linux防火墙高级设置
发表于:2024-09-22 作者:千家信息网编辑
千家信息网最后更新 2024年09月22日,Firewalld实验实验拓扑图需求分析(1)公司内网用户需要通过网关服务器共享上网(2)互联网用户需要访问网站服务器(3)只允许192.168.1.0/24ping网关和服务器(4)网站服务器和网关
千家信息网最后更新 2024年09月22日linux防火墙高级设置
Firewalld实验
实验拓扑图
需求分析
(1)公司内网用户需要通过网关服务器共享上网
(2)互联网用户需要访问网站服务器
(3)只允许192.168.1.0/24ping网关和服务器
(4)网站服务器和网关服务器均通过SSH来远程管理,为了安全,将SSH默认端口改为12345,只允许192.168.1.10主机SSH网关和服务器,允许互联网SSH内部服务器
这次实验我们需要四台虚拟机,我们把Centos7 64位作为网关服务器。
Centos7-2作为企业内网测试机,Centos7-3作为网站服务器,Centos7-4作为internet测试机。
一、设备准备
首先在虚拟机Centos7-3,和Centos7-4上安装httpd服务
1.1、在Centos7 64位创建3块网卡,做静态,网卡1绑定VMnet1,为信任区域,网卡2绑定VMnet2,为DMZ区域,网卡3绑定VMnet3.为外部区域。
1.2、设置网卡地址,
网卡33,设为外部网络,IP地址为100.1.1.10 255.255.255.0
网卡36,设为信任网络,IP地址为192.168.10.1 255.255.255.0
网卡37,设为DMZ区域网络,IP地址为192.168.20.1 255.255.255.0
[root@localhost ~]# cd /etc/sysconfig/network-scripts/[root@localhost network-scripts]# vim ifcfg-ens33
[root@localhost network-scripts]#cp -p ifcfg-ens33 ifcfg-ens36[root@localhost network-scripts]# vim ifcfg-ens36
[root@localhost network-scripts]#cp -p ifcfg-ens33 ifcfg-ens37[root@localhost network-scripts]# vim ifcfg-ens37
重启网络服务:查看IP地址
[root@localhost network-scripts]#service network restart[root@localhost network-scripts]#ifconfig
开启网关服务器的路由转发功能。
[root@localhost ~]# vim /etc/sysctl.conf net.ipv4.ip_forward=1[root@localhost ~]# sysctl -p
2、进入Centos7-2,将主机网卡改为自定义,绑定VMent3网卡
进入主机,修改IP地址,子网掩码和网关。
将IP地址设为192.168.10.10,网关设为192.168.10.1
[root@localhost ~]# cd /etc/sysconfig/network-scripts/[root@localhost network-scripts]# vim ifcfg-ens33
[root@localhost ]#service network restart //重启网络服务[root@localhost ~]# ifconfig //查看本机地址
[root@localhost ~]# ping 192.168.10.1 //测试与网关服务器的连通性
2、进入Centos7-3,将主机网卡改为自定义,绑定VMent2网卡
配置主机IP地址为192.168.20.20,网关为192.168.20.1
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33 TYPE=EthernetPROXY_METHOD=noneBROWSER_ONLY=noBOOTPROTO=static //将dhcp改为staticDEFROUTE=yesIPV4_FAILURE_FATAL=noIPV6INIT=yesIPV6_AUTOCONF=yesIPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33UUID=f4d8cf47-c855-4d04-8c68-75ab8644df70DEVICE=ens33ONBOOT=yesIPADDR=192.168.20.20 //IP地址NETMASK=255.255.255.0 //子网掩码GATEWAY=192.168.20.1 //网关[root@localhost ~]# service network restart //重启网络服务[root@localhost ~]# ifconfig //查看网卡IP地址
[root@localhost ~]# ping 192.168.20.1 //测试与网关的连通性
3、将Centos7-3的主机名修改为dmz然后配置防火墙规则
[root@localhost ~]# hostnamectl set-hostname dmz //修改主机名[root@localhost ~]# su [root@dmz ~]# systemctl start httpd //启动http服务[root@dmz ~]# cd /var/www/html //进入网页区域配置文件[root@dmz html]# vim index.html //进入输入网页显示内容 [root@dmz html]# firewall-cmd --set-default-zone=dmz //将默认区域改为dmzsuccess[root@dmz html]# firewall-cmd --add-service=http --zone=dmz --permanent //将http服务添加到dmz永久设置success[root@dmz html]# firewall-cmd --remove-service=ssh --zone=dmz --permanent //禁止ssh登录success[root@dmz html]# firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent //禁用icmp协议success[root@dmz html]# firewall-cmd --reload //重新加载防火墙success
