Firewall高级配置实例-创新互联

需求简述

1.公司内网用户需要通过网关服务器共享上网
2.互联网用户需要访问网站服务器
3.只允许192.168.1 .0/24ping网关和服务器
4.网站服务器和网关服务器均通过SSH来远程管理,为了安全,将SSH默认端口改为12345,只允许192.168.1.10主机SSH网关和服务器,允许互联网SSH内部服务器

成都创新互联公司成都网站建设按需网站设计,是成都营销推广公司,为成都封阳台提供网站建设服务,有成熟的网站定制合作流程,提供网站定制设计服务:原型图制作、网站创意设计、前端HTML5制作、后台程序开发等。成都网站改版热线:18982081108

拓扑结构图

Firewall高级配置实例1.网关服务器:Centos7 -1
2.企业内网测试机:Centos7 -2
3.网站服务器:Centos7 -3
4.Internet测试机:Centos7 -4


实验步骤

第一步:配置网关服务器的网卡及地址

1.添加网卡,并绑定网卡为VMent2仅主机模式
Firewall高级配置实例


2.配置并确认网关地址

[root@192 network-scripts]# ifconfig
ens33: flags=4163  mtu 1500
        inet 100.1.1.10  netmask 255.255.255.0  broadcast 100.1.1.255
        inet6 fe80::839c:1220:87fc:aef  prefixlen 64  scopeid 0x20
        ether 00:0c:29:70:78:f5  txqueuelen 1000  (Ethernet)
        RX packets 2715  bytes 723845 (706.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 623  bytes 55679 (54.3 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens36: flags=4163  mtu 1500
        inet 192.168.10.1  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::3d7f:4cdc:f7ec:8638  prefixlen 64  scopeid 0x20
        ether 00:0c:29:70:78:09  txqueuelen 1000  (Ethernet)
        RX packets 38  bytes 7923 (7.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 143  bytes 24516 (23.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ens37: flags=4163  mtu 1500
        inet 192.168.20.1  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::a6c3:1677:f71d:8e29  prefixlen 64  scopeid 0x20
        ether 00:0c:29:70:78:ff  txqueuelen 1000  (Ethernet)
        RX packets 38  bytes 7923 (7.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 138  bytes 23100 (22.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

3.开启路由转发功能

[root@192 network-scripts]# vim /etc/sysctl.conf 
......                                                                          //省略注释内容
net.ipv4.ip_forward = 1                                         //添加此条目
[root@192 network-scripts]# sysctl -p                   //载入sysctl配置文件
net.ipv4.ip_forward = 1

第二步:配置internal区域中内网测试机的地址和网关

1.绑定网卡为VMent3仅主机模式
Firewall高级配置实例


2.配置并确认IP地址与网关

[root@192 network-scripts]# ifconfig                //查看ip地址及子网掩码
ens33: flags=4163  mtu 1500
        inet 192.168.10.10  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::839c:1220:87fc:aef  prefixlen 64  scopeid 0x20
        ether 00:0c:29:90:44:7f  txqueuelen 1000  (Ethernet)
        RX packets 2647  bytes 190172 (185.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 453  bytes 51940 (50.7 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@192 network-scripts]# route -n            //查看路由信息
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.10.0     0.0.0.0         255.255.255.0   U     100    0        0 ens33

第三步:配置DMZ区域网站服务器的地址和网关,并启动网站服务

1.先在联网状态下载安装httpd服务

[root@192 ~]# yum install httpd -y

2.绑定网卡为VMent3仅主机模式**
Firewall高级配置实例


3.配置并确认IP地址与网关

[root@dmz ~]# ifconfig
ens33: flags=4163  mtu 1500
        inet 192.168.20.20  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::839c:1220:87fc:aef  prefixlen 64  scopeid 0x20
        inet6 fe80::791b:db71:8a12:f34  prefixlen 64  scopeid 0x20
        ether 00:0c:29:de:4a:b8  txqueuelen 1000  (Ethernet)
        RX packets 5353  bytes 3513622 (3.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1143  bytes 105439 (102.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@dmz ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.20.0     0.0.0.0         255.255.255.0   U     100    0        0 ens33

