首先关于虚拟机网络问题,先打开网络适配器,查看是否有vmware下载后的两个自带的虚拟网卡,网络和internet->更改适配器
可以看到VMnet1和VMnet8两个虚拟机网卡和wlan网卡以及笔记本自带的有线以太网2网卡
,如果没有虚拟机网卡则win+r输入service.msc
查看vmware DHCP是否启动,开启此服务,默认自启动
之后进入虚拟机主页面(将虚拟机都挂起)->编辑->虚拟机网络编辑页面
更改设置
选择还原默认设置即可使虚拟机网卡复现
然后打开一个虚拟机,如centOs7->虚拟机->设置
把网络适配器模式改为NAT,如果选用桥接等方式需要多个网卡也可再添加几个适配器
ping外网可通
本篇文章要解决的问题是实验室遭病毒攻击,与外网隔离的问题,因此,需要将网线连到以太网口,再将虚拟机网络连接到连接内网的以太网2接口,连接网线后发现网卡未识别,因此要修改ip地址到内网网段
并在属性选项卡中选择ipv4,将ip地址由自动获取改为实验室内网网段的静态ip(自动获取的ip不一定与内网同一网段),设置完ip,子网掩码若单击获取一般得到255.0.0.0,子网掩码用于区分网段,内网只允许最后一位的网段通过,所以可以手动改为255.255.255.0来限制,网关即路由器地址,只有一个路由器一般把ip最后一位改为1即可,一台电脑最好只设置一个网卡的静态ip,其他都自动获取,以免冲突
显示已识别网卡已通
没有路由器也可以与服务器直连,让服务器共享wifi,如果共享后以太网2自动生成了ip,不要修改,把服务器和以太网卡设置为一个网段即可,此时的以太网卡2相当于wlan网卡和服务器之间的网关,服务器网关要与以太网ip一致
进入网络适配器,打开以太网属性页面,选择共享页面,允许以太网2与wifi共享
然后把以太网2静态IP设为192.168.137.1,network默认,windows共享IP时必须是这个ip,此时的共享网卡net8相当于连接虚拟机与主机的路由器即默认网关
设置完毕,以太网和虚拟机都可以与内网网段ping通了
使用arp -a命令可检查虚拟机和windows各网卡的连接情况,发现虚拟机ens39网卡在与本机wlan网卡连接,用此命令发现的网卡都处于桥接状态,可以互通,ARP的接口对应ipconfig各网卡ip,下面是ip连接过的ip
接下来为虚拟机设置内网网段的静态ip
进入/etc/sysconfig/network-scripts/文件夹,各系统网络配置文件位置不一
ls看到底下的ifcfg文件,修改网络配置文件
#vi ifcfg-ens33
修改一些选项,dhcp改为static,ONBOOT改为yes,然后修增加ip,网关(路由器地址)和netmask,ip地址注意不要互相冲突,自己搜
接下来关闭虚拟机和本机防火墙,不然其他内网机ping不通本机,试验下关闭以太网公用网络的防火墙,此时服务器已经可以ping通主机ip(此时域网络的防火墙默认关闭,如果开启虚拟机可能会ping不通主机,主机各ip也可能不再桥接)
不过最好的办法是把同一个网段的ip加入白名单
可以输入netstat查看电脑端口,netstat -nao可以显示pid号,netstat -nab可以显示端口占用,程序运行和网络连接的情况
可以window上win+r输入gpedit.msc来创建ip安全策略
可以进入以太网windows防火墙高级设置
连接安全规则->新建规则->免除身份验证
添加->输入白名单的网段
然后重启一下windows防火墙也一样可以ping通了
在此期间遇到了虚拟机ping不通主机的问题,一般是因为自己的设置出现冲突,在虚拟机网络配置器恢复默认配置即可
但此时服务器虽然与主机可以连通,虚拟机自动分配的网址却不属于同一网段,不能被服务器识别,我们通过下图明白两者的关系
可以看到虚拟机自带的网卡相当于网关,net8是默认的与主机共享ip的网卡,分配给linux虚拟机一个220的网段,ip地址在128~245之间,不想让网址随便变的话,虚拟机需要再虚拟网络编辑器里直接改成第一个即可,在系统改是无效的
默认情况下,VMware的虚拟网卡使用192.168.1.0~192.168.254.0范围中的两个网段,子网掩码255.255.255.0,此时虚拟机自动分配的网段不符合需求,自己改又不成功
看虚拟机三种网络连接方式
虚拟机在主机的两个虚拟网卡相当于路由器,vmnet1默认与仅主机模式net8虚拟交换机连接,vmnet8默认与net8虚拟交换机连接,可以看到桥接方式默认是net0虚拟交换机,通过虚拟网桥直接与主机的网卡连接,因此无需路由器
我们先进入虚拟网络编辑器,把vmnet0的桥接网卡设置为想要桥接的主机网卡
然后把桥接的主机网卡的VMware Bridge Protocol打开,把Microsoft LLDP协议或DNElightWeightfilter关闭,并且关闭桥接网卡的防火墙再把虚拟机的nat和仅主机模式的网络适配器禁用,把桥接网卡打开此时重启虚拟机可发现与内网网段相同的ip已自动出现,并能与本机桥接网卡互相ping通,至此问题解决,结束
摘录他人linux白名单使用:
如设置3306端口允许192.168.1.1~255的网段通过:
firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“192.168.1.1/24” port protocol=“tcp” port=“3306” accept”
#reload使生效
firewall-cmd --reload
IP 列表逐一加入 trusted 区域,使用命令如下:
$ firewall-cmd --permanent --zone=trusted --add-source=173.245.48.0/20
$ firewall-cmd --permanent --zone=trusted --add-source=131.0.72.0/22
使 trusted 区域设置生效,使用命令如下:
$ firewall-cmd --reload
确认 trusted 区域是否设置正确,使用命令如下:
$ firewall-cmd --zone=trusted --list-all
返回:
trusted (active)
target: ACCEPT
icmp-block-inversion: no
interfaces:
sources: 173.245.48.0/20 …… 131.0.72.0/22
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
因为此时已经设置了 trusted 区域,所以还需要切换默认区域从 public 到 drop,以达到无视所有接入连接的目的。使用命令如下:
$ firewall-cmd --set-default-zone=drop
再将默认网卡 eth0 分配给 drop 区域,使用命令如下:
$ firewall-cmd --permanent --zone=drop --change-interface=eth0
使白名单最终生效,使用命令如下(注意:请再次确认你的所有 IP 都加入了 trusted 区域):
$ firewall-cmd --reload
至此,白名单设置正式生效。
内网虚拟机静态IP设置VMWare内网通外网不通把某一网段白名单虚拟机ping不通主机虚拟机桥接改成非192.168网段服务器与电脑直连共享wifi
