天天看點
傳回

firewalld綜合實驗實驗拓撲實驗要求實作步驟

實驗拓撲

firewalld綜合實驗實驗拓撲實驗要求實作步驟

實驗要求

  • 連接配接網際網路主機的網卡劃分至external區域
  • 連接配接公司内部主機的網卡劃分至trusted區域
  • 連接配接企業内部網站伺服器的網卡劃分至dmz區域
  • 網站伺服器和網關伺服器均通過SSH的12345端口來管理
  • 網站伺服器上開啟HTTP協定
  • 網站伺服器拒絕來自任何位置的ping
  • 網關伺服器拒絕來自網際網路上的ping
  • 公司内部主機通過網關伺服器共享上網
  • 網際網路使用者通過網關伺服器通路企業内部網站伺服器

實作步驟

1.配置企業内部網站伺服器

安裝Nginx

yum -y install epel-release
yum -y install nginx

啟動Nginx服務

systemctl start nginx
systemctl enable nginx

建立測試頁面

mv /usr/share/nginx/html/index.html /usr/share/nginx/html/index.html_bak
vim /usr/share/nginx/html/index.html
This is server 111111

在本地驗證

firewalld綜合實驗實驗拓撲實驗要求實作步驟

2.配置網際網路主機網站伺服器

配置方法同上,為了便于驗證,将測試頁面的内容修改即可,配置完後在本地驗證,驗證結果如下:

firewalld綜合實驗實驗拓撲實驗要求實作步驟

3.配置firewalld防火牆政策

在網關伺服器上配置預設區域

  • 連接配接網際網路主機的網卡劃分至external區域
  • 連接配接公司内部主機的網卡劃分至trusted區域
  • 連接配接企業内部網站伺服器的網卡劃分至dmz區域

具體操作如下:

網關伺服器上的三個網卡分别對應一個區域

#設定firewalld區域
firewall-cmd --set-default-zone=external
#添加網卡到區域内
firewall-cmd --change-interface=eth1 --zone=dmz
firewall-cmd --change-interface=eth0 --zone=trusted

配置完後,檢視目前的預設區域,如下:

firewalld綜合實驗實驗拓撲實驗要求實作步驟

網站伺服器和網關伺服器均通過SSH的12345端口來管理

配置内部網站伺服器

修改sshd端口

# 修改伺服器sshd端口号
vim /etc/ssh/sshd_conf
......
Port 12345     #去掉前面的“#”号,端口修改為12345
......

#修改完儲存後,重新開機服務
setenforce 0
systemctl restart sshd

驗證

firewalld綜合實驗實驗拓撲實驗要求實作步驟

已經無法連接配接了,加上端口号在驗證一下

firewalld綜合實驗實驗拓撲實驗要求實作步驟

發現還是無法連接配接,是以我們需要設定防火牆政策,讓端口12345可用,具體配置如下:

firewall-cmd --add-port=12345/tcp

配置完後再次驗證

firewalld綜合實驗實驗拓撲實驗要求實作步驟

這次已經可以正常連接配接了。

配置網關伺服器

關于sshd端口的配置同上面的内部網站伺服器,此處省略,防火牆政策如下:

firewall-cmd --add-port=12345/tcp
firewall-cmd --add-port=12345/tcp --zone=dmz
firewall-cmd --add-port=12345/tcp --zone=trusted

在内部網站伺服器和網際網路主機上開啟HTTP協定

firewall-cmd --add-service=http

網站伺服器拒絕來自任何位置的ping

firewall-cmd --add-icmp-block=echo-request

驗證(在網關伺服器上驗證)

firewalld綜合實驗實驗拓撲實驗要求實作步驟

網關伺服器拒絕來自網際網路上的ping

firewall-cmd --add-icmp-block=echo-request

驗證

使用公司内部主機ping,可以ping通

firewalld綜合實驗實驗拓撲實驗要求實作步驟

使用網際網路上的主機ping,ping不通

firewalld綜合實驗實驗拓撲實驗要求實作步驟

公司内部主機通過網關伺服器共享上網

開啟網關伺服器的路由轉發功能

echo "1" > /proc/sys/net/ipv4/ip_forward

為external添加富規則,允許來自内網的流量進行位址僞裝通路外網

firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 masquerade'

驗證

firewalld綜合實驗實驗拓撲實驗要求實作步驟

網際網路使用者通過網關伺服器通路企業内部網站伺服器

為external區域添加端口轉發,允許外網通路某一個特定位址的80端口的請求轉發到企業内部伺服器上

vim /etcsysconfig/network-scripts/ifcfg-eth2
......
IPADDR1=10.1.1.2
NETMASK=255.255.255.0
IPADDR2=10.1.1.3
NETMASK=255.255.255.0
......

firewall-cmd --add-rich-rule='rule family=ipv4 destination address=10.1.1.3/32 forward-port port=80 protocol=tcp to-addr=192.168.1.10' --zone=external

驗證

firewalld綜合實驗實驗拓撲實驗要求實作步驟
Linux作業系統 firewalld
上一篇: Linux-Firewalld防火牆常用指令
下一篇: docker、firewalld和iptables之間的關系

繼續閱讀