Firewall高級配置實例

需求簡述

1.公司內網用戶需要通過網關服務器共享上網
2.互聯(lián)網用戶需要訪問網站服務器
3.只允許192.168.1 .0/24ping網關和服務器
4.網站服務器和網關服務器均通過SSH來遠程管理,為了安全,將SSH默認端口改為12345,只允許192.168.1.10主機SSH網關和服務器,允許互聯(lián)網SSH內部服務器

目前創(chuàng)新互聯(lián)已為上千多家的企業(yè)提供了網站建設、域名、網頁空間、網站托管運營、企業(yè)網站設計、桂林網站維護等服務,公司將堅持客戶導向、應用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。

拓撲結構圖

Firewall高級配置實例1.網關服務器:Centos7 -1
2.企業(yè)內網測試機:Centos7 -2
3.網站服務器:Centos7 -3
4.Internet測試機:Centos7 -4

實驗步驟

第一步:配置網關服務器的網卡及地址

1.添加網卡,并綁定網卡為VMent2僅主機模式
Firewall高級配置實例

2.配置并確認網關地址

[root@192 network-scripts]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 100.1.1.10  netmask 255.255.255.0  broadcast 100.1.1.255
        inet6 fe80::839c:1220:87fc:aef  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:70:78:f5  txqueuelen 1000  (Ethernet)
        RX packets 2715  bytes 723845 (706.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 623  bytes 55679 (54.3 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens36: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.10.1  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::3d7f:4cdc:f7ec:8638  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:70:78:09  txqueuelen 1000  (Ethernet)
        RX packets 38  bytes 7923 (7.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 143  bytes 24516 (23.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.20.1  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::a6c3:1677:f71d:8e29  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:70:78:ff  txqueuelen 1000  (Ethernet)
        RX packets 38  bytes 7923 (7.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 138  bytes 23100 (22.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

3.開啟路由轉發(fā)功能

[root@192 network-scripts]# vim /etc/sysctl.conf 
......                                                                          //省略注釋內容
net.ipv4.ip_forward = 1                                         //添加此條目
[root@192 network-scripts]# sysctl -p                   //載入sysctl配置文件
net.ipv4.ip_forward = 1

第二步:配置internal區(qū)域中內網測試機的地址和網關

1.綁定網卡為VMent3僅主機模式
Firewall高級配置實例

2.配置并確認IP地址與網關

[root@192 network-scripts]# ifconfig                //查看ip地址及子網掩碼
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.10.10  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::839c:1220:87fc:aef  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:90:44:7f  txqueuelen 1000  (Ethernet)
        RX packets 2647  bytes 190172 (185.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 453  bytes 51940 (50.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@192 network-scripts]# route -n            //查看路由信息
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.10.0     0.0.0.0         255.255.255.0   U     100    0        0 ens33

第三步:配置DMZ區(qū)域網站服務器的地址和網關,并啟動網站服務

1.先在聯(lián)網狀態(tài)下載安裝httpd服務

[root@192 ~]# yum install httpd -y

2.綁定網卡為VMent3僅主機模式**
Firewall高級配置實例

3.配置并確認IP地址與網關

[root@dmz ~]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.20.20  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::839c:1220:87fc:aef  prefixlen 64  scopeid 0x20<link>
        inet6 fe80::791b:db71:8a12:f34  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:de:4a:b8  txqueuelen 1000  (Ethernet)
        RX packets 5353  bytes 3513622 (3.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1143  bytes 105439 (102.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@dmz ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.20.0     0.0.0.0         255.255.255.0   U     100    0        0 ens33

4.開啟網站服務

[root@192 ~]# vim /var/www/html/index.html
[root@192 ~]# cat /var/www/html/index.html
<h2>this is dmz web</h2>
[root@dmz html]# systemctl start httpd