4、进入Centos7-4,将主机网卡改为自定义,绑定VMent1网卡
配置主机IP地址为100.1.1.20 ,网关地址为100.1.1.10
[root@extemal ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33 TYPE=EthernetPROXY_METHOD=noneBROWSER_ONLY=noBOOTPROTO=static //将dhcp改为staticDEFROUTE=yesIPV4_FAILURE_FATAL=noIPV6INIT=yesIPV6_AUTOCONF=yesIPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens33UUID=0d5d6fbf-efdf-4b5b-90f9-f08be3fda756DEVICE=ens33ONBOOT=yesIPADDR=100.1.1.20 //配置IP地址NETMASK=255.255.255.0 //配置子网掩码GATEWAY=100.1.1.10 //配置网关[root@localhost ~]# service network restart //重启网络服务[root@localhost ~]# ifconfig //查看网卡IP地址
[root@localhost ~]# hostnamectl set-hostname extemal //修改主机名[root@localhost ~]# su[root@extemal ~]# systemctl stop firewalld.service //关闭防火墙[root@extemal ~]# setenforce 0 [root@extemal ~]# systemctl start httpd //开启http服务[root@extemal ~]# vim /var/www/html/index.html //配置网页内容this is extwrnal web
5、在Centos7 64位服务器上配置防火墙
[root@localhost ~]# firewall-cmd --set-default-zone=external //将默认区域改 为extemalsuccess[root@localhost ~]# firewall-cmd --change-interface=ens36 --zone=trusted --permanent //将ens36设为信任区域The interface is under control of NetworkManager, setting zone to 'trusted'. success[root@localhost ~]# firewall-cmd --change-interface=ens37 --zone=dmz --permanent //将ens37设为dmz区域The interface is under control of NetworkManager, setting zone to "dmz"'. success[root@localhost ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent ////禁止ssh登录success[root@localhost ~]# firewall-cmd --zone=dmz --add-service=http --permanent //添加http服务success[root@localhost ~]# firewall-cmd --zone=dmz --add-icmp-block=echo-request --permanent 阻塞icmp协议success[root@localhost ~]# firewall-cmd --zone=external --add-service=http --permanent //在外部区域添加http服务success[root@localhost ~]# firewall-cmd --reload //重新加载防火墙success
6、返回Centos 7-2,测试,使用企业内网测试机查看,网站服务器和internel网站的网页
7、配置
[root@localhost ~]# firewall-cmd --zone=external --add-forward port=port=80:proto=tcp:toaddr=192.168.20.20 --permanent //设置端口映射success[root@localhost ~]# firewall-cmd --reload success
8、在Centos7-4上通过浏览器查看网站服务器网页。
服务
网卡
地址
服务器
网关
主机
区域
配置
网络
网站
测试
防火墙
防火
网页
网络服务
子网
测试机
实验
互联网
企业
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
网络安全 互联网开放端口
方舟服务器pvp选择地点
数据库引擎服务
关于数据库服务器的书
织梦 数据库删除部分文章
档案数据库 黄埔军校
刀剑大作战无法连接服务器
坪山区网络技术转移
数据库系概念与原理ppt
服务器云股票
最新GB软件开发标准
联想rd330服务器
大话西游2哪个服务器可以合并
软件开发分前端和后端吗
永恒纪元怎么查询当前服务器
各公司网络安全活动形式多样
安卓应用之个人应用软件开发
算价软件开发
南阳软件开发公司
棋牌服务器端
华为三层交换机怎么连接服务器
数据库理论课怎么学
浙江应用软件开发系统
开展校园网络安全知识讲座
方舟手机服务器怎么设置会员
数据库如何打开登录信息
计算机三级网络技术在线
网络安全隔离卡市场分析
广州软件开发解决方案咨询
dw数据库怎么搞