练习使用firewalld的masquerade和nat功能

练习使用firewalld的masquerade和nat功能

目的是练习使用firewalld的masquerade和nat功能，物理连接如下图：

手机开启便携式热点，台式机有两个网卡，一个是USB无线网卡wlan0连接手机便携式热点可以上网使用外网，动态IP地址为192.168.43.XXX同手机便携式热点分配，台式机的另一网卡eth0通过网线连接无线路由器TP-link，固定IP地址为192.168.8.102由路由器TP-link分配，笔记本电脑内置无线网卡wlan0通过WIFI连接到无线路由器TP-link，固定IP地址为192.168.8.101由路由器TP-link分配，笔记本电脑是不可以直接上网使用外网，要台式机nat带动笔记本电脑上网

一、手机设置
手机有流量而且可以上网，设置——网络和互联网——热点和网络共享——WLAN热点——设置WLAN热点：网络名称android安全性WPA2-PSK密码XXXXXXXXXXX——开启

二、无线路由器TP-link
UC浏览器——输入网址http://192.168.1.1/——XXXXXXXXXXX
系统工具——修改登录密码——XXXXXXXXXXX
网络参数——LAN口设置——将IP地址192.168.1.1改为192.168.8.1——保存——重启无线员路由器
无线设置——无线安全设置——PSK密码XXXXXXXXXXX
DHCP服务器——客户端列表——复制MAC地址
DHCP服务器——静态地址保留——上网本 XX-XX-XX-XX-XX-XX 192.168.8.101 生效 编辑 删除
DHCP服务器——静态地址保留——台式机 XX-XX-XX-XX-XX-XX 192.168.8.102 生效 编辑 删除

三、台式机设置
台式机安装linux系统为opensuse-leap-15.3桌面版

设置开机就开启防火墙firewalld
localhost:~ # systemctl enable firewalld.service
Created symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service → /usr/lib/systemd/system/firewalld.service.
Created symlink /etc/systemd/system/multi-user.target.wants/firewalld.service → /usr/lib/systemd/system/firewalld.service.
localhost:~ # systemctl start firewalld.service

默认没有开启ssh，需要手动开启ssh
localhost:~ # firewall-cmd --add-service=ssh --permanent
success
localhost:~ # firewall-cmd --reload
success
localhost:~ # firewall-cmd --list-services
dhcpv6-client tigervnc tigervnc-https ssh
localhost:~ # systemctl enable sshd.service
localhost:~ # systemctl start sshd.service

localhost:~ # firewall-cmd --get-default-zone
默认作用区域为public，不用修改
localhost:~ # firewall-cmd --get-active-zone
docker
interfaces: docker0
public
interfaces: eth0 wlan0
默认两张网卡都处于public区域，不用修改

localhost:~ # vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
localhost:~ # sysctl -p
打开路由转发功能，下次开机都会自动开启转发功能

localhost:~ # firewall-cmd --permanent --zone=public --add-masquerade
开启源地址伪装功能
localhost:~ # firewall-cmd --permanent --zone=public --add-rich-rule=‘rule family=ipv4 source address=192.168.8.0/24 masquerade’
开启IP地址nat转换功能，带动内网机器上网
localhost:~ # firewall-cmd --reload
localhost:~ # firewall-cmd --list-all

localhost:~ # cat /etc/resolv.conf
nameserver 2408:8456:164d:becb::28
nameserver 192.168.43.251
nameserver 192.168.8.1
参考台式机的域名设置是192.168.43.251，笔记本电脑也是跟着这样填写

四、笔记本电脑设置
笔记本电脑安装fedora 15 linux系统
[root@localhost ~]# route -n
[root@localhost ~]# rroute add default gw 192.168.8.102
[root@localhost ~]# rroute del default gw 192.168.8.1
[root@localhost ~]# route -n
将缺省网关由192.168.8.1改为192.168.8.102
[root@localhost ~]# vim /etc/resolv.conf
nameserver 192.168.43.251
nameserver 192.168.8.1
参考台式机的域名设置是192.168.43.251，笔记本电脑也是跟着这样填写，而且要排在第一条

[root@localhost ~]# host www.baidu.com
www.baidu.com is an alias for www.a.shifen.com.
www.a.shifen.com has address 163.177.151.110
www.a.shifen.com has address 163.177.151.109
打开firefox浏览器测试能否上网