Firewalld防火墙高级配置——(实战篇!!)

实验拓扑图

实验需求

1.公司内网用户需要通过网关服务器共享上网
2.互联网用户需要访问网站服务器
3.只允许192.168.10 .0/24ping网关和服务器
4.网站服务器和网关服务器均通过SSH来远程管理,为了安全,将SSH默认端口改为12345,只允许192.168.10.10主机SSH网关和服务器,允许互联网SSH内部服务器

实验环境

1.网关服务器:Centos7 -1
2.企业内网测试机:Centos7 -2
3.网站服务器:Centos7 -3
4.Internet测试机:Centos7 -4

1,配置网关服务器的网卡及地址

1)在网关服务器创建3块网卡,做静态,网卡1绑定VMnet1,为信任区域,网卡2绑定VMnet2,为DMZ区域,网卡3绑定VMnet3.为外部区域。

2)配置各个网卡的网关地址

ens33网卡

    [[email protected] ~ ]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
    TYPE=Ethernet
    PROXY_METHOD=none
    BROWSER_ONLY=no
    BOOTPROTO=static
    DEFROUTE=yes
    IPV4_FAILURE_FATAL=no
    IPV6INIT=yes
    IPV6_AUTOCONF=yes
    IPV6_DEFROUTE=yes
    IPV6_FAILURE_FATAL=no
    IPV6_ADDR_GEN_MODE=stable-privacy
    NAME=ens33
    UUID=88cf4975-29b8-4041-9cb0-456a56d1fddb
    DEVICE=ens33
    ONBOOT=yes
    IPADDR=100.1.1.10          ##设置网关地址
    NETMASK=255.255.255.0  ##设置子网掩码

ens36 网卡

    [[email protected] ~ ]# vim /etc/sysconfig/network-scripts/ifcfg-ens36
    TYPE=Ethernet
    PROXY_METHOD=none
    BROWSER_ONLY=no
    BOOTPROTO=static
    DEFROUTE=yes
    IPV4_FAILURE_FATAL=no
    IPV6INIT=yes
    IPV6_AUTOCONF=yes
    IPV6_DEFROUTE=yes
    IPV6_FAILURE_FATAL=no
    IPV6_ADDR_GEN_MODE=stable-privacy
    NAME=ens36    ##此处要修改网卡为36,UUID要删除
    DEVICE=ens36
    ONBOOT=yes
    IPADDR=192.168.10.1       ##网关地址和子网掩码
    NETMASK=255.255.255.0

ens37网卡

    [[email protected] ~ ]# vim /etc/sysconfig/network-scripts/ifcfg-ens37
    TYPE=Ethernet
    PROXY_METHOD=none
    BROWSER_ONLY=no
    BOOTPROTO=static
    DEFROUTE=yes
    IPV4_FAILURE_FATAL=no
    IPV6INIT=yes
    IPV6_AUTOCONF=yes
    IPV6_DEFROUTE=yes
    IPV6_FAILURE_FATAL=no
    IPV6_ADDR_GEN_MODE=stable-privacy
    NAME=ens37     ##此处需要修改为37,UUID要删除
    DEVICE=ens37
    ONBOOT=yes
    IPADDR=192.168.20.1        ##设置网关地址,子网掩码
    NETMASK=255.255.255.0

3)开启路由转发功能

    [[email protected] ~]# vim /etc/sysctl.conf
    ......                                                                          //省略注释内容
    net.ipv4.ip_forward = 1                                         //添加此条目
    [[email protected] network-scripts]# sysctl -p                   //载入sysctl配置文件
    net.ipv4.ip_forward = 1

2,配置internal信任区域中内网测试机的地址和网关

1)绑定网卡为vmnet3(仅主机模式)

2)配置ip地址及网关

[[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
[[email protected] ]#service network restart    //重启网络服务

3,配置DMZ区域网站服务器的地址和网关,并开启网站服务

1)在nat模式下安装http服务

    [[email protected] ~]# yum install httpd -y

2)绑定网卡vmnet3(仅主机模式)

3)配置ip地址及网关

    [[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
    TYPE=Ethernet
    PROXY_METHOD=none
    BROWSER_ONLY=no
    BOOTPROTO=static           //将dhcp改为static
    DEFROUTE=yes
    IPV4_FAILURE_FATAL=no
    IPV6INIT=yes
    IPV6_AUTOCONF=yes
    IPV6_DEFROUTE=yes
    IPV6_FAILURE_FATAL=no
    IPV6_ADDR_GEN_MODE=stable-privacy
    NAME=ens33
    UUID=f4d8cf47-c855-4d04-8c68-75ab8644df70
    DEVICE=ens33
    ONBOOT=yes
    IPADDR=192.168.20.20       //IP地址
    NETMASK=255.255.255.0     //子网掩码
    GATEWAY=192.168.20.1             //网关
    [[email protected] ~]# service network restart       //重启网络服务