4.开启网站服务

[root@192 ~]# vim /var/www/html/index.html
[root@192 ~]# cat /var/www/html/index.html

this is dmz web

[root@dmz html]# systemctl start httpd

第四步:在DMZ区域网站服务器上配置防火墙策略[root@dmz ~]# firewall-cmd --set-default-zone=dmz

success
[root@dmz ~]# firewall-cmd --add-service=http --zone=dmz --permanent                        //将防火墙的默认区域改为dmz区域
success
[root@dmz ~]# firewall-cmd --remove-service=ssh --zone=dmz --permanent                      //添加http服务到dmz区域永久设置中
success
[root@dmz ~]# firewall-cmd --add-icmp-block=echo-request  --zone=dmz --permanent                        //禁止使用ssh进行登录
success
[root@dmz ~]# firewall-cmd --reload                         //重载防火墙
success

第五步:配置external区域的Internet测试机网卡和地址,并启动网站服务

1.先在联网状态下载安装httpd服务

[root@192 ~]# yum install httpd -y

2.绑定网卡为VMent1仅主机模式Firewall高级配置实例


3.配置并确认IP地址与网关

[root@192 ~]# ifconfig
ens33: flags=4163  mtu 1500
        inet 100.1.1.20  netmask 255.255.255.0  broadcast 100.1.1.255
        inet6 fe80::839c:1220:87fc:aef  prefixlen 64  scopeid 0x20
        inet6 fe80::791b:db71:8a12:f34  prefixlen 64  scopeid 0x20
        ether 00:0c:29:9e:f9:aa  txqueuelen 1000  (Ethernet)
        RX packets 6587  bytes 4090863 (3.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1266  bytes 105686 (103.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@192 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
100.1.1.0       0.0.0.0         255.255.255.0   U     100    0        0 ens33

4.开启网站服务,并关闭防火墙与增强型安全功能

[root@192 ~]# vim /var/www/html/index.html
[root@192 ~]# cat /var/www/html/index.html

this is external web

[root@192 ~]# systemctl stop firewalld.service [root@192 ~]# setenforce 0

第六步:在网关服务器上配置防火墙策略

[root@192 ~]# firewall-cmd --set-default-zone=external              //将防火墙默认区域改为extemal
success
[root@192 ~]# firewall-cmd --change-interface=ens36 --zone=trusted --permanent                      //将ens36网卡设为信任区域
The interface is under control of NetworkManager, setting zone to 'trusted'.
success
[root@192 ~]# firewall-cmd --change-interface=ens37 --zone=dmz --permanent                      //将ens37网卡设为dmz区域
The interface is under control of NetworkManager, setting zone to 'dmz'.
success
[root@192 ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent                      //dmz区域内禁止使用ssh登录
success
[root@192 ~]# firewall-cmd --zone=dmz --add-service=http --permanent                        //dmz区域内添加http服务
success
[root@192 ~]# firewall-cmd --zone=dmz --add-icmp-block=echo-request --permanent                     //dmz区域内阻塞icmp协议            
success
[root@192 ~]# firewall-cmd --zone=external --add-service=http --permanent                           //在外部区域添加http服务
success
[root@192 ~]# firewall-cmd --reload                     //重载防火墙
success

第七步:使用企业内网测试机验证网站服务器和internel测试机提供的的网页

Firewall高级配置实例

Firewall高级配置实例


第八步:在网关网关服务器上配置端口转换

[root@192 ~]# firewall-cmd --zone=external --add-forward port=port=80:proto=tcp:toaddr=192.168.2.10 --permanent      //设定端口映射
success
[root@192 ~]# firewall-cmd --reload                     //重载防火墙 
success

第九步:使用Internet测试机访问网站服务器提供的网页,可以看到源IP地址被转换(NAT)

Firewall高级配置实例

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网站题目:Firewall高级配置实例-创新互联
网页路径:http://pwwzsj.com/article/egooj.html