防火墙nat实验步骤

实验十二蓝盾防火墙的典型安装与部署—NAT模式（路由模式）【实验名称】防火墙的典型安装与部署——NA T模式（路由模式）【计划学时】2学时【实验目的】1、理解防火墙NA T模式的作用；2、理解防火墙NA T模式的工作原理；3、掌握安装部署的配置方法并验证NA T模式下配置的有效性。

【基本原理】在NAT模式下，防火墙类似于一台路由器，将公网的ip地址映射到内网的某个地址，从而使得内网的主机可以和外网通信。

该模式适用于内网、外网和DMZ区域不在同一个网段的情况。

从拓扑图我们可以知道，在这种模式下防火墙充当了内网的网关，所以链接到内网的LAN要设置成内网网关的地址。

之后还要设置NA T地址转换。

首先，可以先通过定义对象使得以后的设定选择变得简便。

之后，我们配置LAN口到外部网的NA T地址转换。

最后，为了内部网可以正常地访问到外网，还需要设置防火墙收到远程数据包应该发送的下一跳地址，所以还要设置相应的路由选项。

【实验拓扑】【实验步骤】一、将防火墙接入当前网络1、将防火墙按照拓扑所示接入当前网络，由路由器引入的外线接W AN口，由核心交换机引出的内部网线接LAN口，由DMZ区域的交换机引出的网线接DMZ口2、检验加入后网络状况从内部网络中的任一台PC无法再ping通路由器的对内网口IP: 10.0.0.2543、通过管理PC登录防火墙系统，“系统”→“系统信息”→“设备状态”，查看网络接口信息可以看到当前的线路连接，LAN4（也就是WAN）口上由于没有配置IP，无流量进出，故仍显示4、查看接口情况进入网口配置界面，“网络设置”→“网口配置”→“网口”：二、修改LAN和DMZ配置1、修改内网主机IP配置内网中的主机IP设置为与防火墙设备LAN 口同一网段的地址，并将网关指向LAN口地址：修改DMZ区域服务器IP配置2、测试LAN和DMZ区域是否与对应网口连通在完成修改的PC上ping LAN 口地址：在完成修改的PC上ping DMZ口地址：说明LAN和DMZ内部主机已与防火墙的网口连通了。

windows防火墙如何去设置nat有时候我想用windows防火墙来设置下nat，那么该怎么样去设置呢?下面由店铺给你做出详细的windows防火墙设置nat方法介绍!希望对你有帮助!windows防火墙设置nat方法一：1.先看防火墙有没有对你的bt放行，这一点不同的杀毒软件，不同的防火墙设置有不同的操作流程(其他原因的解决操作也是可能对应好几种，这也正是本问题的解决有无数种操作的原因)我用的xp自带的防火墙：开始——控制面板——windows防火墙(从安全中心也找得到)——例外，看里面有没有你的bt，有的话直接在前面打勾，没的话点添加程序，找到你的bt执行程序加上去。

2.如果你的防火墙设置没有问题的话，一定是你的监听端口映射没有弄对，如果你的bt软件是bitcomet,最简单的解决办法——简单得让你惊讶:打开你的bt——选项——网络连接，点监听端口那一项的“选择随机端口”，bt软件会帮你自动检测并选择一个合适的。