第四步:在DMZ區(qū)域網站服務器上配置防火墻策略[root@dmz ~]# firewall-cmd --set-default-zone=dmz

success
[root@dmz ~]# firewall-cmd --add-service=http --zone=dmz --permanent                        //將防火墻的默認區(qū)域改為dmz區(qū)域
success
[root@dmz ~]# firewall-cmd --remove-service=ssh --zone=dmz --permanent                      //添加http服務到dmz區(qū)域永久設置中
success
[root@dmz ~]# firewall-cmd --add-icmp-block=echo-request  --zone=dmz --permanent                        //禁止使用ssh進行登錄
success
[root@dmz ~]# firewall-cmd --reload                         //重載防火墻
success

第五步:配置external區(qū)域的Internet測試機網卡和地址,并啟動網站服務

1.先在聯(lián)網狀態(tài)下載安裝httpd服務

[root@192 ~]# yum install httpd -y

2.綁定網卡為VMent1僅主機模式Firewall高級配置實例

3.配置并確認IP地址與網關

[root@192 ~]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 100.1.1.20  netmask 255.255.255.0  broadcast 100.1.1.255
        inet6 fe80::839c:1220:87fc:aef  prefixlen 64  scopeid 0x20<link>
        inet6 fe80::791b:db71:8a12:f34  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:9e:f9:aa  txqueuelen 1000  (Ethernet)
        RX packets 6587  bytes 4090863 (3.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1266  bytes 105686 (103.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@192 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
100.1.1.0       0.0.0.0         255.255.255.0   U     100    0        0 ens33

4.開啟網站服務,并關閉防火墻與增強型安全功能

[root@192 ~]# vim /var/www/html/index.html
[root@192 ~]# cat /var/www/html/index.html
<h2>this is external web</h2>
[root@192 ~]# systemctl stop firewalld.service 
[root@192 ~]# setenforce 0

第六步:在網關服務器上配置防火墻策略

[root@192 ~]# firewall-cmd --set-default-zone=external              //將防火墻默認區(qū)域改為extemal
success
[root@192 ~]# firewall-cmd --change-interface=ens36 --zone=trusted --permanent                      //將ens36網卡設為信任區(qū)域
The interface is under control of NetworkManager, setting zone to 'trusted'.
success
[root@192 ~]# firewall-cmd --change-interface=ens37 --zone=dmz --permanent                      //將ens37網卡設為dmz區(qū)域
The interface is under control of NetworkManager, setting zone to 'dmz'.
success
[root@192 ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent                      //dmz區(qū)域內禁止使用ssh登錄
success
[root@192 ~]# firewall-cmd --zone=dmz --add-service=http --permanent                        //dmz區(qū)域內添加http服務
success
[root@192 ~]# firewall-cmd --zone=dmz --add-icmp-block=echo-request --permanent                     //dmz區(qū)域內阻塞icmp協(xié)議            
success
[root@192 ~]# firewall-cmd --zone=external --add-service=http --permanent                           //在外部區(qū)域添加http服務
success
[root@192 ~]# firewall-cmd --reload                     //重載防火墻
success

第七步:使用企業(yè)內網測試機驗證網站服務器和internel測試機提供的的網頁

Firewall高級配置實例

Firewall高級配置實例

第八步:在網關網關服務器上配置端口轉換

[root@192 ~]# firewall-cmd --zone=external --add-forward port=port=80:proto=tcp:toaddr=192.168.2.10 --permanent      //設定端口映射
success
[root@192 ~]# firewall-cmd --reload                     //重載防火墻 
success

第九步:使用Internet測試機訪問網站服務器提供的網頁,可以看到源IP地址被轉換(NAT)

Firewall高級配置實例

分享文章:Firewall高級配置實例
文章位置:http://muchs.cn/article42/geophc.html

成都網站建設公司_創(chuàng)新互聯(lián),為您提供網站內鏈、手機網站建設響應式網站、網站營銷云服務器、App開發(fā)

廣告

聲明:本網站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

商城網站建設