第一篇:ccna靜態路由配置和環回口配置
router>用戶模式 enable disable router#特權模式 configure terminal router(config)#全局模式 interface fx/x router(config-if)#接口模式 show ip interface brief 查看接口 show running-config 查看所有配置
工程三招:
no ip domain lookup 關閉域名解析
line console 0 進入到console(控制端)模式 logging synchronous 開啟信息同步
no exec-timeout 關閉會話超時,防止一段時間內不操作自動退出
配置靜態路由表
R1 :f0/0 192.168.1.1 R2: f0/0 192.168.1.2 f1/0 192.168.2.1 R3:f0/0 192.168.2.2
R1配置情況如下:
R2配置情況如下:
R3配置情況如下:
配置回環口
R1配置情況如下:
R2配置情況如下:
R3配置情況如下:
Telnet
1、Line vty 0 4 Password xxx Login //沒有設置密碼情況下不能打login
2、line vty 0 4
3、
第二篇:動態路由配置實驗報告
實驗名稱:姓
名:專
業:班
級:學
號:指導教師:實驗日期:
動態路由的配置
江西理工大學南昌校區
實驗報告
【實驗目的】
1.學會用配置靜態路由; 2.學會用RIP協議配置動態路由。
【實驗原理】
動態路由是網絡中的路由器之間相互通信,傳遞路由信息,利用收到的路由信息更新路由器表的過程。它能實時地適應網絡結構的變化。如果路由更新信息表明發生了網絡變化,路由選擇軟件就會重新計算路由,并發出新的路由更新信息。這些信息通過各個網絡,引起各路由器重新啟動其路由算法,并更新各自的路由表以動態地反映網絡拓撲變化。動態路由適用于網絡規模大、網絡拓撲復雜的網絡。
RIP采用距離向量算法,即路由器根據距離選擇路由,所以也稱為距離向量協議。路由器收集所有可到達目的地的不同路徑,并且保存有關到達每個目的地的最少站點數的路徑信息,除到達目的地的最佳路徑外,任何其它信息均予以丟棄。同時路由器也把所收集的路由信息用RIP協議通知相鄰的其它路由器。這樣,正確的路由信息逐漸擴散到了全網。
【實驗步驟】
1.在Packet Tracer軟件環境當中搭建實驗環境,并畫出如下拓撲圖,共使用4臺路由器,5臺PC機,1臺交換機,其中兩個路由器之間用交叉線連接,交換機與其他設備都用直通線連接。
圖一 網絡拓撲圖
江西理工大學南昌校區
實驗報告
2.按照事先想好的如上圖中標示的地址在計算機中設置好IP地址,子網掩碼,默認網關。如設置PC1的相關截圖如下:
圖二 PC1的IP地址
圖三 PC1的網關
3.利用ping命令測試同一網段的兩臺PC機之間的連通性,若出現Reply from語句則表示兩臺PC機之間相互連通了,若出現Request timed out則表示還沒有連 3 江西理工大學南昌校區
實驗報告
通,如下圖所示是測試同一網段的PC0和PC4之間的連通性,出現Reply from語句,表示兩臺計算機之間連通了。
圖四 用ping命令測試連通性
4.在路由器中分別添加與之相連的網段的網絡號,相關截圖如下:
圖五 路由器設置
5.利用ping命令測試不同網段的PC機(PC1和PC3)之間的連通性,測試結果如下,結果表明連通了。江西理工大學南昌校區
實驗報告
圖六 用ping命令測試連通性
【實驗總結】
經過第一次實驗的鍛煉,此時實驗簡單了很多。在課上老師講的很詳細,我們跟著老師的步驟操作,比較輕松的就完成了此次實驗,在實驗中熟練掌握動態路由協議RIP及RIP路由協議的配置方法、熟悉配置RIP路由表項的基本操作步驟、掌握在小型規模網絡中配置實現RIP距離矢量類路由協議的方法等。通過此次試驗感覺學到了不少東西,收獲感很強。
第三篇:ccna實驗配置個人總結
------------------基本配置-----
01.路由器的基本配置:
Router>用戶模式
Router>enable用戶進入特權模式
Router#特權模式
Router#configure terminal特權進入全局配置模式
Router(config)#全局配置模式
Router(config)#hostname R1命名
R1(config)#no ip domain-lookup 關閉域名解析模式
R1(config)#line console 0進入控制臺口
R1(config-line)#logging synchronous日志信息同步
R1(config)#interface fastethernet 0/0進入不同的接口
R1(config-if)#ip address 192.168.1.1 255.255.255.0配置IP
R1(config-if)#no shutdown開啟接口
R1(config-if)#clock rate 64000DCE端時鐘配置
show命令都是在特權模式下的R1(config)#show ip route查看路由表
R1(config)#show running-config查看當前配置
R1(config)#show ip interface brief查看端口配置
R1(config)#copy running-config startup-config當前配置保存為啟動配置