你是动态ip的话可能每次重新上网后都需要这样点一下。

总的来讲，虽然实际原因可能各有不同，但从原理上来讲只有一个，就是你的bt端口有没有被连出去。

所以如果你用的其他bt软件也可照此依样画葫芦。

windows防火墙设置nat方法二：更认识NAT技术我先解所涉及几概念1.内部局部址内部网配主机IP址址能网络信息(NIC)或服务提供商所配合IP址2.内部全局址合IP址(由NIC或服务供应商配)应外部世界或本IP 址3.外部局部址现网络内外部主机IP址定合址内部网路由址空间进行配4.外部全局址由主机拥者外部网配给主机IP址该址全局路由址或网络空间进行配图1展示NAT相关术语图解于NAT技术提供4种翻译址式所示1.静态翻译内部局部址内部全局址间建立映射2.态翻译内部局部址外部址池间建立种映射3.端口址翻译超载内部全局址通允许路由器局部址配全局址局部址映射全局址某端口称端口址翻译(PAT)4.重叠址翻译翻译重叠址内部网使用内部局部址与另外内部网址相同通翻译使两网络连接通信保持实际使用通需要几种翻译式配合使用现我见Cisco路由器例阐述典型应用NAT技术实现1.配置共享IP址应用需求：您需要允许内部用户访问Internet没足够合IP址使用配置共享IP址连接InternetNAT转换式图2配置内部网络10.10.10.0/24通重载址172.16.10.1./24访问外部网络全程外部址利用态翻译进行转换做说明清单1展示具体配置NAT路由器配置清单1interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.10.64 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24!-- 定义名ovrldNAT址池址池重址172.16.10.1ip nat inside source list 1 pool ovrld overload!--指 access-list 1 允许源址转换NAT址池ovrld址并且转换内部机器重载相同IP址access-list 1 permit 10.10.10.0 0.0.0.31!-- Access-list 1 允许址10.10.10.010.10.10.255进行转换NAT路由器配置清单2interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.20.254 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat inside source static 10.10.10.1 172.16.20.1!-- 指定址10.10.10.1静态转换172.16.20.1适用范围：种情况适合于通信都由内部用户向Internet发起应用例型企业用户通共享xDSL连接Internet另外用软件进行NAT转换Windows 2000操作系统功能至于内部用户数量较情况建议使用代理服务器2.配置Internet发布服务器应用需求：您需要内部设备发布Internet使用配置Internet发布服务器NAT转换式图3内部网络邮件服务器(IP址10.10.10.1/24)发布外部网络全程使用静态翻译实现种转换清单2展示具体配置适用范围：种情况适合于访问外部网络向内部设备发起应用3.配置端口映射应用需求：假设您Internet发布台内部网络Web服务器服务器配置监听8080端口您需要外部网络Web服务器80端口访问请求重定向图4配置端口映射示意图清单3展示具体配置4.配置TCP传输应用需求：TCP传输装载共享与址匮乏关问题数设备址映射虚拟设备址实现设备间负载均衡图5址10.10.10.210.10.10.15真实设备映射虚拟10.10.10.1址全程清单4展示具体配置5.真实应用案例应用需求：笔者所单位内部局域网已建并稳定运行着各种应用系统随着业务发展需要实施数据外单位新应用于安全面考虑能够现网络结构进行调整改;另外由于资金面原需要尽能节省设备等面投入应用现状：我单位内部网结构：具3VLANVLAN 1(即10.1.1.X)使用单位内部应用系统与数据没数据交换;VLAN 2(即10.2.2.X)使用数据提供应用系统约100台机器;VLAN 3(即10.3.3.X)用2台机器使用数据提供应用别10.3.3.110.3.3.2数据提供台Cisco 3640Serial口与数据通HDSL连接配址别192.168.252.1255.255.255.252FastEthernet口与单位内部局域网连接配址别192.168.1.0255.255.255.0实施案：由于打算更改内部网结构所内部网址作内部局部址数据配址作内部全局址实施NAT应用另外NAT需要两端口做inside另做outside考虑使用FastEthernet口做insideSerial口做outside图6 本单位NAT技术应用图利用设置我功实现内部址翻译转换并实现改变现网络结构情况与数据连网目标三、比较选择1.与代理服务器比较用户经NAT代理服务器相混淆NAT设备源机器目标机器都透明址翻译网络边界进行代理服务器透明源机器知道需要通代理服务器发请求且需要源机器做相关配置目标机器则代理服务器发请求源机器并数据直接发送代理服务器由代理服务器数据转发源机器NAT路由器配置清单3interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.30.254 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80 !-- 指定址10.10.10.8:8080静态转换172.16.30.8:80NAT路由器配置清单4interface ethernet 0ip address 10.10.10.17 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 10.10.10.254 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts !--定义址池real-hosts址范围10.10.10.210.10.10.15!--指定址址池real-hosts转换10.10.10.1access-list 1 permit 10.10.10.1代理服务器工作OSI模型第4层传输层NAT则工作第3层网络层由于高层协议比较复杂通说代理服务器比NAT要慢些NAT比较占用路由器CPU资源加NAT隐藏IP址跟踪起比较困难利于管理员内部用户外部访问跟踪管理审计工作所NAT技术适用于内部用户数量较少应用访问外部网络用户数量且管理员内部用户访问策略设置访问情况跟踪应用使用代理服务器较些NAT路由器配置清单5interface fastethernet 1/0ip nat inside!-- 定义内部转换接口interface serial 0/0ip address 192.168.252.1 255.255.255.252ip address 192.168.1.254 255.255.255.0 secondaryip nat outside!-- 节省端口数据提供址全部绑Serial口ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24ip nat inside source list 1 pool ToCenter!-- 建立态源址翻译指定前步定义访问列表access-list 1 permit 10.3.3.1access-list 1 permit 10.3.3.2access-list 1 permit 10.2.2.0 0.0.0.255!-- 定义标准访问列表允许访问数据址进行翻译2.与防火墙比较防火墙或组安全系统网络间执行访问控制策略防火墙流经网络通信数据进行扫描能够滤掉些攻击免其目标计算机执行防火墙关闭使用端口禁止特定端口流通信封锁特洛伊木马等禁止自特殊站点访问防止自明入侵者所通信般防火墙都具NAT功能或者能NAT配合使用应用防火墙技术NAT 技术别IP址隐藏起外界发现使外界直接访问内部网络设备作网络安全重要手段选用单纯NAT技术带NAT技术防火墙要几面考虑：您企业运营机构何运用访问控制策略明确拒绝除于连接网络至关重服务外所服务访问提供种计量审计;二您企业网需要何种程度监视、冗余度及控制水平;三则财务考虑高端完整防火墙系统十昂贵否采用防火墙需要易用性、安全性预算间做平衡决策四、安全安全我几面窥视NAT技术安全性问题1.NAT址进行转换进行其操作您建立与外部网络连接NAT阻止任何外部返恶意破坏信息2.虽NAT隐藏端端IP址并隐藏主机信息例您通NAT设备访问Windows Streaming Media服务器您发现服务器记录仅您主机名您内部IP址操作系统3.Internet恶意攻击通针机器熟知端口HTTP80端口、FTP21端口POP110端口等虽NAT屏蔽向外部网络放端口针面向熟知端口攻击能力4.许NAT设备都记录外部网络内部网络连接使您受自外部网络攻击由于没记录追查您根本发觉自受攻击NAT隐藏内部IP址使其具定安全性面析我知道能NAT作网络单安全防范措施。

