種管理方式。三、項目實施任務6-4使用firewalld服務1．使用終端管理工具命令行終端是一種極富效率的運行工具，firewall-cmd命令是firewalld防火墻管理工具的CLI版本。三、項目實施任務6-4使用firewalld服務（6）使用終端管理工具實例。①查看firewalld服務當前狀態和使用的區域。[root@Server01~]#firewall-cmd--state #查看防火墻狀態[root@Server01

~]#

systemctl

restart

firewalld[root@Server01

~]#

firewall-cmd--get-default-zone #查看默認區域public②查詢防火墻生效ens32網卡在firewalld服務中的區域。[root@Server01

~]#

firewall-cmd--get-active-zones #查看當前防火墻中生效的區域[root@Server01

~]#

firewall-cmd--set-default-zone=trusted #設定默認區域三、項目實施任務6-4使用firewalld服務（6）使用終端管理工具實例。③把firewalld服務中ens32網卡的默認區域修改為external，并在系統重啟后生效。分別查看運行時模式與永久模式下的區域名稱。[root@Server01

~]#

firewall-cmd--list-all--zone=work #查看指定區域的火墻策略[root@Server01

~]#

firewall-cmd

--permanent

--zone=external

--change-interface=ens32success[root@Server01

~]#

firewall-cmd

--get-zone-of-interface=ens32trusted[root@Server01

~]#

firewall-cmd

--permanent

--get-zone-of-interface=ens32no

zone④把firewalld服務的當前默認區域設置為public。⑤啟動/關閉firewalld服務的應急狀況模式，阻斷一切網絡連接。三、項目實施任務6-4使用firewalld服務（6）使用終端管理工具實例。④把firewalld服務的當前默認區域設置為public。[root@Server01~]#firewall-cmd--set-default-zone=public[root@Server01~]#firewall-cmd--get-default-zonepublic⑤啟動/關閉firewalld服務的應急狀況模式，阻斷一切網絡連接。[root@Server01

~]#

firewall-cmd

--panic-onsuccess[root@Server01

~]#

firewall-cmd

--panic-offsuccess三、項目實施任務6-4使用firewalld服務（6）使用終端管理工具實例。⑥查詢public區域是否允許請求ssh和https的流量。[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=sshyes[root@Server01

~]#

firewall-cmd

--zone=public

--query-service=httpsno⑦把firewalld服務中請求https的流量設置為永久允許，并立即生效。[root@Server01~]#firewall-cmd--get-services #查看所有可以設定的服務[root@Server01~]#firewall-cmd--zone=public--add-service=https[root@Server01~]#firewall-cmd--permanent--zone=public--add-service=https[root@Server01~]#firewall-cmd--reload[root@Server01~]#firewall-cmd--list-all #查看生效的防火墻策略三、項目實施任務6-4使用firewalld服務（6）使用終端管理工具實例。⑧把firewalld服務中請求https的流量設置為永久拒絕，并立即生效。[root@Server01

~]#

firewall-cmd

--permanent

--zone=public

--remove-service=https

success[root@Server01

~]#

firewall-cmd

--reload

[root@Server01

~]#firewall-cmd--list-all #查看生效的防火墻策略⑨把在firewalld服務中訪問8088和8089端口的流量策略設置為允許，但僅限當前生效。[root@Server01

~]#

firewall-cmd

--zone=public

--add-port=8088-8089/tcpsuccess[root@Server01

~]#

firewall-cmd

--zone=public

--list-ports

8088-8089/tcp三、項目實施任務6-4使用firewalld服務2．使用圖形管理工具（1）安裝firewall-config。（2）啟動圖形界面的firewall。安裝完成后，計算機的“活動”菜單中就會出現防火墻圖標，在終端輸入命令firewall-config或者單擊“活動”→“防火墻”。功能如圖所示。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#vim/etc/yumdnf.repos.d/dvd.repo[root@Server01~]#dnfinstallfirewall-config-y三、項目實施任務6-4使用firewalld服務【例6-1】將當前區域中請求http服務的流量設置為允許，但僅限當前生效，具體配置如圖【例6-1】

三、項目實施任務6-4使用firewalld服務【例6-2】嘗試添加一條防火墻策略規則，使其放行訪問8088～8089端口（TCP）的流量，并將其設置為永久生效，以達到系統重啟后防火墻策略規則依然生效的目的。①選擇“端口”→“添加”，打開“端口和協議”對話框。②配置完畢后單擊“確定”按鈕，如圖三、項目實施任務6-4使用firewalld服務③在“選項”菜單中單擊“重載防火墻”，讓配置的防火墻策略規則立即生效，如圖三、項目實施任務6-5配置NAT統信UOSV20的防火墻（firewall）利用nat表能夠實現NAT功能，將內網地址與外網地址進行轉換，完成內、外網的通信。nat表支持以下3種操作。SNAT：改變數據包的源地址。DNAT：改變數據包的目的地址。MASQUERADE：MASQUERADE的作用與SNAT完全一樣，改變數據包的源地址。三、項目實施任務6-5配置NAT1.企業環境企業網絡拓撲如圖

