1、 接上一篇文章​​eSXi网络实验环境搭建​​ ,这篇是对第一篇文章的补充,容易忽略和难以吃透的点,再增加些图片帮助理解

2、 因为文章涉及linux、windows、虚拟化,所以不能做到面面俱到,我会用更多的文章去诠释我想要表达的,希望可以将我所知道的、经历的与有缘人分享和交流。

3、 映射端口的问题。Iptables上除了开放的SSH的2222端口外,还会开放所有虚拟服务器映射过来的端口,建议用20000以上的端口。例如:web的80端口,映射为20080,3389端口映射为33389。映射后一定要做一个表记录一下,或者在iptables.sh脚本里注明,以防时间久了,自己忘记

4、 Iptables中最重要的部分就是地址转换。家用胖路由里叫虚拟服务器,华为、思科里好像叫端口映射、端口重定向,其实要表达的都是一个意思。

① 地址转换又分为源地址转换、目的地址转换

② 源地址转换用于内网访问外网,将内部地址转换成防火墙地址再出去,实现了伪装

③ 目的地址转换用于外部访问内部,外部直接访问防火墙地址,再由防火墙将请求转发到内部地址上

5、 iptables的INPUT是发给防火墙本身的包

① 有人会问,防火墙架设在网络的出口,进来和出去的包都给防火墙。所有的包都是INPUT?

② 是的,没错。所有的包是都给防火墙,但是这里分直接给和间接给

③ 直接交给防火墙的,例如客户端ping 防火墙内网卡,这就是INPUT

④ 间接交给防火墙的,例如客户端ping 公网DNS ,这就是FORWARD

⑤ 防火墙ping 客户端,就是OUTPUT

⑥ 需要伪装客户端,就要用到POSTROUTING

⑦ 需要伪装服务器地址,就要用到PREROUTING

6、 千万不要忘记数据包是一来一回,有去有回,还是一套完整。建立规则时一定不要忘记这个原则

7、 跟别打电话时,先拨号,对方电话响铃后,接起电话,如果认识就开始通话,不认识挂掉。防火墙也要按照这个思路配置:

① 别人主动先给我打电话,我不接,就是--state NEW -j DROP

我主动给你打电话可以,就是 --state ESTABLISHED -j ACCEPT

我给你打电话,但是接电话是别人,请把电话转给要找的人 ,就是 --state ESTABLISHED,RELATED -j ACCEPT

就是利用TCP的状态来检测包的合法性

内部主动发起建立的连接,建立后只要在这个连接上面干的任何事情都是合法的。

外部主动找内部建立的连接全部说再见

8、 ESXI上安装WIN10虚拟机,然后再安装ensp模拟器,建立网络拓朴模型,用到的所有linux服务器,都通过图中的Cloud去绑定

① 图中centos8-dhcp-01、centos8-dhcp-01、centos8-gateway-01、centos8-01-l都是linux虚拟服务器,client-01-win10-l是windows虚拟服务器

② 通过ensp将所有虚拟机互连互通,做起实验来就方便很多

③ 下面单独有一张图是“云”绑定虚拟机的方法

eSXi网络实验环境搭建(二)_客户端

eSXi网络实验环境搭建(二)_目的地址_02

1、 虚拟机建立好了,iptables策略也建立好了,下面就简单说一下,管理PC上都需要安装什么样的工具,来远程连接访问这些虚拟服务器、客户端

① Linux环境下,远程管理工具有:MobaXterm、Xshell、PuTTY 、SecureCRT,我喜欢用SecureCRT和MobaXterm

② MobaXterm有数量限制(原因都懂),但是界面配色鲜艳,功能很强大,支持的协议很多,没用过的建议试试

③ SecureCRT配置文件一定要记得备份,实验设备数量多了,还是很有用,版本不同路径不一样

C:\Users\用户配置文件名\AppData\Roaming\VanDyke\Config

C:\Program Files\VanDyke Software\Clients\Config


eSXi网络实验环境搭建(二)_客户端_03

eSXi网络实验环境搭建(二)_端口映射_04

① Windows环境下,我用remote desktop connection manager v2.7,可以批量连接,切换方便。重要设置我已上图,其余默认即可

eSXi网络实验环境搭建(二)_端口映射_05

eSXi网络实验环境搭建(二)_客户端_06

eSXi网络实验环境搭建(二)_centos_07

eSXi网络实验环境搭建(二)_服务器_08

eSXi网络实验环境搭建(二)_客户端_09

① 这样,所有在Esxi下建立的虚拟机,都可以在真实网络的管理PC上访问,安全又方便,所以iptables是关键

② Esxi下的所有虚拟机,除了iptables其中一块网卡绑定在esxi的物理网卡上。其余虚拟机全都绑在虚拟机网卡上。