网络防火墙的网络地址转换（NAT）配置指南随着互联网的普及和发展，网络防火墙在保护企业网络安全方面扮演着至关重要的角色。

而网络地址转换（NAT）作为一种网络安全机制，被广泛应用于网络防火墙的配置中。

本文旨在为读者提供一个网络地址转换配置指南，帮助企业理解和实施该机制。

引言在介绍NAT的配置指南之前，我们先要明确NAT的基本概念及其在网络安全中的作用。

NAT是一种将一个IP地址转换为另一个IP地址的技术，它主要用于在私有网络与公共网络之间进行通信。

通过将私有IP地址转换为公共IP地址，可以提高网络的安全性，同时实现更高效的资源利用。

一、了解NAT的基本原理在配置NAT之前，我们应该先了解NAT的基本原理。

NAT主要包括源NAT和目标NAT。

源NAT用于将内部网络的私有IP地址转换为公共IP地址，以在公共网络上进行通信。

目标NAT则是将公共IP地址转换为内部网络的私有IP地址，以使公共网络上的数据包能够正确传递到内部网络中的特定主机。

二、配置源NAT源NAT的配置是非常关键的，它需要在企业防火墙设备上进行。

以下是配置源NAT的步骤：1. 确定需要进行源NAT的内部网络。

根据企业的实际情况，确定哪些内部网络需要进行源NAT转换以与公共网络通信。

2. 为每个需要进行源NAT的内部网络选择一个公共IP地址池。

这个公共IP地址池可以是由企业自己拥有的IP地址，也可以是从ISP 提供的IP地址中选择。

确保公共IP地址池能够满足企业的需求，并且不会与其他网络冲突。

3. 配置源NAT规则。

在防火墙设备上，设置源NAT规则，将内部网络的私有IP地址映射到相应的公共IP地址。

这样当内部网络发起外部通信时，数据包将会被源NAT转换，并以公共IP地址为源地址进行传输。

三、配置目标NAT与源NAT类似，配置目标NAT也需要在企业防火墙设备上进行。

以下是配置目标NAT的步骤：1. 确定需要进行目标NAT的公共网络。

根据企业的需求，确定哪些网络需要进行目标NAT转换以与内部网络通信。

实验：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。

}1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境。

配置IP地址，以及配置PC A 和B的缺省网关为202.0.0.1，PC C 的缺省网关为202.0.1.1，PC D 的缺省网关为202.0.2.1。

202.0.0.2/24202.0.1.2/24192.0.0.1/24192.0.0.2/24202.0.0.1/24202.0.1.1/24S0S0E0E0202.0.0.3/24202.0.2.2/24E1202.0.2.1/24AR18-12AR28-11交叉线交叉线A BCD图 13、在两台路由器上都启动RIP ，目标是使所有PC 机之间能够ping 通。

请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。

（5分）AR28-11[Quidway]interface e0/0[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial0/0[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip[Quidway-rip]network 0.0.0.0 AR18-12[Router]interface e0[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface s0[Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router -Ethernet0]quit [Router]rip[Router -rip]network all4、在AR18和/或AR28上完成防火墙配置，使满足下述要求：（1） 只有PC 机A 和B 、A 和C 、B 和D 之间能通信，其他PC 机彼此之间都不能通信。

大连理工大学实验报告学院（系）：专业：班级：姓名：学号：组：__ 实验时间：实验室：实验台：指导教师签字：成绩：实验七：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。

}1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境。

配置IP地址，以及配置PC A 和B 的缺省网关为 202.0.0.1，PC C 的缺省网关为 202.0.1.1，PC D 的缺省网关为 202.0.2.1。

202.0.0.2/24202.0.1.2/24192.0.0.1/24192.0.0.2/24202.0.0.1/24202.0.1.1/24S0S0E0E0202.0.0.3/24202.0.2.2/24E1202.0.2.1/24AR18-12AR28-11交叉线交叉线A BCD图 13、在两台路由器上都启动RIP ，目标是使所有PC 机之间能够ping 通。

请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。

（5分） 答：（本组四台路由器均为AR-28） PC A 上命令：[H3C]interface ethernet 0/0[H3C-Ethernet0/0]ip address 202.0.0.1 255.255.255.0 [H3C-Ethernet0/0]interface serial 2/0[H3C-Serial2/0]ip address 192.0.0.1 255.255.255.0 [H3C-Serial2/0]shutdown[H3C-Serial2/0]undo shutdown [H3C]rip[H3C-rip]network 0.0.0.0 PC C 上命令：[H3C]interface ethernet 0/0[H3C-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [H3C-Ethernet0/0]interface ethernet 0/1[H3C-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [H3C-Ethernet0/1]interface serial 0/1[H3C-Serial0/1]ip address 192.0.0.2 255.255.255.0 [H3C-Serial0/1]shutdown[H3C-Serial0/1]undo shutdown [H3C]rip[H3C-rip]network 0.0.0.04、在AR18和/或AR28上完成防火墙配置，使满足下述要求：（1） 只有PC 机A 和B 、A 和C 、B 和D 之间能通信，其他PC 机彼此之间都不能通信。

1、实验拓扑图：2、实验要求：路由器之间连接的是Internet，其余为私网，各个设备所属网段及IP地址如图所示，要求E328交换机充当路由器，Router1上配置单臂路由，Router0和Router1的Serial0/0接口上启用NAT。