R1(config)#write memory保存
---------------
02.路由協議:
Static routes/Default Static routes
RIP
Eigrp
ospf
---------------
Default Static routes
R1(config)#ip route 0.0.0.0 0.0.0.0 192.1.12.2缺省路由
R1(config)#ip route 0.0.0.0 0.0.0.0 192.1.21.2 10浮動靜態路由10是管理距離 管理距離應用于協議之間的比較,metric值應用于協議內部之間的比較
Static routes
R1(config)#ip route 192.1.2.0 255.255.255.0 192.1.12.2下一跳地址(直連對端地址)
R1(config)#ip route 192.1.2.0 255.255.255.0 fastethernet0/0出站接口----------------
03.RIP
R1(config)#router rip開啟rip
R1(config-router)#version 2 版本號
R1(config-router)#no auto-summary關閉自動匯總
R1(config-router)#network 11.1.1.1宣告自己loopback端的ip(網段號也可以)R1(config-router)#network 192.1.12.1宣告自己路由器的ip(網段號也可以)
自動匯總和手工匯總都會抑制明細路由,做手工匯總必須先關閉自動匯總。
R1(config)#no router rip刪除rip協議
R1#show ip protocol 查看ip協議
R1#clear ip route * 清空路由表
----------------
04.Erigp
R1(config)#router eigrp 1
R1(config-router)#no auto-s
R1(config-router)#network 1.0.0.0宣告loopback的ip網段號(ip地址也可以)R1(config-router)#network 192.1.12.0宣告路由器ip網段號(ip地址也可以)R1#show ip eigrp neighbors查看鄰居表
R1#show ip rigrp topolgy查看拓撲表
R1#show ip route eigrp通過eigrp學習到得路由
DUAL算法:后繼,可行距離FD,通告距離AD,可行性條件FC(FD>AD),可行后繼 Eigrp的鄰居表,拓撲表,路由表。
---------------
05.OSPF
R1#show ip neighbor查看鄰居表
R1#show ip ospf datebase查看數據庫
R1#show ip ospf interface ethernet1/0查看接口配置
priority優先級0-255默認為1
R1#(config-if)#ip ospf priority 10 修改優先級為10
R1(config-router)#router-id 11.11.11.11修改id
配置:
R1(config)#router ospf 1
R1(config-router)#network 1.1.1.0 0.0.0.255 area 1
R1(config-router)#network 192.1.12.0 0.0.0.255 area 0
R2(config)#router ospf 1
R2(config-router)#network 2.2.2.0 0.0.0.255 area 2
R2(config-router)#network 192.1.12.0 0.0.0.255 area 0
這個配置具體還不清楚
R1(config)#int e1/0
R1(config-if)#ip ospf hello-interval 5修改hello時間
R1(config-if)#ip ospf dead-interval 10修改dead時間
--------------
06.ACL 訪問控制列表
--------
telnet設置:
R1(config)#line vty 0
R1(config-line)#password yangkaichun
--------
R1(config)#access-list 1 deny 1.1.1.1 0.0.0.0拒絕1.1.1.1訪問
R1(config)#access-list 1 premit any允許其它的R1(config)#int e1/0進入端口調用
R1(config-if)#ip access-group 1 in調用ACL
R1(config)#access-list 100 deny tcp any any eq telnet 不允許telnet登陸 R1(config)#access-list 100 permit ip any any 允許其它的R1(config)#int e 1/0進入端口調用
R1(config-if)#ip access-group 100 in
R1(config)#access-list 100 deny icmp host 192.1.12.2 host 1.1.1.1 echo拒絕ICMP包
