实验:iptables防火墙+DNS分离解析

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 实验考察知识点:iptables防火墙的规则配置DNS分离解析的配置

实验考察知识点:

  • iptables防火墙的规则配置
  • DNS分离解析的配置


实验内容:

web服务器在内网中,提供http服务。

要求内网中的主机能够通过 www.yuji.com 访问该web服务。

外网的主机能够通过 www.yuji.com:8080 访问该web服务。


实验环境:

1、web服务器:192.168.137.10/24(VMnet1)

2、外网主机(win10客户机):12.0.0.200/24(VMnet2)

3、网关服务器:

ens33网卡地址:192.168.137.137/24(VMnet1)

ens36网卡地址:12.0.0.254/24(VMnet2)

实验拓扑:

网络异常,图片无法展示
|


实验步骤:


一、配置网关服务器

1、配置网卡。

增加一块网卡ens36。

将ens33的网络模式设置为VMnet1(仅主机模式),地址设置为192.168.137.137。

将ens36的网络模式设置为VMnet2(仅主机模式),地址设置为12.0.0.254。

之后重启网络服务。

网络异常,图片无法展示
|


网络异常,图片无法展示
|


2、关闭firewalld和selinux。开启路由转发功能。

[root@yuji ~]# systemctl stop firewalld
 [root@yuji ~]# setenforce 0
 [root@yuji ~]# vim /etc/sysctl.conf
 net.ipv4.ip_forward = 1     //在文件中增加这一行,开启路由转发功能
 [root@yuji ~]# sysctl -p    //读取修改后的配置
 net.ipv4.ip_forward = 1
复制代码


网络异常,图片无法展示
|


3、配置iptables策略。

1)设置SNAT服务,解析源地址。修改nat表中的POSTROUTING链

[root@yuji ~]# iptables -t nat -A POSTROUTING -s 192.168.137.10/24 -o ens36 -j SNAT --to 12.0.0.254
 #-t nat:指定nat表
 #-A POSTROUTING:指定POSTROUTING链
 #-s 192.168.72.10/24:源地址网段
 #-o ens36:出站网卡
 #-j SNAT --to 12.0.0.254:使用SNAT服务,将源地址转换成公网IP地址。
复制代码


2)设置DNAT服务,解析目的地址。修改nat表中的PRETROUTING链。

[root@yuji ~]# iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.254 -p tcp --dport 8080 -j DNAT --to 192.168.137.10:80
复制代码


网络异常,图片无法展示
|


4、配置DNS分离解析。

当内网解析ww.yuji.com时,将域名解析为:192.168.137.10。

当外网解析ww.yuji.com时,将域名解析为:12.0.0.254。

1)编辑主配置文件。

[root@yuji ~]# vim /etc/named.conf     //编辑主配置文件
 -----------------------------------
  12 options {
  13         listen-on port 53 { any; };        //将监听地址修改为any
  14         listen-on-v6 port 53 { ::1; };
  15         directory       "/var/named";
  16         dump-file       "/var/named/data/cache_dump.db";
  17         statistics-file "/var/named/data/named_stats.txt";
  18         memstatistics-file "/var/named/data/named_mem_stats.txt";
  19         allow-query     { any; };          //将允许查询的地址修改为any
  52 #zone "." IN {
  53 #      type hint;
  54 #      file "named.ca";
  55 #};
复制代码


网络异常,图片无法展示
|


网络异常,图片无法展示
|


2)编辑区域配置文件。

[root@yuji ~]# vim /etc/named.rfc1912.zones     //修改区域配置文件,要将view以外的zones都删除
 ----------------------
 view "lan" {
   match-clients {192.168.137.0/24;};    //声明内网网段
   zone "yuji.com" IN {                   //声明域名
        type master;
        file "yuji.com.zone.lan";         //声明内网解析时对应的地址库文件
   };
   zone "." IN {               //用于解析根域名
       type hint;
       file "named.ca";
   };
 };
 view "wan" { 
   match-clients {any;};               //声明外网地址      
   zone "yuji.com" IN {                //声明域名
        type master;
        file "yuji.com.zone.wan";      //声明外网解析时对应的地址库文件
   };
 };
复制代码


网络异常,图片无法展示
|


3)配置内网解析地址库文件:

[root@yuji ~]# cd /var/named/
 [root@yuji named]# cp -p named.localhost  yuji.com.zone.lan
 [root@yuji named]# vim  yuji.com.zone.lan
 $TTL 1D
 @       IN SOA  @ admin.yuji.com. (
                                         0       ; serial
                                         1D      ; refresh
                                         1H      ; retry
                                         1W      ; expire
                                         3H )    ; minimum
         NS      @
 master  A       192.168.137.137
 www IN  A       192.168.137.10
复制代码


网络异常,图片无法展示
|


4)配置外网解析地址库文件。之后启动named服务。

[root@yuji named]# cp -p named.localhost  yuji.com.zone.wan
 [root@yuji named]# vim  yuji.com.zone.wan
 $TTL 1D
 @       IN SOA  @ admin.yuji.com. (
                                         0       ; serial
                                         1D      ; refresh
                                         1H      ; retry
                                         1W      ; expire
                                         3H )    ; minimum
         NS      @
         A       12.0.0.254
 www IN  A       12.0.0.254
 [root@yuji named]# systemctl start named    //启动named服务
复制代码