4)开启网站服务并编辑网页内容

    [[email protected] ~]# vim /var/www/html/index.html
    [[email protected] ~]# cat /var/www/html/index.html
    <h1>this is dmz web</h1>
    [[email protected] html]# systemctl start httpd

4,在DMZ区域网站服务器上配置防火墙策略

    [[email protected] ~]# firewall-cmd --set-default-zone=dmz
    success
    [[email protected] ~]# firewall-cmd --add-service=http --zone=dmz --permanent
    //将防火墙的默认区域改为dmz区域
    success
    [[email protected] ~]# firewall-cmd --remove-service=ssh --zone=dmz --permanent
    //添加http服务到dmz区域永久设置中
    success
    [[email protected] ~]# firewall-cmd --add-icmp-block=echo-request  --zone=dmz --permanent
    //禁止使用ssh进行登录
    success
    [[email protected] ~]# firewall-cmd --reload
    //重载防火墙
    success

5,external外部区域的Internet测试机的网卡个地址,并启动网站服务

1)在nat模式下安装http服务

    [[email protected] ~]# yum install httpd -y

2)绑定网卡为vmnet1(仅主机模式)

3)配置ip地址和网关

    [[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
    TYPE=Ethernet
    PROXY_METHOD=none
    BROWSER_ONLY=no
    BOOTPROTO=static           //将dhcp改为static
    DEFROUTE=yes
    IPV4_FAILURE_FATAL=no
    IPV6INIT=yes
    IPV6_AUTOCONF=yes
    IPV6_DEFROUTE=yes
    IPV6_FAILURE_FATAL=no
    IPV6_ADDR_GEN_MODE=stable-privacy
    NAME=ens33
    UUID=f4d8cf47-c855-4d04-8c68-75ab8644df70
    DEVICE=ens33
    ONBOOT=yes
    IPADDR=100.1.1.20       //IP地址
    NETMASK=255.255.255.0     //子网掩码
    GATEWAY=100.1.1.10           //网关
    [[email protected] ~]# service network restart       //重启网络服务

4)开启网站服务,并关闭防火墙

    [[email protected] ~]# systemctl stop firewalld.service          //关闭防火墙
    [[email protected] ~]# setenforce 0
    [[email protected] ~]# systemctl start httpd                          //开启http服务
    [[email protected] ~]# vim /var/www/html/index.html            //配置网页内容
    <h1>this is external web</h1>

6,在网关服务器上配置防火墙的策略

[[email protected] ~]# firewall-cmd --set-default-zone=external
//将防火墙默认区域改为extemal
success
[[email protected] ~]# firewall-cmd --change-interface=ens36 --zone=trusted --permanent
//将ens36网卡设为信任区域
The interface is under control of NetworkManager, setting zone to ‘trusted‘.
success
[[email protected] ~]# firewall-cmd --change-interface=ens37 --zone=dmz --permanent
//将ens37网卡设为dmz区域
The interface is under control of NetworkManager, setting zone to ‘dmz‘.
success
[[email protected] ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent
//dmz区域内禁止使用ssh登录
success
[[email protected] ~]# firewall-cmd --zone=dmz --add-service=http --permanent
//dmz区域内添加http服务
success
[[email protected] ~]# firewall-cmd --zone=dmz --add-icmp-block=echo-request --permanent
//dmz区域内阻塞icmp协议
success
[[email protected] ~]# firewall-cmd --zone=external --add-service=http --permanent
//在外部区域添加http服务
success
[[email protected] ~]# firewall-cmd --reload
//重载防火墙
success

7,使用企业内网测试机验证网站服务器和Internet测试机提供的网站


8,在网关服务器上配置端口转换

[[email protected] ~]# firewall-cmd --zone=external --add-forward port=port=80:proto=tcp:toaddr=192.168.20.20 --permanent
//设置端口映射
success
[[email protected] ~]# firewall-cmd --reload   //重载防火墙
success

9,使用Internet测试机访问DMZ网站服务器,可以看到源地址被转换

谢谢阅读!!!

