RouterSrv
完成服务
ROUTING
开启路由转发,为当前实验环境提供路由功能。
根据题目要求,配置单臂路由实现内部客户端和服务器之间的通信。
IPTABLES
添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。
INPUT、OUTPUT和FOREARD链默认拒绝(DROP)所有流量通行。
配置源地址转换允许内部客户端能够访问互联网区域。
配置路由转发
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p
配置网络地址转换规则
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens35 -j MASQUERADE #ens35 外网网卡 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens35 -j MASQUERADE #MASQUERADE是转换 iptables -t nat -A PREROUTING -p udp -d 81.6.63.254 --dport 53 -j DNAT --to 192.168.100.100 iptables -t nat -A PREROUTING -p tcp -d 81.6.63.254 -m multiport --dport 53,80,443,465,993 -j DNAT --to 192.168.100.100 iptables -t nat -A PREROUTING -p tcp -d 81.6.63.254 -m multiport --dport 20,21 -j DNAT --to 192.168.100.200 iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m multiport --dport 2021,22 -j ACCEPT iptables -A INPUT -p udp -m multiport --dport 67,123,1194 -j ACCEPT iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p udp --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -m multiport --dport 20,21,53,80,443,465,993,4500:5000 -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.100.0/24 -j ACCEPT
外网访问内网的chrony服务器(chrony服务在内网)
iptables -t nat -A PREROUTING -p udp -d 81.6.63.254 -m multiport --dport 123,323 -j DNAT --to 192.168.100.100
快照
INPUT、OUTPUT和FOREARD链默认拒绝(DROP)所有流量通行
#这个放在比赛的最后面做,不然容易出问题 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -A INPUT -p icmp -j ACCEPT iptables -A FORWARD -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT
验证
存在源为192.168.0.0/24和192.168.100.0/24的MASQUERADE规则
iptables -t nat -nvL POSTROUTING
存在目的地为81.6.63.254的DNAT规则,规则中至少存在udp53,tcp53,tcp80,tcp443,tcp465,tcp993。
iptables -t nat -nvL PREROUTING
INPUT链至少要放行tcp2021,udp67,FORWARD链至少要放行tcp20,21,53,80,443,465,993。
iptables -nL
默认拒绝
