firewalld防火墙IP伪装和端口转发
实验案例:firewall防火墙的地址伪装和端口转发
实验环境
某公司的Web服务器、网关服务器均采用Linux CentOS 7.3操作系统,如图所示。为了加强网络访问的安全性,要求管理员熟悉firewall防火墙规则的编写,以制定有效、可行的主机防护策略。
实验拓扑:
需求描述:
网关服务器ens33网卡分配到trusted(信任)区域,ens34网卡分配到external(外部)区域,ens35网卡分配到dmz(非军事)区域。
网站服务器和网关服务器将ssh默认端口都改为12345
网站服务器开启https,过滤未加密的http流量,且拒绝ping。
公司内网用户需要通过网关服务器共享上网
互联网用户需要访问网站访问
实验步骤:
Step①基本环境配置
(1)为网关服务器与网站服务器配置主机名及网卡地址
网关服务器:
[root@Centos ~]# hostnamectl set-hostname trusted
企业内网测试机:
[root@trusted ~]# hostnamectl set-hostname trusted
Internet测试用机
[root@externsl ~]# hostnamectl set-hostname externsl
网站服务器:
[root@dmz ~]# hostnamectl set-hostname dmz
更改SSH的监听端口
网关改ssh端口
[root@gateway ~]# vim /etc/ssh/sshd_config
网站改ssh端口
[root@dmz ~]# vim /etc/ssh/sshd_config
[root@gateway ~]# systemctl restart sshd //重新启动服务
(2)开启网关服务器的路由转发功能
[root@gateway ~]# vim /etc/sysctl.conf
Step②在网站服务上部署web站点
(1) 安装httpd和mod_ssl软件包
[root@dmz ~]# yum -y install httpd mod_ssl
(2) 启用并启动httpd服务
[root@dmz ~]# systemctl start httpd
[root@dmz ~]# systemctl enable httpd
(3) 创建网站测试页
[root@dmz ~]# echo “this is a test web” >> /var/www/html/index.html
Step③为网站服务和网关服务编写firewalld规则
(1) 网站服务规则
1) 开启并启动firewall
[root@dmz ~]# systemctl start firewalld
[root@dmz ~]# systemctl enable firewalld
2) 将默认区域改为dmz
[root@dmz ~]# firewall-cmd --set-default-zone=dmz
查看默认区域
[root@dmz ~]# firewall-cmd --get-default-zone
Dmz
3) 为dmz区域打开https服务及添加TCP的12345端口
[root@dmz ~]# firewall-cmd --zone=dmz --add-service=https --permanent
[root@dmz ~]# firewall-cmd --zone=dmz --add-port=12345/tcp --permanent
(–permanent为设置永久性规则)
4)禁止ping
[root@dmz ~]# firewall-cmd --add-icmp-block=echo-request --zone=dmz –permanent
5) 因为预定义的ssh更改了默认端口,所以将预定义ssh服务移除
[root@dmz ~]# firewall-cmd --zone=dmz --remove-service=ssh –permanent
6) 重新加载firewalld激活配置,并查看
[root@dmz ~]# firewall-cmd –reload
[root@dmz ~]# firewall-cmd --list-all --zone=dmz
(2)在网关服务器上配置firewalld防火墙
1)启动并启用防火墙
[root@gateway ~]# systemctl start firewalld
[root@gateway ~]# systemctl enable firewalld
查看防火墙状态
[root@gateway ~]# firewall-cmd --state
running
2)设置默认区域为external区域,并查看配置结果
[root@gateway ~]# firewall-cmd --set-default-zone=external
4) 将ens32网卡配置到trusted区域,将ens35配置到dmz区域
[root@gateway ~]# firewall-cmd --change-interface=ens32 --zone=trusted
[root@gateway ~]# firewall-cmd --change-interface=ens35 --zone=dmz
查看配置
[root@gateway ~]# firewall-cmd --get-active-zones
5) 配置external区域添加TCP的12345端口
[root@gateway ~]# firewall-cmd --zone=external --add-port=12345/tcp –permanent
6) 配置external区域移除SSH服务
[root@gateway ~]# firewall-cmd --zone=external --remove-service=ssh --permanent
7)配置external区域禁止ping
[root@gateway ~]# firewall-cmd --zone=external --add-icmp-block=echo-request –permanent
8) 重新加载防火墙激活配置
[root@gateway ~]# firewall-cmd –reload
验证;
- 在互联网测试计算机上通过SSH登录网关外部接口12345端口
[root@externsl ~]# ssh -p 12345 192.168.200.20
2)在企业内网测试计算机SSH登录web网站服务器的12345端口
[root@trusted ~]# ssh -p 12345 192.168.10.10
3)在企业内网测试机上访问网站服务器
配置IP伪装与端口转发
1.内网用户通过网关服务器共享上网
1)外网搭建网站服务,并添加测试内容
[root@externsl ~]# yum install -y httpd
[root@externsl ~]# echo “www.benet.com” >> /var/www/html/index.html
启动服务
[root@externsl ~]# systemctl start httpd
2)内部测试机访问外网网站,可以访问
3)在dmz网站服务上测试,同样可以访问
4)查看网关服务器的external区域是否开启地址伪装
5)在网关服务器上关闭external的地址伪装,添加富规则,要求external区域内,源地址192.168.100.0/24网段地址开启地址伪装
[root@gateway ~]# firewall-cmd --list-all --zone=external
firewall-cmd --zone=external --add-rich-rule=‘rule family=ipv4 source address=192.168.100.0/24 masquerade’
在dmz的网站服务器测试,发现无法访问外网网站
2.配置端口转发实现互联网用户访问内部web服务
1)将内网服务的192.168.100.10的443号端口映射到web服务器IP地址192.168.10.10 的443端口
[root@gateway ~]# firewall-cmd --zone=external --add-forward-port=port=443:proto=tcp:toaddr=192.168.10.10
2)在互联网测试机访问内部web服务成功
3)如给内网的服务器申请一个新的公网地址192.168.200.15,做端口转发
①将新公网地址192.168.200.15配置在网关服务器外接口ens34上,作为第二个IP地址
[root@gateway ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens34
重启服务
[root@gateway ~]# systemctl restart network
[root@gateway ~]# ip add //查看
②使用富规则配置端口转发
[root@gateway ~]#firewall-cmd --zone=external --add-rich-rule=‘rule family=ipv4 destination address=192.168.200.15/32 forward-port port=443 protocol=tcp to-addr=192.168.10.10’
③在互联网测试机访问测试结果
firewalld防火墙IP伪装和端口转发相关推荐
- Firewalld ip伪装和端口转发
Firewalld ip伪装和端口转发 伪装: 此举启用区域的伪装功能.私有网络的地址将被隐藏并映射到一个公有IP.这是地址转换的一种形式,常用于路由.由于内核的限制,伪装功能仅可用于IPv4. # ...
