一、实验准备

二、配置web服务器

配置网卡2

vim /etc/sysconfig/network-scripts/ifcfg-ens160TYPE=Ethernet
BO0TPROTO=static
NAME=ens160
DEVICE=ens160
ONB00T=yes
IPADDR=192.168.200.100
PREFIX-24#########此处不设置网关，应为在下步实验中可以用防火墙的原地址转换来是客户机访问到web
#########如果此处设置了网关，并作为防火墙ens224的IP，那么客户机直接就能访问到web，达不到本次实验的效果systemctl restart network

安装、测试httpd

三、配置web防火墙网卡

配置网卡一

vim /etc/sysconfig/network-scripts/ifcfg-ens160

TYPE=Ethernet
BOOTPROTO=static
NAME=ens160
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.115.2  ##此处的IP设为防火墙的ens160的IP，用于客户机能访问防火墙
PREFIX=24

配置网卡二

cp /etc/sysconfig/network-scripts/ifcfg-ens160 /etc/sysconfig/network-scripts/ifcfg-ens224

vim /etc/sysconfig/network-scripts/ifcfg-ens224

TYPE=Ethernet
BOOTPROTO=static
NAME=ens224
DEVICE=ens224
ONBOOT=yes
IPADDR=192.168.200.2
PREFIX=24

重启网络 systemctl restart network

开启路由转发

[root@iptables ~]# cat << EOF >> /etc/sysctl.conf 
> net.ipv4.ip_forward = 1
> 
> EOF
[root@iptables ~]# sysctl -p
net.ipv4.ip_forward = 1

四、配置客户机网卡

vim /etc/sysconfig/network-scripts/ifcfg-ens160

TYPE=Ethernet
BOOTPROTO=static
NAME=ens160
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.115.100
PREFIX=24
GATEWAY=192.168.115.2 
DNS1=192.168.115.2systemctl restart network

五、测试

测试防火墙能否ping通客户机和web

1、开启防火墙功能，设置源地址转换，通过改变我客户机的地址身份为web服务器同网段来实现访问

systemctl start firewalld.serviceiptables -t nat -A POSTROUTING -s 192.168.115.0/24 -o ens160 -j SNAT --to-source 192.168.200.2
##192.168.115.0网段的数据从ens160网卡进入后，把原地址改为192.168.200.2

现在反过来用web来ping客户机，结果是失败的，那么该怎么操作呢？

2、通过改变目标地址（客户机）的地址为web同网段来实现

首先为了体现效果，在客户机上上安装httpd服务

yum -y install httpd
systemctl restart httpd
echo "i am client" > /var/www/html/index.html

######设置防火墙
iptables -t nat -I PREROUTING -d 192.168.200.2 -p tcp --dport 80 -j DNAT --to-destination 192.168.115.100
表示路由前访问192.168.200.2并且目标是tcp 80 端口的都会被转换目标地址为192.168.115.100（也就是我们的客户机）