实验考察知识点:
- iptables防火墙的规则配置
- DNS分离解析的配置
实验内容:
web服务器在内网中,提供http服务。
要求内网中的主机能够通过 www.yuji.com 访问该web服务。
外网的主机能够通过 www.yuji.com:8080 访问该web服务。
实验环境:
1、web服务器:192.168.137.10/24(VMnet1)
2、外网主机(win10客户机):12.0.0.200/24(VMnet2)
3、网关服务器:
ens33网卡地址:192.168.137.137/24(VMnet1)
ens36网卡地址:12.0.0.254/24(VMnet2)
实验拓扑:
实验步骤:
一、配置网关服务器
1、配置网卡。
增加一块网卡ens36。
将ens33的网络模式设置为VMnet1(仅主机模式),地址设置为192.168.137.137。
将ens36的网络模式设置为VMnet2(仅主机模式),地址设置为12.0.0.254。
之后重启网络服务。
2、关闭firewalld和selinux。开启路由转发功能。
[root@yuji ~]# systemctl stop firewalld
[root@yuji ~]# setenforce 0
[root@yuji ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 //在文件中增加这一行,开启路由转发功能
[root@yuji ~]# sysctl -p //读取修改后的配置
net.ipv4.ip_forward = 1
复制代码
3、配置iptables策略。
1)设置SNAT服务,解析源地址。修改nat表中的POSTROUTING链
[root@yuji ~]# iptables -t nat -A POSTROUTING -s 192.168.137.10/24 -o ens36 -j SNAT --to 12.0.0.254
#-t nat:指定nat表
#-A POSTROUTING:指定POSTROUTING链
#-s 192.168.72.10/24:源地址网段
#-o ens36:出站网卡
#-j SNAT --to 12.0.0.254:使用SNAT服务,将源地址转换成公网IP地址。
复制代码
2)设置DNAT服务,解析目的地址。修改nat表中的PRETROUTING链。
[root@yuji ~]# iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.254 -p tcp --dport 8080 -j DNAT --to 192.168.137.10:80
复制代码
4、配置DNS分离解析。
当内网解析ww.yuji.com时,将域名解析为:192.168.137.10。
当外网解析ww.yuji.com时,将域名解析为:12.0.0.254。
1)编辑主配置文件。
[root@yuji ~]# vim /etc/named.conf //编辑主配置文件
-----------------------------------
12 options {
13 listen-on port 53 { any; }; //将监听地址修改为any
14 listen-on-v6 port 53 { ::1; };
15 directory "/var/named";
16 dump-file "/var/named/data/cache_dump.db";
17 statistics-file "/var/named/data/named_stats.txt";
18 memstatistics-file "/var/named/data/named_mem_stats.txt";
19 allow-query { any; }; //将允许查询的地址修改为any
52 #zone "." IN {
53 # type hint;
54 # file "named.ca";
55 #};
复制代码
2)编辑区域配置文件。
[root@yuji ~]# vim /etc/named.rfc1912.zones //修改区域配置文件,要将view以外的zones都删除
----------------------
view "lan" {
match-clients {192.168.137.0/24;}; //声明内网网段
zone "yuji.com" IN { //声明域名
type master;
file "yuji.com.zone.lan"; //声明内网解析时对应的地址库文件
};
zone "." IN { //用于解析根域名
type hint;
file "named.ca";
};
};
view "wan" {
match-clients {any;}; //声明外网地址
zone "yuji.com" IN { //声明域名
type master;
file "yuji.com.zone.wan"; //声明外网解析时对应的地址库文件
};
};
复制代码
3)配置内网解析地址库文件:
[root@yuji ~]# cd /var/named/
[root@yuji named]# cp -p named.localhost yuji.com.zone.lan
[root@yuji named]# vim yuji.com.zone.lan
$TTL 1D
@ IN SOA @ admin.yuji.com. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
NS @
master A 192.168.137.137
www IN A 192.168.137.10
复制代码
4)配置外网解析地址库文件。之后启动named服务。
[root@yuji named]# cp -p named.localhost yuji.com.zone.wan
[root@yuji named]# vim yuji.com.zone.wan
$TTL 1D
@ IN SOA @ admin.yuji.com. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
NS @
A 12.0.0.254
www IN A 12.0.0.254
[root@yuji named]# systemctl start named //启动named服务
复制代码
二、配置web服务器
1、关闭firewalld和selinux。
[root@web ~]# systemctl stop firewalld
[root@web ~]# setenforce 0
复制代码
2、修改网卡配置。
将网络模式修改为VMnet1(仅主机模式)。
编辑网卡配置文件,将网卡地址设置为192.168.137.10,网关地址设置为192.168.137.137。
之后重启网络服务。
3、安装httpd服务,启动服务。
安装httpd软件包,写一个网页,启动httpd服务。本地验证一下能否打开该网页。
[root@web ~]# yum install -y httpd //安装httpd服务
[root@web ~]# cd /var/www/html //切换到httpd服务的根目录
[root@web html]# echo 'this is first web' > index.html //写一个测试网页
[root@web html]# systemctl start httpd //启动httpd服务
复制代码
三、配置外网客户端(win10客户机)
1、修改网卡配置。
将网络模式修改为VMnet2(仅主机模式)。
编辑网卡配置文件,IP地址:12.0.0.200,网关地址:12.0.0.254,DNS服务器地址:12.0.0.254。
2、验证使用 www.yuji.com:8080 访问web服务。
小贴士:
指定DNS服务器的两种方式:
方法一:修改 /etc/resolv.conf 文件。
[root@yuji ~]# vim /etc/resolv.conf
nameserver 192.168.137.137 //将DNS服务器地址写入文件中
[root@yuji ~]# cat /etc/resolv.conf //查看文件内容
# Generated by NetworkManager
nameserver 192.168.137.137
复制代码
方法二:修改网卡配置文件,之后重启网络服务。系统会自动将DNS服务器地址写入/etc/resolv.conf 文件中。
[root@yuji ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
-----------------
DNS1=192.168.137.137 //指定DNS服务器地址
[root@yuji ~]# systemctl restart network //重启网络服务
[root@yuji ~]# cat /etc/resolv.conf //查看文件内容
# Generated by NetworkManager
nameserver 192.168.137.137