通过配置防火墙达到：(1)学生机(PC1所处网段)的计算机在每天的12:00到14:00时间段不能访问外网，但可以访问Ftp服务器(2)PC1和PC2所处网段的计算机仅可以访问Ftp服务器的Ftp服务(3)外网可以访问Www服务器，但是不可以ping (4)PC3可以访问Ftp服务器的Ftp服务3、实验步骤：(1)基本配置：#E328的配置[H3C]vlan 2[H3C-vlan2]port Ethernet 1/0/2[H3C-vlan2]vlan 3[H3C-vlan3]port Ethernet 1/0/3[H3C-vlan3]vlan 4[H3C-vlan4]port Ethernet 1/0/24[H3C-vlan4]quit[H3C]interface vlan-interface1[H3C-interface-vlan1]ip address 192.168.0.1 24[H3C-interface-vlan1]interface vlan-interface2[H3C-interface-vlan2]ip address 192.168.1.1 24[H3C-interface-vlan2]interface vlan-interface3[H3C-interface-vlan3]ip address 192.168.2.1 24[H3C-interface-vlan3]interface vlan-interface4[H3C-interface-vlan4]ip address 192.168.3.1 24[H3C-interface-vlan4]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.3.2#Router0的配置[H3C]interface Ethernet 0/0[H3C-e0/0]ip address 192.168.3.2 24[H3C-e0/0]interface serial 0/0[H3C-s0/0]ip address 202.102.0.1 24[H3C-s0/0]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 202.102.0.2#Router1的配置[H3C]interface serial 0/0[H3C-s0/0]ip address 202.102.0.2 24[H3C-s0/0]interface Ethernet 0/0.1[H3C-e0/0.1]ip address 192.168.4.1 24[H3C-e0/0.1]vlan-type dot1q vid 2[H3C-e0/0.1]interface Ethernet 0/0.2[H3C-e0/0.2]ip address 192.168.5.1 24[H3C-e0/0.2]vlan-type dot1q vid 3[H3C-e0/0.2]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 202.102.0.1#S2126的配置[H3C]vlan 2[H3C-vlan2]port Ethernet 0/1[H3C-vlan2]vlan 3[H3C-vlan3]port Ethernet 0/2[H3C-vlan3]quit[H3C]interface Ethernet 0/24[H3C-e0/24]port link-type trunk[H3C-e0/24]port trunk permit vlan all(2)NAT的配置#Router0的配置[H3C]nat address-group 202.102.0.5 202.102.0.6 pool1[H3C]acl number 2000[H3C-acl-basic-2000]rule permit source any[H3C-acl-basic-2000]quit[H3C]interface serial 0/0[H3C-s0/0]nat outbound 2000 address-group pool1[H3C-s0/0]nat server global 202.102.0.5 inside 192.168.2.2 ftp tcp #Router1的配置[H3C]nat address-group 202.102.0.7 202.102.0.9 pool1[H3C]acl number 2000[H3C-acl-basic-2000]rule permit source any[H3C-acl-basic-2000]quit[H3C]interface serial 0/0[H3C-s0/0]nat outbound 2000 address-group pool1[H3C-s0/0]nat server global 202.102.0.7 inside 192.168.5.2 www tcp[H3C-s0/0]nat static 192.168.4.2202.102.0.8(3)ACl的配置#Router0的配置[H3C]time-range a 12:00 to 16:00 daily[H3C]acl number 2000[H3C-acl-basic-2000]rule deny source 192.168.0.0 0.0.0.255 time-range a#E328的配置[H3C]acl number 3000[H3C-acl-adv-3000]rule permit tcp source any destination 192.168.2.2 0 destination-port equal ftp[H3C-acl-adv-3000]rule permit tcp source202.102.0.8 0 destination 192.168.2.2 0 destination-port equal ftp#Router1的配置[H3C]acl number 3000[H3C-acl-adv-3000]rule deny icmp source any destination 192.168.5.2 0(4)将ACL应用到接口#Router0的配置[H3C]firewall enable[H3C]interface Ethernet 0/0[H3C-e0/0]firewall packet-filter 2000 inbound#Router1的配置[H3C]firewall enable[H3C]interface serial 0/0[H3C-s0/0]firewall packet-filter 3000 inbound#E328的配置[H3C]interface Ethernet 1/0/3[H3C-e1/0/3]packet-filter inbound ip-group 3000 rule 04、实验结论：1、PC1PC2pingWWW服务器结果显示目的主机不可达2、PC1在12:00到16:00之间不可以访问WWW服务器，不在此时间段内，PC1可以访问www服务器。

网络安全与管理实验报告实验名称：iptables防火墙实现安全防护和NAT 学院：计算机学院专业班级：计算机科学与技术四班学号： 14142400808姓名：罗前指导教师：刘衍斌完成日期： 2017年 5月 8日一、实验目的1.掌握在iptables中添加、修改和删除规则。

2.利用iptables防火墙实现网络安全。

二、实验内容1.网络拓扑图192.168.1.0/24Fire1 Fire2 1.清除预设表filter中所有规则链中和使用者自定链中的规则2设置链的默认策略首先允许所有的包，然后再禁止有危险的包通过防火墙3.列出链中的所有规则，默认只列出filter表4.向链中添加规则：5.使用iptables配置NAT步骤：添加基本的NAT地址转换；添加规则，在这里只添加DROP链，因为默认链全是ACCEPT，防止外网用内网IP欺骗[root@bbogpn Desktop]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.3.1 -j DROP[root@bbogpn Desktop]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.2.4-jDROP[root@bbogpn Desktop]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.1 -j DROP允许XP访问web主机[root@bbogpnDesktop]# iptables -L -n -vChain INPUT (policy ACCEPT 782 packets, 74731 bytes)pkts bytes target prot opt in out source destinationChain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 72 packets, 12516 bytes)pkts bytes target prot opt in out source destination [root@bbogpnDesktop]# iptables -t filter -A INPUT -s 192.168.1.1 -d 192.168.2.4 -j ACCEPT[root@bbogpnDesktop]# iptables -t filter -A INPUT -s 172.16.11.207 -d 192.168.2.4 -j DROP[root@bbogpnDesktop]# iptables -t filter -L -n -vChain INPUT (policy ACCEPT 53 packets, 4997 bytes)pkts bytes target prot opt in out source destination0 0 ACCEPT all -- * * 192.168.1.1192.168.2.4 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 29 packets, 4152 bytes)pkts bytes target prot opt in out source destination[root@bbogpnDesktop]# ssh root@192.168.2.4The authenticity of host '192.168.2.4 (192.168.2.4)' can't be established.ECDSA key fingerprint isd8:88:76:ef:30:e0:f5:f7:4b:a2:63:51:55:2e:74:28.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added '192.168.2.4' (ECDSA) to the list of known hosts.root@192.168.2.4's password:There was 1 failed login attempt since the last successful login.[root@bbogpnDesktop]# ip addr2: eno16777736: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdiscpfifo_fast state UP qlen 1000link/ether 00:0c:29:4d:a0:50 brd ff:ff:ff:ff:ff:ffinet 192.168.1.0/24 brd 172.16.255.255 scope global eno16777736 valid_lft forever preferred_lft foreverinet6 fe80::20c:29ff:fe4d:a050/64 scope linkvalid_lft forever preferred_lft forever实验结果：发现可以ping通，实验成功。