R1(config)#access-list 100 deny tcp any any eq 80(不允許HTTP的進入)把80換成?就可查看端口編號了
第四篇:VLAN間路由配置心得體會
VLAN間路由配置心得體會
眾所周知,第二層平面網絡的擴展性不佳,各站點發送數據包前要廣播查詢目的地的MAC地址。由于大量應用層軟件需要廣播傳送某些數據包,而這些數據廣播包只需發向某一組用戶,如果此時沒有VLAN(Virtual Local Area Network),這些數據包會占用大量網絡資源,使正常數據包無法獲得帶寬,從而嚴重影響網絡效率及性能。VLAN依靠用戶的邏輯設定將原來物理上互聯的一個局域網絡劃分為多個虛擬網段,即在兩層交換機的邏輯上劃分若干LAN(廣播域),將廣播信息、組播信息等限制在特定的一組端口上,從而為限制全網范圍的廣播和多點廣播提供有效手段。在網絡設計中,應選擇切實可行的技術進行VLAN的靈活劃分。劃分可依據設備所連的端口、用戶節點的MAC地址等,劃分的結果是使同一個VLAN內的數據可自由通信。不同VLAN間的數據交流需要通過第三層交換完成。即通過跨越交換機劃分VLAN,從而高性能地實現VLAN之間的路由,提高帶寬利用率和網絡性能,增強網絡應用的靈活性和安全性。
二、VLAN在網絡中的典型劃分VLAN在網絡中的典型劃分如圖1所示。VLAN通常與IP網絡是相關聯的,例如特定IP子網中的所有工作端屬于同一個VLAN,不同VLAN之間必須通過路由器或具有路由器功能的模塊才能通信。VLAN可以是動態的,也可以是靜態的。所謂動態VLAN就是基于工作站的MAC地址,即根據工作站上網卡的48位硬件地址劃分的VLAN。動態VLAN主要是通過每臺交換機所連接工作站的MAC地址,它將一組MAC地址劃分在同一邏輯組中,其中的成員不會因地理位置的改變而改變(這種方法僅用于局域網)。靜態VLAN是一種具有固定地理位置的劃分方法,它基于交換機端口的劃分,可以通過對交換機的適當設置,將同一個交換機或不同交換機上的一組端口劃分在同一個VLAN中。VTP(VLAN Trunk Protocol)協議主要用于多臺局域網交換機互聯情況下有效管理VLAN的配置。VTP Domain 也叫VLAN的管理域,它由具有相同管理域名稱的交換機組成,每個交換機只能位于一個VTP域中,這樣便可以通過命令行(CLI)方式或簡單的網絡管理協議(SNMP)來完成整個Domain中VLAN的設置(在缺省狀態下,交換機處于非管理域中)。由于一個端口只能同時屬于一個VLAN,那么當兩臺交換機聯機后,屬于不同VLAN的數據包如何通過級聯端口到達另一臺交換機,數據包到達另一臺交換機后又如何交換呢?我們可以使用交換機中的Trunk功能。兩臺交換機之間的Trunk關系以及Trunk中所使用的ISL和802.1Q協議是可以通過雙方協商建立的,總共有5種工作方式:On、Off、Desirable、Auto(Trunk端口缺省模式)和Nonegotiate(交換機與路由器之間的Trunk)。VLAN的配置實現交換機可以分為基于Set命令的和基于IOS的兩類。交換機的平臺不同,具體設置命令也有所不同,但各種配置的基本原理及設置思路都是一樣的。就VLAN的設置來講,其基本步驟包括:配置VTP 域、建立新的VLAN、將端口分配到目標的VLAN之中。
三層交換實現vlan間路由與dhcp配置:
實驗拓撲圖
實驗目的:
讓sw1與sw2屬于vlan 1,pc1與pc3屬于vlan 2,pc2與pc4屬于vlan 3,在sw1上配置vlan間路由和dhcp,其他設備從dhcp獲取地址,并實現vlan間通信。
sw1配置: Router>en Router#conf t Router(config)#line console 0 Router(config-line)#password abc Router(config-line)#login Router(config-line)#logging synchronous
//設置同步,不讓信息影響操作
Router(config-line)#exec-timeout 0 0
//設置永不超時,防止cpu占用率100%,(只在模擬器上設置)
Router(config-line)#exi Router(config)#no ip domain lookup
//關閉域名解析功能 Router(config)#no ip routing
//關閉路由功能 Router(config)#hostname sw1 sw1(config)#in vlan 1 sw1(config-if)#ip add 192.168.0.1 255.255.255.0
//配置vlan 1 IP地址 sw1(config-if)#no shut sw1(config-if)#exi sw1(config)#vlan 2
//創建vlan 2 sw1(config-vlan)#name v2
sw1(config-vlan)#vlan 3 sw1(config-vlan)#name v3 sw1(config-vlan)#exi sw1(config)#in fa1/1 sw1(config-if)#switchport mode access
//設置端口為訪問端口(默認值)sw1(config-if)#switchport access vlan 2
