📝理论讲解：

IP伪装与端口转发

在互联网发展初期，设计者们并没有想到互联网会发展到现在这个空前繁荣的阶段，设计的IPv4地址空间只有32位。但随着互联网的发展，IP地址变得严重缺乏，并且地址分配不均匀，所以就在原有IPv4地址空间的基础上划分出来三段私网地址空间：10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。这些地址可以在企业或者公司内部被重复使用，但是不能用于互联网，因为上述三个范围内的地址无法在Internet上被路由。

于是NAT（网络地址转换）技术便产生了，当用户数据包经过NAT设备时，NAT设备将源地址替换为公网IP地址，二返回的数据包就可以被路由。NAT技术一般都是在企业边界路由器或者防火墙上来配置。

Firewalld支持两种类型的NAT：IP地址伪装和端口转发。

1.IP地址伪装

地址伪装（masquerade）：通过地址伪装，NAT设备将经过设备的包转发到制定的接收方，同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时，会将目的地址为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用（PAT）。IP地址伪装仅支持IPv4，不支持IPv6

2.端口转发

端口转发（Forward-port）：也称为目的地址转换或端口映射。通过端口转发，将指定IP地址及端口的流量转发到相同计算机上的不同端口，或不同计算机上的端口。企业内网的服务器一般都采用私网地址，可以通过端口转发将使用私网地址的服务器发布到公网，以便让互联网访问。例如，当接收互联网用户的HTTP请求时，网关服务器判断数据包的目标地址与目标端口，一旦匹配到指定规则，则将其目标地址修改为内网真正的服务器地址，从而建立有效连接。

📖实验配置与实现：

拓扑图：

推荐步骤：

●服务器客户配置 IP 地址设置网络，安装 apache 服务启动服务设置主页

●启动防火墙服务接口添加指定区域，Web 服务器启动防火墙服务接口添加指定区域

●配置 DMZ 和 external 区域的 Web 服务远程管理使用 12345 端口访问，阻止内网 ping通 DMZ 和 external 区域的 WEB 服务器，允许内网主机使用 https 协议访问 DMZ 和external 区域的 web 服务器，配置端口映射将 DMZ 服务器使用 http 协议将 IP 地址192.168.10.10 的 80 端口映射到防火墙外网 IP 地址 192.168.20.20 的 80 端口

一、服务器客户配置 IP 地址设置网络，安装 apache 服务启动服务设置主页

1、 配置 firewalld 防火墙服务器

1）添加三块网卡分别连接三个区域

2）配置 ens2 网卡 IP 地址

3）生成 DMZ 网卡和外网网卡

4）配置 DMZ 区域网卡 IP 地址

5）配置 external 区域网卡 IP 地址

6）查看配置的 IP 地址

2、配置 DMZ 区域的 web 服务器

1）修改网卡模式

2）修改 IP 地址

3）查看 IP 地址

4）删除系统源挂载系统到/mnt

5）安装 apache 服务器

6）设置网站主页

7）启动服务设置开机自动启动

3、配置 external 区域的 web 服务器

1）设置网卡模式

2）配置 IP 地址

3）查看 IP 地址

4）删除系统源挂载系统到/mnt

5）安装 apache 服务器和 https 模块

6）设置网站主页

7）启动服务设置开机自动启动

4、配置 Win10 客户端

1） 修改 Win10 网卡模式

2）配置 IP 地址

3）查看 IP 地址