网络防火墙的网络地址转换（NAT）配置指南随着网络的快速发展，越来越多的组织和个人都开始意识到网络安全的重要性。

作为网络安全的关键组成部分，网络防火墙起到了至关重要的作用。

而网络地址转换（NAT）作为网络防火墙中的一种重要技术，更是需要被重视和合理配置。

本文将探讨网络防火墙的NAT配置指南，帮助读者更好地理解和应用于实践中。

NAT（Network Address Translation），顾名思义，是一种将一个网络地址转换为另一个网络地址的技术。

其主要目的是将内部网络（局域网）的私有IP地址转换为外部网络（互联网）上的公共IP地址，使得内部网络的计算机可以与外部网络进行通信。

具体来说，NAT 的配置可以分为以下几个步骤：1. 确定网络拓扑结构在进行NAT配置之前，我们首先需要明确网络的拓扑结构。

这包括内部网络和外部网络之间的连接方式、网络设备的位置以及网络终端设备的数量等。

只有清晰地了解整个网络的架构，才能更好地进行NAT的配置。

2. 决定NAT的类型NAT有多种类型，包括静态NAT、动态NAT和PAT（Port Address Translation）。

静态NAT将内部网络的每个私有IP地址映射为一个公共IP地址，适用于需要对外提供服务的服务器；动态NAT是根据内部网络设备的使用情况动态地分配公共IP地址，适用于内部网络设备较多的情况；而PAT则是将多个内部设备的私有IP地址映射为一个公共IP地址，通过端口号的不同区分不同的内部设备。

根据实际需求，选择合适的NAT类型。

3. 配置网络设备在进行NAT配置之前，我们需要确保网络设备的支持和能力。

一些较旧的网络设备可能不支持NAT功能，或者性能较差，这会导致网络速度的下降或其他问题的出现。

因此，在配置NAT之前，建议对网络设备进行升级或更换，以确保其能够正常地支持NAT功能。

4. 分配IP地址池对于动态NAT和PAT来说，需要为公共IP地址分配一个IP地址池。

使用防火墙实现安全NAT【实验名称】使用防火墙实现安全NAT【实验目的】利用防火墙的安全NAT功能实现网络地址转换及访问控制【背景描述】某企业网络的出口使用了一台防火墙作为接入Internet的设备，并且内部网络使用私有IP地址（RFC 1918）。

现在需要使用防火墙的安全NAT 功能使内部网络中使用私有地址的主机访问Internet资源，并且还需要进行访问控制，只允许必要的流量通过防火墙。

企业内部网络使用的私有地址段为10.1.1.0/24、10.1.2.0/24、10.1.3.0/24。

公司领导使用的子网为10.1.1.0/24，设计部使用的子网为10.1.2.0/24，其他员工使用的子网为10.1.3.0/24。

并且公司在公网上有一台IP地址为200.1.1.1的外部FTP服务器。

现在需要在防火墙上进行访问控制，使经理的主机可以访问Internet中的Web服务器和公司的外部FTP服务器，并能够使用邮件客户端（SMTP/POP3）收发邮件；设计部的主机可以访问Internet中的Web服务器和公司的外部FTP服务器；其他员工的主机只能访问公司的外部FTP服务器。

【需求分析】企业网络需要将使用私有编址的内部网络能够访问Internet，并且对内部网络到达Internet的流量进行限制，防火墙的安全NAT功能可以同时满足这两个需求。

【实验拓扑】【实验设备】防火墙连接到Internet的链路防火墙1台路由器1台PC 3台FTP服务器1台【预备知识】网络基础知识防火墙基础知识【实验原理】实现安全的NAT地址转换是防火墙的基本功能，防火墙的安全NAT规则可以根据数据包的源IP地址、目的IP地址、服务（端口号）等对通过防火墙的报文进行检测，并进行必要的地址转换。

