Firewalld防火牆高級配置——(實戰篇!!)
實驗拓撲圖
實驗需求
1.公司內網用戶須要經過網關服務器共享上網
2.互聯網用戶須要訪問網站服務器
3.只容許192.168.10 .0/24ping網關和服務器
4.網站服務器和網關服務器均經過SSH來遠程管理,爲了安全,將SSH默認端口改成12345,只容許192.168.10.10主機SSH網關和服務器,容許互聯網SSH內部服務器html
實驗環境
1.網關服務器:Centos7 -1
2.企業內網測試機:Centos7 -2
3.網站服務器:Centos7 -3
4.Internet測試機:Centos7 -4web
1,配置網關服務器的網卡及地址
1)在網關服務器建立3塊網卡,作靜態,網卡1綁定VMnet1,爲信任區域,網卡2綁定VMnet2,爲DMZ區域,網卡3綁定VMnet3.爲外部區域。
2)配置各個網卡的網關地址
ens33網卡vim
[root@localhost ~ ]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=88cf4975-29b8-4041-9cb0-456a56d1fddb
DEVICE=ens33
ONBOOT=yes
IPADDR=100.1.1.10 ##設置網關地址
NETMASK=255.255.255.0 ##設置子網掩碼
ens36 網卡安全
[root@localhost ~ ]# vim /etc/sysconfig/network-scripts/ifcfg-ens36
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens36 ##此處要修改網卡爲36,UUID要刪除
DEVICE=ens36
ONBOOT=yes
IPADDR=192.168.10.1 ##網關地址和子網掩碼
NETMASK=255.255.255.0
ens37網卡服務器
[root@localhost ~ ]# vim /etc/sysconfig/network-scripts/ifcfg-ens37
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens37 ##此處須要修改成37,UUID要刪除
DEVICE=ens37
ONBOOT=yes
IPADDR=192.168.20.1 ##設置網關地址,子網掩碼
NETMASK=255.255.255.0
3)開啓路由轉發功能
[root@localhost ~]# vim /etc/sysctl.conf
...... //省略註釋內容
net.ipv4.ip_forward = 1 //添加此條目
[root@192 network-scripts]# sysctl -p //載入sysctl配置文件
net.ipv4.ip_forward = 1
2,配置internal信任區域中內網測試機的地址和網關
1)綁定網卡爲vmnet3(僅主機模式)
2)配置ip地址及網關
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33 [root@localhost ]#service network restart //重啓網絡服務
3,配置DMZ區域網站服務器的地址和網關,並開啓網站服務
1)在nat模式下安裝http服務
[root@localhost ~]# yum install httpd -y
2)綁定網卡vmnet3(僅主機模式)
3)配置ip地址及網關
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static //將dhcp改成static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=f4d8cf47-c855-4d04-8c68-75ab8644df70
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.20.20 //IP地址
NETMASK=255.255.255.0 //子網掩碼
GATEWAY=192.168.20.1 //網關
[root@localhost ~]# service network restart //重啓網絡服務
4)開啓網站服務並編輯網頁內容
[root@localhost ~]# vim /var/www/html/index.html
[root@localhost ~]# cat /var/www/html/index.html
<h1>this is dmz web</h1>
[root@dmz html]# systemctl start httpd
4,在DMZ區域網站服務器上配置防火牆策略
[root@localhost ~]# firewall-cmd --set-default-zone=dmz
success
[root@localhost ~]# firewall-cmd --add-service=http --zone=dmz --permanent
//將防火牆的默認區域改成dmz區域
success
[root@localhost ~]# firewall-cmd --remove-service=ssh --zone=dmz --permanent
//添加http服務到dmz區域永久設置中
success
[root@localhost ~]# firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent
//禁止使用ssh進行登陸
success
[root@localhost ~]# firewall-cmd --reload
//重載防火牆
success
5,external外部區域的Internet測試機的網卡個地址,並啓動網站服務
1)在nat模式下安裝http服務
[root@localhost ~]# yum install httpd -y
2)綁定網卡爲vmnet1(僅主機模式)
3)配置ip地址和網關
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static //將dhcp改成static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=f4d8cf47-c855-4d04-8c68-75ab8644df70
DEVICE=ens33
ONBOOT=yes
IPADDR=100.1.1.20 //IP地址
NETMASK=255.255.255.0 //子網掩碼
GATEWAY=100.1.1.10 //網關
[root@localhost ~]# service network restart //重啓網絡服務
4)開啓網站服務,並關閉防火牆
[root@localhost ~]# systemctl stop firewalld.service //關閉防火牆
[root@localhost ~]# setenforce 0
[root@localhost ~]# systemctl start httpd //開啓http服務
[root@localhost ~]# vim /var/www/html/index.html //配置網頁內容
<h1>this is external web</h1>
6,在網關服務器上配置防火牆的策略
[root@localhost ~]# firewall-cmd --set-default-zone=external //將防火牆默認區域改成extemal success [root@localhost ~]# firewall-cmd --change-interface=ens36 --zone=trusted --permanent //將ens36網卡設爲信任區域 The interface is under control of NetworkManager, setting zone to 'trusted'. success [root@localhost ~]# firewall-cmd --change-interface=ens37 --zone=dmz --permanent //將ens37網卡設爲dmz區域 The interface is under control of NetworkManager, setting zone to 'dmz'. success [root@localhost ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent //dmz區域內禁止使用ssh登陸 success [root@localhost ~]# firewall-cmd --zone=dmz --add-service=http --permanent //dmz區域內添加http服務 success [root@localhost ~]# firewall-cmd --zone=dmz --add-icmp-block=echo-request --permanent //dmz區域內阻塞icmp協議 success [root@localhost ~]# firewall-cmd --zone=external --add-service=http --permanent //在外部區域添加http服務 success [root@localhost ~]# firewall-cmd --reload //重載防火牆 success
7,使用企業內網測試機驗證網站服務器和Internet測試機提供的網站
8,在網關服務器上配置端口轉換
[root@localhost ~]# firewall-cmd --zone=external --add-forward port=port=80:proto=tcp:toaddr=192.168.20.20 --permanent //設置端口映射 success [root@localhost ~]# firewall-cmd --reload //重載防火牆 success
9,使用Internet測試機訪問DMZ網站服務器,能夠看到源地址被轉換
謝謝閱讀!!!
相關文章
- 1. 配置firewalld防火牆
- 2. 防火牆的配置————firewalld
- 3. 防火牆高級配置
- 4. Firewalld放火牆高級配置
- 5. Firewalld防火牆基礎篇
- 6. Firewalld防火牆(基礎篇)
- 7. firewalld防火牆
- 8. Firewalld 防火牆
- 9. Firewalld防火牆
- 10. 防火牆——firewalld
- 更多相關文章...
- • 使用TCP協議檢測防火牆 - TCP/IP教程
- • XML DOM 高級 - XML 教程
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
- • IDEA下SpringBoot工程配置文件沒有提示
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 配置firewalld防火牆
- 2. 防火牆的配置————firewalld
- 3. 防火牆高級配置
- 4. Firewalld放火牆高級配置
- 5. Firewalld防火牆基礎篇
- 6. Firewalld防火牆(基礎篇)
- 7. firewalld防火牆
- 8. Firewalld 防火牆
- 9. Firewalld防火牆
- 10. 防火牆——firewalld