//讓接口屬于vlan 2成員 sw1(config-if)#in fa1/2 sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 3 sw1(config-if)#exi sw1(config)#in fa1/15 sw1(config-if)#switchport mode trunk
//設置端口為中繼端口
sw1(config-if)#switchport trunk encapsulation dot1q
//端口的封裝類型 sw1(config-if)#exi sw1(config)#vtp mode server
//設置為vtp的服務模式 sw1(config)#vtp domain aaa
//設置vtp的域名 sw1(config)#vtp password abc
//設置vtp的密碼 sw1(config)#vtp pruning
//啟用vtp修剪功能
實現dhcp功能:
sw1(config)#ipdhcp pool v1
//創建一個dhcp地址池,名為v1 sw1(dhcp-config)#network 192.168.0.0 /24
//要分配的網段 sw1(dhcp-config)#default-router 192.168.0.1
//默認網關 sw1(dhcp-config)#lease 4
//租約 sw1(dhcp-config)#exi sw1(config)#ipdhcp pool v2 sw1(dhcp-config)#network 192.168.1.1 /24 sw1(dhcp-config)#default-router 192.168.1.1 sw1(dhcp-config)#lease 4 sw1(dhcp-config)#exi sw1(config)#ipdhcp pool v3 sw1(dhcp-config)#network 192.168.2.0 255.255.255.0 sw1(dhcp-config)#default-router 192.168.2.1 sw1(dhcp-config)#lease 4 sw1(dhcp-config)#exi sw1(config)#ipdhcp excluded-address 192.168.0.1
//不分配的地址 sw1(config)#ipdhcp excluded-address 192.168.1.1 sw1(config)#ipdhcp excluded-address 192.168.2.1
實現vlan間路由:
sw1(config)#ip routing
啟用路由功能(因為剛才關閉了)sw1(config)#in vlan 2 sw1(config-if)#ip add 192.168.1.1 255.255.255.0 sw1(config-if)#no shut sw1(config-if)#exi sw1(config)#in vlan 3 sw1(config-if)#ip add 192.168.2.1 255.255.255.0 sw1(config-if)#no shut sw1(config-if)#exi
sw2配置: Router>en Router#conf t Router(config)#line console 0 Router(config-line)#password abc Router(config-line)#login Router(config-line)#logging synchronous Router(config-line)#exec-timeout 0 0 Router(config-line)#exi Router(config)#no ip domain lookup Router(config)#no ip routing Router(config)#hostname sw2 sw2(config)#in f1/15 sw2(config-if)#switchport mode trunk
//設為中繼端口
sw2(config-if)#switchport trunk encapsulation dot1q
//端口封裝類型 sw2(config-if)#exi sw2(config)#vtp mode client
//設為vtp客戶模式 sw2(config)#vtp domain aaa sw2(config)#vtp password abc sw2(config)#vtp pruning sw2(config)#in vlan 1 sw2(config-if)#ip add dhcp
//IP地址設為從DHCP獲取 sw2(config-if)#exi sw2(config)#in f1/0 sw2(config-if)#switchport mode access
//設置為訪問端口 sw2(config-if)#switchport access vlan 2
//將接口分配到vlan 2 sw2(config-if)#in f1/1 sw2(config-if)#switchport mode access sw2(config-if)#switchport access vlan 3 sw2(config-if)#end
