防火墙实验

实验环境：三台redhat虚拟机
内网主机：server1（172.25.92.1）
外网主机：server3(172.25.254.3)
防火墙服务器：server2，server2是一个双网卡主机，eth0网卡的ip为172.25.92.2，eth1的ip为172.25.254.2

server2上操作：

首先添加两块网卡：

然后在shell窗口：

    DEVICE="eth0"
    BOOTPROTO="static"
    ONBOOT="yes"
    IPADDR=172.25.92.2
    PREFIX=24
[root@server2 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1    #第二块网卡，eth1的配置文件
    DEVICE="eth0"
    BOOTPROTO="static"
    ONBOOT="yes"
    IPADDR=172.25.254.2
    PREFIX=24

[root@server2 ~]# ifconfig eth1 172.25.254.2 netmask 255.255.255.0   #需要手动将eth1的ip添加上，eth0不用手动添加
[root@server2 ~]# /etc/init.d/network restart   #重启动网络                    

查看ip：

可以看见两块网卡和对应的ip已经添加成功。

配置火墙

[root@server2 ~]# /etc/init.d/iptables start #开启火墙
[root@server2 network-scripts]# iptables -nL #查看原有的火墙策略

[root@server2 network-scripts]# iptables -F #刷掉原有的火墙策略
[root@server2 network-scripts]# service iptables save #保存
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
[root@server2 network-scripts]# iptables -nL #再次查看火墙策略（此时无策略）

开启内核的路由转发参数：
echo 1 > /proc/sys/net/ipv4/ip_forward #”1”即是开启，“0“关闭

实验前测试：

server1上：
查看ip：

查看网关：

此时ping外网主机：172.25.254.3,不能ping通

添加网关之后：

再次ping外网主机：ping 172.25.254.3

此时发现可以ping通，原因在于防火墙主机（server2）上没有添加任何限制访问的策略，所以内网主机(172.25.92.1)将网关指向防火墙，防火墙可以起到路由转发的功能，因此可以ping通外网主机（172.25.254.3）。
在server3上：
同样可以做类似server1上的测试操作，server3的ip为172.25.254.3，开始未添加网关，需要未其添加网关：route add default gw 172.25.254.2，此时是可以ping通内网主机（172.25.92.1）的，原因和上面的相同，是因为其默认网关指向了火墙，二火墙此时未添加策略，所以可以利用火墙实现数据包的转发。

配置火墙策略