【实验步骤】第一步：配置防火墙接口的IP地址进入防火墙的配置页面：网络配置—>接口IP，单击<添加>按钮为接口添加IP地址。

网络防火墙的网络地址转换(NAT)配置指南随着互联网的普及和发展，网络安全问题变得越来越重要。

为了保护网络的安全，网络防火墙起到了非常重要的作用。

其中，网络地址转换(NAT)作为网络防火墙的一项关键功能，对于网络安全的提升起到了积极作用。

一、NAT的基本概念和作用网络地址转换(NAT)是指将一组IP地址映射到另一组IP地址的过程。

它的基本作用是在内部局域网和外部公网之间建立一道有效的隔离层，保护内部网络的安全和隐私。

NAT可以将内网的私有IP地址转换成公网的公有IP地址，从而在公网上隐藏了内网的真实IP地址，提高了网络的安全性。

同时，NAT还可以实现多台计算机共享一个公网IP地址的功能，节约了IP地址资源。

二、配置NAT的方式和步骤1. 确定内网和外网的网卡接口，一般情况下，内网使用私有IP 地址，外网使用公有IP地址。

2. 配置内网和外网的IP地址和子网掩码，确保其处于同一个网段。

3. 配置NAT的转换规则，指定内网IP地址和外网IP地址之间的映射关系。

4. 配置NAT的端口映射，实现内网IP地址和外网端口之间的映射关系。

5. 启动NAT服务，使配置生效。

6. 进行网络测试，验证NAT配置是否成功。

三、NAT配置的注意事项1. NAT配置需要谨慎进行，因为一旦配置错误，可能导致网络无法正常工作。

在进行NAT配置之前，应仔细了解网络设备的功能和参数，确保配置的正确性。

2. NAT配置需要考虑网络的安全性，需要合理设置转换规则和端口映射，限制外部访问内网的权限，保护内网的隐私。

3. NAT配置需要根据具体的网络环境和需求进行调整，不同的网络环境和需求可能需要不同的配置方案，需要灵活运用NAT功能。

四、NAT配置的案例分析为了更好地理解NAT的配置过程，下面以企业内网与外网之间的通信为例进行分析。

假设企业内部有多台计算机需要访问外部服务器，但是只有一个公网IP地址可供使用。

这时，可以通过NAT配置来实现多台计算机共享一个公网IP地址的功能。

openwrt 防火墙nat验证方法
在OpenWRT环境下，配置防火墙NAT规则的方法通常涉及使用fw3工具。

以下是详细的步骤：
1. 理解NAT原理：在开始配置之前，了解NAT（网络地址转换）的基本原理是很重要的。

NAT允许一个网络中的多个设备共享一个公网IP地址，通过转换内部和外部的数据包地址来实现。

2. 访问OpenWRT管理界面：通过浏览器进入OpenWRT的管理界面，通常是通过路由器的IP地址访问LuCI界面。

3. 打开fw3工具：在管理界面中找到fw3工具的位置，这通常在“网络”或“防火墙”类别下。

4. 添加NAT规则：在fw3工具中，您可以添加新的NAT规则。

这包括指定内部网络和外部网络的接口，以及需要转换的IP地址和端口。

5. 保存并应用规则：配置完成后，保存并应用新的NAT规则。

这样，当数据包通过指定的网络接口时，它们将按照您设置的规则进行地址转换。

6. 测试验证：最后，验证NAT规则是否按预期工作。

您可以尝试从内部网络访问外部服务，或者从外部尝试连接到您的内部服务，以确保NAT规则正确无误。

总的来说，可以通过上述方法来验证NAT规则是否正常工作。

一：基本网络top搭建配置动态nat，实现网段10.0.0.0进行地址转换后访问172.16.1.1注意：Host1和Host2都要设置网管，其中Host2设置网管是为了后续的测试。

