如何正确部署一个测试环境

前言：

目的：

环境描述：

网段说明：

功能描述：

路由拓扑：

配置方面：

GatewayConfig

1.持久化修改主机名

2.配置IP

2.1修改IP

2.2重启网络

3.配置路由

3.1开启路由转发

3.2添加内网回指路由

4.防火墙设置

4.1安装iptables

4.2设置开启自启动

4.3防火墙文件中插入NAT规则

4.4重启iptables

RouteConfig

1.配置IP

1.1添加三块网卡

1.2重启网络

2.开启路由转发

3.路由表示例：

测试：

---

前言：

1.一般情况下，做linux方面的事情时，需要搭建各种各样的系统，可能会面临linux、windows、DNS等等不同功能的服务

2.只有一个可访问公网的IP

3.避免网络杂乱无章，如果是网安产品串联模式下，可规避网络风暴的危险

目的：

通过划分不同私网网段，实现不同的业务功能，配置一个可访问公网的IP在防火墙上，使所有连接防火墙的设备都可以使用统一的公网出口IP进行对外访问

环境描述：

两台cento0s7.6系统

[root@gateway ~]# cat /etc/os-release
NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"
 

Windows 10

UOS-1020a

网段说明：

172.16.0.0:Server Management     Gateway:172.16.254.1         Netmask:255.255.255.0

172.17.0.0:Business Interface       Gateway:172.17.254.1         Netmask:255.255.255.0

172.18.0.0:Client Management      Gateway:172.18.254.1         Netmask:255.255.255.0

功能描述：

Centos7.6服务器：一台作为Gateway，一台作为Route
Windows 10 x86服务器：作为客户端访问程序服务的web页面使用

UOS-1020a服务器：作为搭建产品服务使用

路由拓扑：

配置方面：

GatewayConfig

1.持久化修改主机名

vi /etc/hostname

2.配置IP

2.1修改IP

配置一个公网IP

vim /etc/sysconfig/network-scripts/ifcfg-ens192

配置一个私网IP

vim /etc/sysconfig/network-scripts/ifcfg-ens224

注意：此网卡不需要配置网关，作用是给路由器的管理口充当网关

2.2重启网络

systemctl restart network

3.配置路由

3.1开启路由转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

sysctl -p

3.2添加内网回指路由

[root@gateway ~]# ip route add 172.17.0.0/16 via 172.16.254.1 dev ens224
[root@gateway ~]# ip route add 172.18.0.0/16 via 172.16.254.1 dev ens224
永久添加

新建文件，实现路由持久化

4.防火墙设置

4.1安装iptables

yum -y install iptables iptables-services

4.2设置开启自启动

systemctl enable iptables

4.3防火墙文件中插入NAT规则

参考如下，将私网IP172.16.254.1的22端口映射到公网IP1.1.1.1的10020端口：

-A PREROUTING -d 1.11.1 -p tcp -m tcp --dport 10020 -j DNAT --to-destination 172.16.254.1:22

4.4重启iptables

重启iptables服务持久化NAT规则

systemctl restart iptables

可使用：iptables -t nat -S查看当前防火墙规则

              iptables -t nat -F清空所有规则

RouteConfig

1.配置IP

1.1添加三块网卡

分别为管理端、客户端、业务端各自配置好IP
172.17.254.1     ———>不需要指定网关
172.16.254.1     ———>指定网关172.16.0.1（防火墙上的私网网卡）
172.18.254.1     ———>不需要指定网关

1.2重启网络

systemctl restart network

网卡配置截图示例：

2.开启路由转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

sysctl -p

3.路由表示例：

所有ip的默认路由出口是172.16.0.1（管理网卡），指向了防火墙的172.16.0.1的私网网卡

测试：

规划后的私网IP可以访问统一出口网关并且可访问百度

使用统一公网IP，不同端口达到访问不同机器的目的：

举例：

访问公网的10017端口会进入到私网172.16.0.17的这台机器上