每個PC機的設置都一樣。如下: pc: Router>en Router#conf t Router(config)#line console 0 Router(config-line)#password abc Router(config-line)#login Router(config-line)#logging synchronous Router(config-line)#exec-timeout 0 0 Router(config-line)#exi Router(config)#no ip domain lookup Router(config)#no ip routing Router(config)#hostname pc2 pc2(config)#in f0/0 pc2(config-if)#ip add dhcp
//從DHCP獲取IP地址 pc2(config-if)#no shut pc2(config-if)#end
總結:
首先為交換機創建VLAN,并且把VLAN分配給端口。設置主要端口的TRUNK模式目的是與路由器通訊。其次,路由器啟用子接口、封裝VLAN并設置ip。最后設置模擬Pc就可以了。
第五篇:畢業論文 LINUX路由防火墻配置
LINUX路由防火墻配置 加上摘要、關鍵字 LINUX系統應用概述(安全方面應用)防火墻的功能介紹 防火墻規則配置 防火墻路由配置 防火墻NAT配置
RedHat Linux 為增加系統安全性提供了防火墻保護。防火墻存在于你的計算機和網絡之間,用來判定網絡中的遠程用戶有權訪問你的計算機上的哪些資源。一個正確配置的防火墻可以極大地增加你的系統安全性。
其中有以下幾種配置方式:
高級:如只有以下連接是果你選擇了「高級」,你的系統就不會接受那些沒有被你具體指定的連接(除了默認設置外)。默認允許的: DNS回應
DHCP — 任何使用 DHCP 的網絡接口都可以被相應地配置。如果你選擇「高級」,你的防火墻將不允許下列連接
1.活躍狀態FTP(在多數客戶機中默認使用的被動狀態FTP應該能夠正常運行。)2.IRC DCC 文件傳輸
3.RealAudio 4.遠程 X 窗口系統客戶機 如果你要把系統連接到互聯網上,但是并不打算運行服務器,這是最安全的選擇。
如果需要額外的服務,你可以選擇 「定制」 來具體指定允許通過防火墻的服務。注記:如果你在安裝中選擇設置了中級或高級防火墻,網絡驗證方法(NIS 和 LDAP)將行不通。
中級:如果你選擇了「中級」,你的防火墻將不準你的系統訪問某些資源。訪問下列資源是默認不允許的:
1.低于1023 的端口 — 這些是標準要保留的端口,主要被一些系統服務所使用,例如: FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務器端口(2049)— 在遠程服務器和本地客戶機上,NFS 都已被禁用。3.為遠程 X 客戶機設立的本地 X 窗口系統顯示。4.X 字體服務器端口(xfs 不在網絡中監聽;它在字體服務器中被默認禁用)。
如果你想準許到RealAudio之類資源的訪問,但仍要堵塞到普通系統服務的訪問,選擇 「中級」。你可以選擇 「定制」 來允許具體指定的服務穿過防火墻。
注記:如果你在安裝中選擇設置了中級或高級防火墻,網絡驗證方法(NIS 和 LDAP)將行不通。
無防火墻:無防火墻給予完全訪問權并不做任何安全檢查。安全檢查是對某些服務的禁用。
建議你只有在一個可信任的網絡(非互聯網)中運行時,或者你想稍后再進行詳細的防火墻配置時才選此項。選擇 「定制」 來添加信任的設備或允許其它的進入接口。
信任的設備:選擇「信任的設備」中的任何一個將會允許你的系統接受來自這一設備的全部交通;它不受防火墻規則的限制。
例如,如果你在運行一個局域網,但是通過PPP撥號連接到了互聯網上,你可以選擇「eth0」,而后所有來自你的局域網的交通將會被允許。
把「eth0」選為“信任的”意味著所有這個以太網內的交通都是被允許的,但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通,不要選擇它。建議你不要將連接到互聯網之類的公共網絡上的設備定為 「信任的設備」。
允許進入:啟用這些選項將允許具體指定的服務穿過防火墻。注意:在工作站類型安裝中,大多數這類服務在系統內沒有被安裝。
DHCP:如果你允許進入的 DHCP 查詢和回應,你將會允許任何使用 DHCP 來判定其IP地址的網絡接口。DHCP通常是啟用的。如果DHCP沒有被啟用,你的計算機就不能夠獲取 IP 地址。
SSH:Secure(安全)SHell(SSH)是用來在遠程機器上登錄及執行命令的一組工具。如果你打算使用SSH工具通過防火墻來訪問你的機器,啟用該選項。你需要安裝openssh-server 軟件包以便使用 SSH 工具來遠程訪問你的機器。
TELNET:Telnet是用來在遠程機器上登錄的協議。Telnet通信是不加密的,幾乎沒有提供任何防止來自網絡刺探之類的安全措施。建議你不要允許進入的Telnet訪問。如果你想允許進入的 Telnet 訪問,你需要安裝 telnet-server 軟件包。
HTTP:HTTP協議被Apache(以及其它萬維網服務器)用來進行網頁服務。如果你打算向公眾開放你的萬維網服務器,請啟用該選項。你不需要啟用該選項來查看本地網頁或開發網頁。如果你打算提供網頁服務的話,你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會為 HTTPS 打開一個端口。要啟用 HTTPS,在 「其它端口」 字段內注明。