1：r1路由器端口ip的配置R1#configure terminalR1(config)#interface loop0R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#int loop1R1(config-if)#ip address 10.2.2.2 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#interface fastEthernet 0/0R1(config-if)#ip address 10.3.3.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exit2：配置asa各个端口ciscoasa> enablePassword:ciscoasa# configure terminalciscoasa(config)# interface ethernet 0/0ciscoasa(config-if)# ip address 10.3.3.2 255.255.255.0ciscoasa(config-if)# no shutdownciscoasa(config-if)# nameif insideciscoasa(config-if)# security-level 100ciscoasa(config-if)# exitciscoasa(config)# interface ethernet 0/1ciscoasa(config-if)# ip address 172.16.1.2 255.255.255.0ciscoasa(config-if)# no shutdownciscoasa(config-if)# nameif outsideciscoasa(config-if)# security-level 0ciscoasa(config-if)# exitciscoasa(config)# interface ethernet 0/2ciscoasa(config-if)# ip address 192.168.100.2 255.255.255.0 ciscoasa(config-if)# no shutdownciscoasa(config-if)# nameif dmzciscoasa(config-if)# security-level 50ciscoasa(config-if)# exitciscoasa(config)#3：配置各个主机的ip地址在R1上的loop0和loop1模拟两台主机PC1和PC2，使用两个虚拟机PC3做dmz区域的主机，PC4做internet中的主机在PC3上部署web服务4：配置r1的路由R1(config)#ip route 0.0.0.0 0.0.0.0 10.3.3.25：配置asa的路由ciscoasa(config)# route inside 0 0 10.3.3.16：允许ping报文ciscoasa(config)# access-list 110 permit icmp any anyciscoasa(config)# access-group 110 in int outsideciscoasa(config)# access-group 110 in int dmz一：在asa上配置动态nat，对10.1.1.0网段的地址进行转换ciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200再用1访问4（能ping通，被nat转换了源ip地址）ciscoasa(config)# show xlate detail发现有地址映射条目将1的ip改为10.1.1.10，再访问ciscoasa(config)# show xlate detail发现多出一项地址映射条目如果要求配置动态NAT实现网段10.1.1.0/24访问DMZ区的主机PC3时也进行地址转换，NA T地址池为192.168.100.100－192.168.100.200 ，则配置方法如下：ASA(config)#access-list in-dmz extended permit ip 10.1.1.0 255.255.255.0 192.168.100.0 255.255.255.0ASA(config)# nat (inside) 2 access-list in-dmzASA(config)# global (dmz) 2 192.168.100.100-192.168.100.200####开始####动态NAT#########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 172.16.1.100 172.16.1.200ciscoasa(config-network-object)# exitciscoasa(config)# object network inside1ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-poolciscoasa(config-network-object)#如果要求配置动态NAT实现网段10.1.1.0/24访问DMZ区的主机PC3时也进行地址转换，NA T地址池为192.168.100.100－192.168.100.200 ，则配置方法如下：ciscoasa(config)# object network dmz-poolciscoasa(config-network-object)# range 192.168.100.100 192.168.100.200ciscoasa(config-network-object)# exitciscoasa(config)# object network inside2ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,dmz) dynamic dmz-poolciscoasa(config-network-object)# exit######结束#################################################################################二：动态PAT1：先把第一个实验中的相关语句删除掉，并清空nat缓存ciscoasa(config)# no nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)#no global (outside) 1 172.16.1.100-172.16.1.200ciscoasa(config)# clear xlate detail2：配置动态patciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)# global (outside) 1 172.16.1.200用a去访问dciscoasa(config)# show xlate detail修改1的ip后再访问一次ciscoasa(config)# show xlate detail对比得到的结果和上一实验的区别####开始###动态PAT##########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host 172.16.1.100ciscoasa(config-network-object)# exitciscoasa(config)# object network inside1ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-patciscoasa(config-network-object)# exitciscoasa(config)#######结束#################################################################################三：静态nat1：先把上一个实验的相关语句删掉ciscoasa(config)# no global (outside) 1 172.16.1.100ciscoasa(config)# no nat (inside) 1 10.1.1.0 255.255.255.02：配置静态natciscoasa(config)# static (dmz,outside) 172.16.1.201 192.168.100.1ciscoasa(config)# access-list out-to-dmz permit ip any host 172.16.1.201ciscoasa(config)# access-group out-to-dmz in int outside3：用d访问c（访问映射过后的地址172.16.1.201）用Host2访问DMZ区域的web服务，要方位映射的地址172.16.1.201ciscoasa(config)# show xlate detail再用4访问3的原地址192.168.100.1，发现不通####开始###静态NAT##########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network dmz1ciscoasa(config-network-object)# host 192.168.100.1ciscoasa(config-network-object)# nat (dmz,outside) static 172.16.1.100ciscoasa(config-network-object)# exitciscoasa(config)# access-list 100 permit ip any host 192.168.100.1######结束#################################################################################重要注意：老版本要让acl允许外网访问nat出去的外网公有ip地址ciscoasa(config)# access-list out-to-dmz permit ip any host 172.16.1.201新版本要让acl允许外网访问nat前的内网私有ip地址ciscoasa(config)# access-list 100 permit ip any host 192.168.100.1四：静态pat1：为dmz区域的主机安装iis服务，搭建web网站2：删除上个实验的相关语句ciscoasa(config)# no access-group out-to-dmz in int outsideciscoasa(config)# no static (dmz,outside) 172.16.1.201 192.168.100.1ciscoasa(config)# no access-list out-to-dmz permit ip any host 172.16.1.2013：配置静态patciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.100.1 httpciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 smtp 192.168.100.2 smtpciscoasa(config)# access-list out-to-dmz permit ip any host 172.16.1.201ciscoasa(config)# access-group out-to-dmz in int outside4：用4访问3的网站http://172.16.1.201####开始###静态PAT##########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network dmz1ciscoasa(config-network-object)# host 192.168.100.1ciscoasa(config-network-object)# nat (dmz,outside) static 172.16.1.200 service tcp 80 8080ciscoasa(config-network-object)# exitciscoasa(config)#######结束#################################################################################五：nat控制（清空前面的nat）注意前面的配置中在outside接口的in方向上我们应用过其他的acl，因此方形icmp的acl就失效了，一定要检查一下，把原来的110号acl应用到outside的in方向，否则ping的测试会ping不通1：用1和2访问4，都可以访问R1#ping 172.16.1.1 source 10.1.1.1R1#ping 172.16.1.1 source 10.2.2.22：启用nat控制ciscoasa(config)# nat-control测试发现都不通了配置acl规则ciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200用1访问4，可以访问用2访问4，无法访问3：为10.2.2.0网段配置nat豁免ciscoasa(config)# access-list nonat extended permit ip 10.2.2.0 255.255.255.0 172.16.1.0 255.255.255.0ciscoasa(config)# nat (inside) 0 access-list nonat再次用2访问4的共享，发现可以访问如果希望4访问2ciscoasa (config)# access-list out_to_in permit ip 172.16.1.0 255.255.255.0 10.2.2.0 255.255.255.0ciscoasa (config)# access-group out_to_in in int outside####开始###NAT控制##########以下是新版本ASA（8.4及以后）防火墙的配置############################开启nat控制（针对inside到outside）ciscoasa(config)# object network out-0.0.0.0ciscoasa(config-network-object)# host 0.0.0.0ciscoasa(config-network-object)# exitciscoasa(config)# object network inside-0.0.0.0ciscoasa(config-network-object)# subnet 0.0.0.0 0.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic out-0.0.0.0ciscoasa(config-network-object)# exitciscoasa(config)#nat豁免（针对inside到outside）ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host 172.16.1.100ciscoasa(config-network-object)# exitciscoasa(config)# object network inside1ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-patciscoasa(config-network-object)# exit######结束#################################################################################。

实验10 思科ASA防火墙的NAT配置一、实验目标1、掌握思科ASA防火墙的NAT规则的基本原理；2、掌握常见的思科ASA防火墙的NAT规则的配置方法。

二、实验拓扑根据下图搭建拓扑通过配置ASA防火墙上的NAT规则，使得inside区能单向访问DMZ区和outside区，DMZ区和outside区能够互访。

三、实验配置1、路由器基本网络配置，配置IP地址和默认网关R1#conf tR1(config)#int f0/0R1(config-if)#ip address 192.168.2.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#ip default-gateway 192.168.2.254 //配置默认网关R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exitR1#writeR2#conf tR2(config)#int f0/0R2(config-if)#ip address 202.1.1.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#ip default-gateway 202.1.1.254R2(config)#exitR2#writeServer#conf tServer(config)#no ip routing //用路由器模拟服务器，关闭路由功能Server(config)#int f0/0Server(config-if)#ip address 192.168.1.1 255.255.255.0Server(config-if)#no shutdownServer(config-if)#exitServer(config)#ip default-gateway 192.168.1.254Server(config)#exitServer#write*说明：实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由，但在本实验中Server和R2不配置不影响实验效果。

