實驗拓撲
實驗要求
- 連接配接網際網路主機的網卡劃分至external區域
- 連接配接公司内部主機的網卡劃分至trusted區域
- 連接配接企業内部網站伺服器的網卡劃分至dmz區域
- 網站伺服器和網關伺服器均通過SSH的12345端口來管理
- 網站伺服器上開啟HTTP協定
- 網站伺服器拒絕來自任何位置的ping
- 網關伺服器拒絕來自網際網路上的ping
- 公司内部主機通過網關伺服器共享上網
- 網際網路使用者通過網關伺服器通路企業内部網站伺服器
實作步驟
1.配置企業内部網站伺服器
安裝Nginx
yum -y install epel-release
yum -y install nginx
啟動Nginx服務
systemctl start nginx
systemctl enable nginx
建立測試頁面
mv /usr/share/nginx/html/index.html /usr/share/nginx/html/index.html_bak
vim /usr/share/nginx/html/index.html
This is server 111111
在本地驗證
2.配置網際網路主機網站伺服器
配置方法同上,為了便于驗證,将測試頁面的内容修改即可,配置完後在本地驗證,驗證結果如下:
3.配置firewalld防火牆政策
在網關伺服器上配置預設區域
- 連接配接網際網路主機的網卡劃分至external區域
- 連接配接公司内部主機的網卡劃分至trusted區域
- 連接配接企業内部網站伺服器的網卡劃分至dmz區域
具體操作如下:
網關伺服器上的三個網卡分别對應一個區域
#設定firewalld區域
firewall-cmd --set-default-zone=external
#添加網卡到區域内
firewall-cmd --change-interface=eth1 --zone=dmz
firewall-cmd --change-interface=eth0 --zone=trusted
配置完後,檢視目前的預設區域,如下:
網站伺服器和網關伺服器均通過SSH的12345端口來管理
配置内部網站伺服器
修改sshd端口
# 修改伺服器sshd端口号
vim /etc/ssh/sshd_conf
......
Port 12345 #去掉前面的“#”号,端口修改為12345
......
#修改完儲存後,重新開機服務
setenforce 0
systemctl restart sshd
驗證
已經無法連接配接了,加上端口号在驗證一下
發現還是無法連接配接,是以我們需要設定防火牆政策,讓端口12345可用,具體配置如下:
firewall-cmd --add-port=12345/tcp
配置完後再次驗證
這次已經可以正常連接配接了。
配置網關伺服器
關于sshd端口的配置同上面的内部網站伺服器,此處省略,防火牆政策如下:
firewall-cmd --add-port=12345/tcp
firewall-cmd --add-port=12345/tcp --zone=dmz
firewall-cmd --add-port=12345/tcp --zone=trusted
在内部網站伺服器和網際網路主機上開啟HTTP協定
firewall-cmd --add-service=http
網站伺服器拒絕來自任何位置的ping
firewall-cmd --add-icmp-block=echo-request
驗證(在網關伺服器上驗證)
網關伺服器拒絕來自網際網路上的ping
firewall-cmd --add-icmp-block=echo-request
驗證
使用公司内部主機ping,可以ping通
使用網際網路上的主機ping,ping不通
公司内部主機通過網關伺服器共享上網
開啟網關伺服器的路由轉發功能
echo "1" > /proc/sys/net/ipv4/ip_forward
為external添加富規則,允許來自内網的流量進行位址僞裝通路外網
firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 masquerade'
驗證
網際網路使用者通過網關伺服器通路企業内部網站伺服器
為external區域添加端口轉發,允許外網通路某一個特定位址的80端口的請求轉發到企業内部伺服器上
vim /etcsysconfig/network-scripts/ifcfg-eth2
......
IPADDR1=10.1.1.2
NETMASK=255.255.255.0
IPADDR2=10.1.1.3
NETMASK=255.255.255.0
......
firewall-cmd --add-rich-rule='rule family=ipv4 destination address=10.1.1.3/32 forward-port port=80 protocol=tcp to-addr=192.168.1.10' --zone=external
驗證