一、實驗?zāi)繕?biāo)

　　在上一次“Linux基礎(chǔ)網(wǎng)絡(luò)搭建實驗”中，內(nèi)、外網(wǎng)虛擬機(jī)之所以能Ping通，是因為暫時關(guān)閉了防火墻，然而現(xiàn)實中這樣操作顯然存在很大的安全隱患，所以本次實驗在上次實驗的基礎(chǔ)下，開啟防火墻，并配置防火墻規(guī)則，使得內(nèi)、外網(wǎng)虛擬機(jī)任然能夠Ping通。

　　（Linux基礎(chǔ)網(wǎng)絡(luò)搭建實驗：Linux網(wǎng)絡(luò)搭建基礎(chǔ)實驗（1） ）

網(wǎng)絡(luò)拓?fù)鋱D：

二、實驗步驟

1、搭建如圖所示的網(wǎng)絡(luò)（參考“Linux基礎(chǔ)網(wǎng)絡(luò)搭建實驗”）

2、在網(wǎng)關(guān)上開啟防火墻，此時內(nèi)網(wǎng)虛擬機(jī)不能Ping通外網(wǎng)虛擬機(jī)

[root@lyy 桌面]# service iptables start

3、清除防火墻（Filter）所有規(guī)則

一般來說，在重新制定防火墻規(guī)則的時候，應(yīng)先將原先規(guī)則清楚，然后再一條一條來設(shè)置

[root@lyy 桌面]# iptables -F　　//刪除所有已定的規(guī)則[root@lyy 桌面]# iptables -X　　//殺掉多有使用者”自定義“的chain（或者說tables）[root@lyy 桌面]# iptables -Z　　//將所有的chain的計數(shù)與流量統(tǒng)計都?xì)w零

4、定義默認(rèn)規(guī)則

[root@lyy 桌面]# iptables -P INPUT DROP　　//-P：定義策略（Policy）[root@lyy 桌面]# iptables -P OUTPUT DROP[root@lyy 桌面]# iptables -P FORWARD DROP[root@lyy 桌面]# iptables -A FORWARD -i eth0 -p icmp -j ACCEPT[root@lyy 桌面]# iptables -A FORWARD -i eth1 -p icmp -j ACCEPT[root@lyy 桌面]# iptables-save　　//列出完整的防火墻規(guī)則

規(guī)則解釋：

iptables -A FORWARD -i eth0 -p icmp -j ACCEPT

新增一條轉(zhuǎn)發(fā)規(guī)則，允許從eth0進(jìn)來的Ping包通過
-A：add，表示新增一條規(guī)則，位置在原本規(guī)則的最后面
-i：input，從哪個接口進(jìn)，需要與INPUT鏈配合
-p：設(shè)定此規(guī)則適用于哪種數(shù)據(jù)包格式（如：tcp、udp、icmp和all）
icmp：Ping包
-j：后面接動作，主要的動作有：接受（ACCEPT）、丟棄（DROP）、拒絕（REJECT）及記錄（LOG）

三、測試結(jié)果

在內(nèi)網(wǎng)虛擬機(jī)上Ping外網(wǎng)虛擬機(jī)

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持VEVB武林網(wǎng)。