所示。內部主機使用/24網段的IP地址，并且使用統信UOSV20主機作為服務器連接互聯網，外網IP地址為固定IP地址（12）。三、項目實施任務6-5配置NAT1.企業環境（1）配置SNAT保證內網用戶能夠正常訪問Internet。（2）配置DNAT保證外網用戶能夠正常訪問內網的Web服務器。統信UOSV20服務器和客戶端的信息如表所示：三、項目實施任務6-5配置NAT2.配置SNAT并測試（1）在Server02上安裝雙網卡。①在Server02關機狀態下，在虛擬機中添加兩塊網卡：第1塊網卡連接到VMnet1，第2塊網卡連接到VMnet8。②啟動Server02，以root用戶身份登錄計算機。③單擊右上角的網絡連接圖標，配置。④設置網絡接口ens34的IP地址為：12/24。⑤按照前文的方法，設置ens32的IP地址為0/24。三、項目實施任務6-5配置NAT2.配置SNAT并測試（2）測試環境。①配置Server01和Client1的IP地址、子網掩碼、網關等信息。Server02要安裝雙網卡，同時一定要注意計算機的網絡連接方式！②在Server01上測試與Server02和Client1的連通性[root@Server01

~]#

ping

0

-c4

//通[root@Server01

~]#

ping

12

-c4

//通[root@Server01

~]#

ping

13

-c4

//不通③在Server02上測試與Server01和Client1的連通性。[root@Server02~]#ping-c4[root@Server02~]#ping-c413④在Client1上測試與Server01和Server02的連通性。三、項目實施任務6-5配置NAT2.配置SNAT并測試（2）測試環境。③在Server02上測試與Server01和Client1的連通性。[root@Server02~]#ping-c4[root@Server02~]#ping-c413④在Client1上測試與Server01和Server02的連通性。[root@Client1~]#ping-c412 //通[root@Client1~]#ping-c4 //不通connect:網絡不可達三、項目實施任務6-5配置NAT2.配置SNAT并測試（3）在Server02上開啟轉發功能。[root@client1~]#cat/proc/sys/net/ipv4/ip_forward1//確認開啟路由存儲轉發，其值為1。若沒有開啟，則需要下面的操作[root@Server02~]#echo1>/proc/sys/net/ipv4/ip_forward三、項目實施任務6-5配置NAT2.配置SNAT并測試（4）在Server02上將接口ens34加入外網區域external。通過NAT將內網計算機的IP地址轉換成RHEL主機接口ens34的IP地址[root@Server02~]#firewall-cmd--get-zone-of-interface=ens34public[root@Server02~]#firewall-cmd--permanent--zone=external--change-interface=ens34TheinterfaceisundercontrolofNetworkManager,settingzoneto'external'.success[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、項目實施任務6-5配置NAT2.配置SNAT并測試（5）由于需要NAT連接網絡，因此將外網區域的偽裝打開（Server02）。[root@Server02~]#firewall-cmd--permanent--zone=external--add-masquerade[root@Server02~]#firewall-cmd--reloadsuccess[root@Server02~]#firewall-cmd--permanent--zone=external--query-masqueradeyes #查詢偽裝是否打開，下面的命令也可以[root@Server02~]#firewall-cmd--zone=external--list-allexternal(active)三、項目實施任務6-5配置NAT2.配置SNAT并測試（6）在Server02上配置內部接口ens32。將內部接口加入內網區域（internal）[root@Server02~]#firewall-cmd--get-zone-of-interface=ens32public[root@Server02~]#firewall-cmd--permanent--zone=internal--change-interface=ens32TheinterfaceisundercontrolofNetworkManager,settingzoneto'internal'.success[root@Server02~]#firewall-cmd--reload[root@Server02~]#firewall-cmd--zone=internal--list-allinternal(active)三、項目實施任務6-5配置NAT2.配置SNAT并測試（7）在外網Client1上配置供測試的Web服務器。[root@client2~]#mount/dev/cdrom/media[root@client2~]#dnfcleanall[root@client2~]#dnfinstallhttpd-y[root@client2~]#firewall-cmd--permanent--add-service=http[root@client2~]#firewall-cmd--reload[root@client2~]#firewall-cmd–list-all[root@client2~]#systemctlrestarthttpd[root@client2~]#netstat-an|grep:80 //查看80端口是否開放[root@client2~]#firefox三、項目實施任務6-5配置NAT2.配置SNAT并測試（8）在內網Server01上測試SNAT配置是否成功。[root@Server01~]#ping13-c4[root@Server01~]#firefox13[root@Client1~]#cat/var/log/httpd/access_log|grep[root@Client1~]#cat/var/log/httpd/access_log|grep12三、項目實施任務6-5配置NAT3.配置DNAT并測試（1）在Server01上配置內網Web服務器及防火墻。[root@Server01~]#mount/dev/cdrom/media[root@Server01~]#dnfcleanall[root@Server01~]#dnfinstallhttpd-y[root@Server01~]#systemctlrestarthttpd[root@Server01~]#netstat-an|grep:80 //查看80端口是否開放[root@Server01~]#firefox三、項目實施任務6-5配置NAT3.配置DNAT并測試（2）在Server02上配置DNAT。端口映