- firewalld防火墙配置、测试服务、高级配置与IP伪装、端口转发
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Firewalld防火墙 防火墙基础 一.防火墙配置 二.使用防火墙安装http服务测试分别测试内网.外网.dmz 三.firewal ...
- firewalld防火墙配置IP伪装和端口转发
IP地址伪装和端口转发都属于NAT(网络地址转换). 地址伪装和端口转发的区别如下: IP地址伪装: 1.通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包 2.源地址更改为 ...
- centos 7的firewalld防火墙配置IP伪装和端口转发(内附配置案例)
IP地址伪装和端口转发都属于NAT(网络地址转换). 地址伪装和端口转发的区别如下: IP地址伪装: 通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包 源地址更改为其NAT ...
- centos 7配置firewall防火墙的地址伪装和端口转发实例
环境如下图所示,网关服务器和网站服务器都采用centos 7操作系统,网关服务器安装3块千兆网卡,分别连接Internet.企业内网.网站服务器. 网关服务器连接互联网卡ens33配置为公网IP地址, ...
- 服务器配置防火墙的地址伪装和端口转发实例
网关服务器和网站服务器都采用centos 7操作系统: 要求如下:基本的环境配置:网关服务器配置 网卡 : [root@localhost network-scripts]# ip a = ip ad ...
- firewalld防火墙配置ip地址伪装和端口转发
IP地址伪装 通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的原地址更改为NAT的接口地址转发到不同步目的地.当是返回数据包是,会将目的地之修改为原始主机地址并路由. 端口 ...
- 群晖NAS公网访问(IP+DNSPOD+桥接+端口转发+DDNS+WebDAV)
群晖NAS公网访问 (IP+DNSPOD+桥接+端口转发+DDNS+WebDAV) 文章更新一版,结果审核不过,只能转载了: https://www.cnblogs.com/nomil9/articl ...
- firewalld防火墙(二)实验案例:ip地址伪装,端口转发
实验要求: 全网互通 搭建网站 配置防火墙,划分区域,配置默认区域 配置ip地址伪装centos01-centos03 配置端口映射centos04-centos01 实验步骤: 一.全网互通 1.配 ...
- Ubuntu 20.04防火墙 UFW做NAT转换,IP伪装,端口重定向,端口映射
参考文档: <Ubuntu 防火墙IP转发做NAT,内网集群共享网络(简单)> <focal (8) ufw-framework.8.gz手册> 项目需要一台路由器以实现NAT ...
最新文章
- 【转】Eclipse下编写C++程序——CDT环境搭建
- IDC公司对未来5年的10项IT预测
- 解决kettle配置文件中的中文乱码
- SQL Server:Like 通配符特殊用法:Escape
- 给CentOS添加第三方源(RPMForge源)
- linux进程管理概念,Linux教程之进程的概念和进程管理命令的使用
- 定制.NET GridView的长文本显示表格
- Windows用户最佳远程控制器——Xmanager
- 牛客题库—软件测试(二)
- 软件系统服务器改造方案,并实施系统软件国产化改造方案 审计署.doc
- U盘写保护,不能被格式化
- 违章查询功能如何实现
- android+广播接收者category,广播接收者
- 微信公众号如何上传PPT?
- 拍好人像的六个好招数
- 在视频中添加图片,图片中添加视频,制作画中画效果
- c语言模仿atm源代码,C语言ATM程序模拟
- android模拟器MAC无法联网(安卓开发)
- B. Chris and Magic Square
- odoo15 owl 组件实验
热门文章
- ..\target\m2e-wtp\web-resources\META-INF\MANIFEST.MF (系统找不到指定的路径)解决办法
- C语言求卢卡斯序列,斐波那契序列和卢卡斯序列
- 【火龙果】评测三 MicroPython上手初体验
- 怎么看电脑网卡是否支持5g频段
- 买望远镜看天体需要使用的倍数
- [20151018]SCZ训练
- 《三体》死神永生之感
- linux 删除swp文件,linux E325: 注意 发现交换文件 *.swp 解决方法
- 基于struts2 拦截器ResultType为chain的Action之间数据传递 ——表单页面打开优化
- 华为服务器虚拟云主机,虚拟云主机和虚拟云服务器