原文地址:https://blog.51cto.com/14080162/2444305

时间: 2024-11-09 07:03:04

Firewalld防火墙高级配置——(实战篇!!)的相关文章

firewalld防火墙的配置及应用

            防火墙(centos7)的配置及应用 1:防火墙有基本的三类 iptables.firewalld.ip6tables Systemctl   status   {firewalld,iptables,ip6tables}  查看三类的状态,这里主要介绍firewalld防火墙的配置以及基本应用功能 2:firewalld提供支持区域定义网络连接的防火墙 3:拥有运行时配置和永久性配置(临时和永久性配置) 4:之前是静态,现在是动态,不用重新启动防火墙,不用卸载防火墙的模

firewalld防火墙基础配置

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙. Linux防火墙是如何检查数据流量的? 对于进入系统的数据包,首先检查的就是其源地址: 若源地址关联到特定的区域,则执行该区域所制定的规则:若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则.若网络接口未关联到特定的区域,那么就使用默认区域并执行该区域所制定的规则.默认区域并不是单独的区域,而是指向系统上定义的某个其他区域.默认情况下,默认区域是public,但是也可

详解Vue前端生产环境发布配置实战篇

前言 首先这篇文章是写给Vue新手的,老司机基本不用看了. 当我们刚接触vue的时候,特别是对于第一次用前端框架的同学来说,心情可以说是比较激动的,框架带来的种种新体验,是以前jQuery无法给你的兴奋和满足感.但是在体验了几个demo的新鲜感之后,我们就要考虑如何把框架结合到我们实际的开发中如何应用的问题了. 下面我主要总结三个和生产发布相关的问题:资源文件发布文件夹配置,图片文件的引用,以及后台接口调试方法. 一,资源文件发布配置 一般项目都是用vue-cli脚手架搭建项目,然后编写自己的代

centos7之firewalld防火墙的配置与使用

firewalld是centos7开始提供的管理防火墙工具,提供了一个动态管理的防火墙,当然低层仍然调用的是 netfilter . 一.区域(zone)firewalld将网卡对应到不同的区域(zone),zone默认共有9个,block,dmz,drop,external,home,internal,public,trusted,work. 二.服务(services)/usr/lib/firewalld/services目录中,保存了另一类配置文件,每个文件对应一项具体的网络服务,如 ss

防火墙高级配置

实验拓扑图如下所示,host2 3 4分别为不同网段的主机,其中host2和host3搭有web服务,host2为测试主机,host1为linux系统,且作为网关. 首先按照拓扑图所示,在host3 和host4上安装httpd服务,安装完成后配置各linux主机ip地址 host3 安装服务 配置地址 host4安装服务,配置地址 host2 配置地址 host1 配置地址,需要添加二个网卡,每个网卡分别配置 ens33 复制ens33的配置文件,分别命名为ens36 ens37,复制完成后改

firewalld防火墙详细配置

--permanent # 永久开放--timeout=60 # 时间开放--zone= # 设置的域noaddthen默认 --add --remove --query # 添加与取消与查询 firewall-cmd --get-default-zone # 查看默认的域 firewall-cmd --get-active-zones # 查看全部的域 firewall-cmd --set-default-zone=drop # 设置默认区域 firewall-cmd --zone=publi

firewalld防火墙

需求目的:能正确熟练的掌握firewalld防火墙的配置 能有什么样的效果:能在实际生产过程中熟练的配置防火墙策略,灵活运用于各种实际的生产环境.         理论知识点的描述:1.rhel7默认使用firewalld作为防火墙,管理工具是firewall-cmd,是包过滤机制,底层的调用命令仍然是iptables.                           2.rhel7中有几种防火墙共存:firewall,iptables,ebtables,因为这几种daemon是冲突的,所以

Linux系统安全之CentOS 7 firewalld防火墙入门详解

在Internet中,企业通过架设各种应用系统来为用户提供各种网络服务,比如Web网站.电子邮件.FTP服务器等.而且大部分都是使用Linux服务器进行搭建的.那么,想要保护这些服务器,过滤非授权的访问,甚至恶意进入内部网络 .就需要使用到--防火墙. 防火墙除了硬件防火墙之外,Linux系统的防火墙也十分强大,今天主要认识CentOS 7系统的防火墙--firewalld. 一.Linux防火墙基础 不管是Linux系统.Windows系统的防火墙或者是硬件防火墙都是设置不同网络与网络安全之间

firewalld防火墙基础

TIP:linux7.0比6.0多了个firewalld工具,大大简化了操作 7.0既可以用iptables和firewalld,firewalld效率更高.更简便 一.firewalld概述 1.支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 2.支持IPv4.IPv6防火墙 3.支持服务或应用程序直接添加防火墙规则接口 4.拥有两种配置模式 (1)运行时配置 (2)永久配置 二.firewalld和iptables的关系 1.netfilter (1)位于Linux内核中的