网络防火墙是当今网络安全的重要组成部分，它通过限制来自外部网络的未经授权访问，保护内部网络的安全。

而网络地址转换（NAT）作为网络防火墙的一项关键功能，起着连接内部网络和外部网络的桥梁作用。

在本文中，我们将详细讨论网络防火墙中NAT的配置指南。

一、什么是网络地址转换（NAT）网络地址转换（Network Address Translation，简称NAT）是一种网络协议，它将内部网络（Local Area Network，简称LAN）中的私有IP地址转换为对外公网IP地址。

通过NAT的配置，内部网络的计算机就可以与外部网络进行通信，同时也可以隐藏内部网络的真实IP地址，提高网络安全性。

二、NAT的配置方法1. 配置静态NAT静态NAT是将内部网络中的固定IP地址映射到公网IP地址上，使得外部网络可以通过公网IP地址访问内部网络的特定主机。

配置步骤如下：（1）确定内部网络中需要映射的主机的IP地址。

（2）在网络防火墙的配置界面中，找到NAT配置选项，并添加一条新的NAT规则。

（3）在NAT规则中，指定内部主机的IP地址和对应的公网IP地址。

（4）保存配置并重启网络设备，使得NAT规则生效。

2. 配置动态NAT动态NAT是将内部网络中的私有IP地址动态地映射到外部网络中的可用公网IP地址上，以实现内部网络多个主机与外部网络进行通信。

配置步骤如下：（1）设置NAT地址池，指定可用的公网IP地址范围。

（2）在防火墙配置界面中，添加一条新的NAT规则，并指定内部网络IP地址范围。

（3）配置地址转换规则，将内部网络的私有IP地址映射到地址池中的公网IP地址。

（4）保存配置并重启网络设备，使得NAT规则生效。

三、NAT的相关注意事项1. 内外网IP地址的选择在进行NAT配置时，需要合理选择内外网IP地址。

内部网络的IP地址应该使用私有IP地址，例如/8、/12和/16。

而外部网络的IP地址则应该是由互联网服务提供商分配的公网IP地址。

计算机与信息科学学院实验报告（2012—2013学年第一学期）课程名称：网络安全实验班级：学号：姓名：任课教师：实验报告（二）、实验内容：（1）实验网络环境的配置。

（2）安装Windows NAT 防火墙。

（3）配置Windows NAT 防火墙。

（4）测试Windows NAT 防火墙。

（5）VPN运用和测试（三）、实验步骤：1、建立实验环境（1）禁用实验主机防火墙在本实验中，实验主机采用win7系统。

如果实验主机中装有个人防火墙，则在实验之前要禁用个人防火墙，保证实验主机与虚拟机之间的正常通信。

（2）实验主机网卡的TCP/IP属性配置在本实验中，由于本机连接的是宽带，所以采用自动获取IP。

本地连接的参数如图1所示。

图1 实验主机的参数（3）虚拟网络配置在本试验中，我们需要通过Vmware添加虚拟网卡。

其中，具体操作如下。

a）双击启动主机上的“VMware Workstation”程序b）在Vmware软件操作界面的“虚拟机”菜单下选择“设置”,如图2所示。

图2 虚拟机菜单c）在弹出的“虚拟机设置”对话框中，点击添加（如图3所示），在弹出的“添加硬件向导”的对话框中，点击“网络适配器”，再点击下一步（如图4所示）。

图3 虚拟机设置图4 添加硬件向导在弹出的“网络适配器类型”的对话框中，点击“桥接”，再点击完成，如图5所示。

图5 网络适配器类型在“虚拟机设置”中将“网络适配器”的网络连接类型设置为“桥接”，再点击确定，如图6所示。

图6 修改网络连接类型d）实验虚拟主机网卡的TCP/IP属性配置虚拟主机中的两个虚拟网卡分别为“本地连接”和“本地连接2”，下面将设置它们的TCP/IP属性。

①打开Windows Server 2003虚拟机电源，启动虚拟机。

②配置“本地连接”虚拟网卡的TCP/IP属性设置。

在本实验中，IP:192.168.0.4,子网掩码:255.255.0.0；网关:192.168.0.1；DNS:202.98.198.167，如图7所示。

实验九防火墙和NAT服务器配置班级：姓名：学号：一实验目的：通过实验理解防火墙和NAT服务器的基本概念，并且能够在linux操作系统下通过iptables 配置filter表和nat表。

二实验环境：Redhat enterprise 5操作系统，局域网，互联网。

三包过滤配置：1.在linux上配置防火墙，只开放80端口，并且使得linux可以访问其他计算机的web服务。

a.设置filter表的INPUT链的默认策略为丢弃数据包:iptables –P INPUT DROPb.开放web服务:iptables –A INPUT –p tcp --dport 80 –j ACCEPTc.允许其他主机的ESTABLISHED包：iptables –A INPUT –m state --stateESTABLISHED –j ACCEPT.d.设置filter表的OUTPUT链的默认策略会接收数据包：iptables –P OUTPUTACCEPTe.对上述防火墙进行验证。

可以访问其它电脑的web服务器2.在linux上配置防火墙，允许其他计算机对本机进行passive模式的ftp访问。

a.加载模块：modprobe ip_conntrack_ftpb.设置filter表的INPUT链的默认策略为丢弃数据包:iptables –P INPUT DROPc.允许其他计算机连接本机21端口：iptables –A INPUT–p tcp –m state–-state NEW --dport 21 –j ACCEPTd.允许ESTABLISHED，RELATED 状态的数据包到达本机：iptables –A INPUT –m state --state ESTABLISHED，RELATED –j ACCEPTe.允许所有的数据包输出 iptables –A OUTPUT –p all –j ACCEPTf.对上述防火墙进行验证。