centos系统在安装后以主机模式运行,并且未打开包传输功能。 也就是说,系统只处理发往本装置的分组,不传输发往其他地址的分组。 内核中的配置选项net.ipv4.ip_forward默认设置为0。 可以使用sysctl net.ipv4.ip_forward=1命令手动打开包转发功能。
防火墙的masquerade功能执行地址伪装(NAT ),无论是专用网络访问公用网络还是公用网络访问专用网络,都需要打开此功能进行地址转换如果不打开,就不能进行正常的互访。 使用firewall-cmd --add-masquerade命令启用此功能,启用后net.ipv4.ip_forward的值将自动设置为1。 这意味着centos将启用数据包传输。 当然,在不启用数据包转发的情况下启用masquerade的设置是没有意义的。 NAT没有意义,就像只有本机数据才能进出网络接口一样。 下图测试了虚拟机的拓扑和配置。 1.S1上防火墙的打开. ip地址192.168.214.2、200.200.200.2
2.C1 IP 192.168.214.200网关192.168.214.2
3.C2 IP 200.200.200.200网关200.200.200.2
S1防火墙默认设置:
[ root @ S1~] # firewall-cmd-- list-all public (active ) )。 target : default icmp-block-inversion : no接口3360 ens 33 ens 37 sources 3360 services 3360 dhcpv6- clients shports 33660 shports 60源端口: icmp-blocks 3360 rich rules 3360检查包传输设置为0。
在这种情况下,C1将打开ping200.200.200.2,但ping200.200.200.2不响应。 在这种情况下,S1不转发数据包以进行C1,因此测试如下图所示。
运行防火墙- cmd-- add-masquerade以打开masquerade功能,并确保分组传输选项自动设置为1。
现在可以ping到C2了