网络异常,图片无法展示
|


二、配置web服务器

1、关闭firewalld和selinux。

[root@web ~]# systemctl stop firewalld
 [root@web ~]# setenforce 0
复制代码


2、修改网卡配置。

将网络模式修改为VMnet1(仅主机模式)。

编辑网卡配置文件,将网卡地址设置为192.168.137.10,网关地址设置为192.168.137.137。

之后重启网络服务。

网络异常,图片无法展示
|


网络异常,图片无法展示
|


3、安装httpd服务,启动服务。

安装httpd软件包,写一个网页,启动httpd服务。本地验证一下能否打开该网页。

[root@web ~]# yum install -y httpd      //安装httpd服务
 [root@web ~]# cd /var/www/html         //切换到httpd服务的根目录
 [root@web html]# echo 'this is first web' > index.html     //写一个测试网页
 [root@web html]# systemctl start httpd     //启动httpd服务
复制代码


网络异常,图片无法展示
|


网络异常,图片无法展示
|


三、配置外网客户端(win10客户机)

1、修改网卡配置。

将网络模式修改为VMnet2(仅主机模式)。

编辑网卡配置文件,IP地址:12.0.0.200,网关地址:12.0.0.254,DNS服务器地址:12.0.0.254。

网络异常,图片无法展示
|


网络异常,图片无法展示
|


2、验证使用 www.yuji.com:8080 访问web服务。

网络异常,图片无法展示
|


小贴士:

指定DNS服务器的两种方式:

方法一:修改 /etc/resolv.conf 文件。

[root@yuji ~]# vim /etc/resolv.conf
 nameserver 192.168.137.137      //将DNS服务器地址写入文件中
 [root@yuji ~]# cat /etc/resolv.conf    //查看文件内容
 # Generated by NetworkManager
 nameserver 192.168.137.137
复制代码


方法二:修改网卡配置文件,之后重启网络服务。系统会自动将DNS服务器地址写入/etc/resolv.conf 文件中。

[root@yuji ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
 -----------------
 DNS1=192.168.137.137     //指定DNS服务器地址
 [root@yuji ~]# systemctl restart network    //重启网络服务
 [root@yuji ~]# cat /etc/resolv.conf         //查看文件内容
 # Generated by NetworkManager
 nameserver 192.168.137.137


相关文章
|
17天前
|
域名解析 存储 网络协议
深入解析网络通信关键要素:IP 协议、DNS 及相关技术
本文详细介绍了IP协议报头结构及其各字段的功能,包括版本、首部长度、服务类型、总长度、标识、片偏移、标志、生存时间(TTL)、协议、首部检验和等内容。此外,还探讨了IP地址的网段划分、特殊IP地址的应用场景,以及路由选择的大致流程。最后,文章简要介绍了DNS协议的作用及其发展历史,解释了域名解析系统的工作原理。
66 5
深入解析网络通信关键要素:IP 协议、DNS 及相关技术
|
2月前
|
网络协议 Linux Docker
在Linux中,如何指定dns服务器,来解析某个域名?
在Linux中,如何指定dns服务器,来解析某个域名?
|
1月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
193 73
|
1月前
|
网络协议
DNS正向解析实现
文章介绍了DNS正向解析的实现,包括资源记录的定义、配置区域解析记录的步骤,并通过实际操作展示了如何为"yinzhengjie.com"域名配置DNS解析记录。
34 2
DNS正向解析实现
|
2月前
|
域名解析 存储 缓存
在Linux中,DNS进行域名解析的过程是什么?
在Linux中,DNS进行域名解析的过程是什么?
|
2月前
|
域名解析 网络协议 Linux
在Linux中,如何配置DNS服务器和解析服务?
在Linux中,如何配置DNS服务器和解析服务?
|
2月前
|
监控 安全 网络安全
防火墙配置与管理技巧深度解析
【8月更文挑战第19天】防火墙的配置与管理是网络安全工作的重中之重。通过明确安全策略、精细的访问控制、日志与监控、更新与维护等配置技巧,以及权限管理、自动化与集成、应急响应计划等管理技巧,可以显著提升防火墙的安全防护能力。然而,网络安全是一个持续的过程,需要不断学习和适应新的威胁和挑战。因此,建议网络安全从业人员保持对新技术和新威胁的关注,不断提升自己的专业技能和应对能力。
|
2月前
|
负载均衡 网络协议 安全
解析网络流量管理方案:简化基于云的DNS负载均衡
解析网络流量管理方案:简化基于云的DNS负载均衡
69 1
|
2月前
|
域名解析 监控 负载均衡
【域名解析DNS专栏】智能DNS解析:自动选择最快服务器的奥秘
在互联网中,智能DNS解析作为一项先进技术,根据用户的网络环境和服务器负载情况,自动挑选最优服务器进行域名解析,显著提升访问速度与体验。其工作原理包括实时监控服务器状态、分析数据以选择最佳路由。通过负载均衡算法、地理位置识别及实时性能测试等策略,确保用户能获得最快的响应。这项技术极大提高了互联网服务的稳定性和效率。
116 5
|
2月前
|
域名解析 网络协议 数据中心
【应用服务 App Service】当遇见某些域名在Azure App Service中无法解析的错误,可以通过设置指定DNS解析服务器来解决
【应用服务 App Service】当遇见某些域名在Azure App Service中无法解析的错误,可以通过设置指定DNS解析服务器来解决

相关产品

  • 云解析DNS
  • 推荐镜像

    更多