SMTP:如果你需要允許遠程主機直接連接到你的機器來發送郵件,啟用該選項。如果你想從你的ISP服務器中收取POP3或IMAP郵件,或者你使用的是fetchmail之類的工具,不要啟用該選項。請注意,不正確配置的 SMTP 服務器會允許遠程機器使用你的服務器發送垃圾郵件。
FTP:FTP 協議是用于在網絡機器間傳輸文件的協議。如果你打算使你的 FTP 服務器可被公開利用,啟用該選項。你需要安裝 vsftpd 軟件包才能利用該選項。
其他端口:你可以允許到這里沒有列出的其它端口的訪問,方法是在 「其它端口」 字段內把它們列出。格式為: 端口:協議。例如,如果你想允許 IMAP 通過你的防火墻,你可以指定 imap:tcp。你還可以具體指定端口號碼 要允許 UDP 包在端口 1234 通過防火墻,輸入 1234:udp。要指定多個端口,用逗號將它們隔開。
竅門:要在安裝完畢后改變你的安全級別配置,使用 安全級別配置工具。
在 shell 提示下鍵入 redhat-config-securitylevel 命令來啟動 安全級別配置工具。如果你不是根用戶,它會提示你輸入根口令后再繼續。
運行防火墻的計算機(以下稱防火墻)既連接外部網,又連接內部網。一般情況下,內部網的用戶不能直接訪問外部網,反之亦然。如果內部網用戶要訪問外部網,必須先登錄到防火墻,由防火墻進行IP地址轉換后,再由防火墻發送給外部網,即當內部網機器通過防火墻時,源IP地址均被設置(或稱偽裝,或稱欺騙)成外部網合法的IP地址。經偽裝以后,在外部網看來,內部網的機器是一個具有合法的IP地址的機器,因而可進行通信。外部網用戶要訪問內部網用戶時,也要先登錄到防火墻,經過濾后,僅通過允許的服務。由此可見,防火墻在內部網與外部網之間起到了兩個作用:(1)IP包過濾——保護作用;(2)路由——網絡互連作用。
硬件安裝:運行Linux防火墻的計算機上必須安裝有兩塊網卡或一塊網卡、一塊Modem卡。本文以兩塊網卡為例。安裝網卡,正確設置中斷號及端口號,并為各網卡分配合適的IP地址。例如:eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創建,刪除或插入鏈,并可以在鏈中創建,刪除或插入過濾規則。Iptables僅僅是一個包過濾管理工具,對過濾規則的執行是通過LINUX的NETWORK PACKET FILTERING內核和相關的支持模塊來實現的。
RED HAT LINUX在安裝時,也安裝了對舊版的IPCHAINS的支持,但是兩者不能同時使用,可以用以下命令卸下: Rmmod ipchains 然后可以檢查下Iptables是否安裝了: Rpm –q Iptables Iptables-1.2.7a-2 說明已經安裝了Iptables Iptables有以下服務: 啟用:service Iptables start 重啟:service Iptables restart 停止:servixe Iptables stop 對鏈的操作:
1. 2. 查看鏈:Iptables –L 創建與刪除鏈:Iptables –N block block為新鏈
Iptables –X 為刪除鏈 3.
對規則的操作:
1. 2. 3. 4. 5. 6. 7. 刪除鏈中規則:Iptables –E 歸零封包記數器:Iptables –Z 設置鏈的默認策略:Iptables –P 新增規則:Iptables –A 替換規則:Iptables –R 刪除規則:Iptables –D 插入規則:Iptables –I 更改鏈的名稱:Iptables-E 要禁止外網PING本機,可以執行規則為:
Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機訪問本機,規則為: Iptables –A INPUT –s 220.174.156.22 –j DROP 規則的處理動作: 1. 2. ACCEPT:允許封包通過或接收該封包
REJECT:攔截該封包,并回傳一個封包通知對方
3. 4. DROP:直接丟棄封包
5. 6. MASQUERADE:用于改寫封包的來源IP為封包流出的外網卡的IP地址,實現IP偽裝
假設外網卡為ETH0,則 : iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99
構建路由: 增加一條靜態路由:
# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態路由:
# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統增加一條缺省路由,因為缺省的路由是把所有的數據包都發往它的上一級網關
(假設地址是172.16.1.254,這個地址依賴于使用的網絡而定,由網絡管理員分配),因此增加如下的缺省路由記錄: # route add default gw 172.16.77.254 最后一步,要增加系統的IP轉發功能。這個功能由
執行如下命令打開ip轉發功能: echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測試路由器的工作情況。
點擊咨詢 