linux防火墙应用实验

实验要求企业内网测试机可以访问 网站服务器 但不能ping 通企业内网测试及可以通过12345端口 ssh 连接网站服务器并管理内网可以访问外网主机的web外网主机可以通过12345端口ssh 连接和管理网关服务器 但无法ping 通 网关服务器实现 外网可以访问内网的web 服务器一、实验环境准备四台centos7服务器一台 网关服务器wang1内网nat网卡 192.168.183.140/24 ens33dmzvmnet1 网卡 192.168.1.10/24 ens36外网vmnet2 网卡 100.1.1.10/24 ens37一台内网测试机(wang2)nat网卡 192.168.183.100/24 ens33 网关 192.168.183.140一台dmz http网站服务器(wang3)vmnet1网卡 192.168.1.20/24 网关 192.168.1.10网站内容一台模拟外网http服务器 (wang4)vmnet2网卡 100.1.1.20/24 网关 100.1.1.10网站内容二、企业内网测试机可以访问 dmz网站服务器 但不能ping 通1.切换到dmz网站服务器2.设置测试机可以访问dmz网站服务器firewall-cmd --stat //检查防火墙状态确认开启 firewall-cmd --get-default-zone //查看防火墙默认区域public firewall-cmd --set-defalt-zonedmz //防火墙区域更改为dmz firewall-cmd --zonedmz --add-servicehttp //在防火墙dmz区域 添加允许http服务3.不能ping通设置firewall-cmd --zonedmz --add-icmp-blockecho-request //添加不允许request回应4.验证是否配置成功23。和下图一样说明配置成功5.切换到网关服务器编辑启动路由功能vim /etc/sysctl.conf # 在配置文件后添加最后添加开启IP转发做网关/路由/NAT时必须开启 net.ipv4.ip_forward 1 sysctl -p配置三个网卡的所属区域firewall-cmd--set-default-zoneexternal //防火墙设置默认区域为external firewall-cmd--change-interfaceens33 --zonetrusted //防火墙设置ens33所属区域为trusted区域 firewall-cmd--change-interfaceens37 --zonedmz //防火墙设置ens37所属区域设置为dmz区域查看区域配置6.验证切换到内网测试机wang2验证是否能访问dmz网站访问成功验证是否能ping通dmz区域无法ping通三、企业内网测试及可以通过12345端口 ssh 连接dmz网站服务器并管理1.切换到dmz服务器配置防火墙firewall-cmd --zonedmz --add-port12345/tcp //允许tcp端口号12345访问本机 firewall-cmd --zonedmz --remove-servicessh //删除自带的ssh服务将所有命令永久保存firewall-cmd --runtime-to-permanent //将所有防火墙命令永久保存2.编辑ssh配置文件将端口号改为12345vim /etc/ssh/sshd_config 将17行port 22改为 Port 12345并去除#号重启ssh服务即刻生效systemctl restart ssh报错的话关闭沙盒[rootwang3 ~]# setenforce 0测试端口号是否改变端口号为12345即为成功netstat -anpt | grep sshd3.进入内网测试机ssh 192.168.1.20 -p 12345 #使用ssh远程链接dmz的web服务器ssh链接成功四、 内网可以访问外网主机的web1.切换到外网区域关闭防火墙[rootwang4 ~]# systemctl stop firewalld.service2.内网访问成功五、 外网主机可以通过12345端口ssh 连接和管理网关服务器 但无法ping 通 网关服务器1.切换到网关服务器配置防火墙firewall-cmd --zoneexternal --add-icmp-blockecho-request //禁止icmp request包 firewall-cmd --zoneexternal --add-port12345/tcp //防火墙添加端口12345/tcp firewall-cmd --zoneexternal - - remove-servicessh //防火墙删除默认ssh服务 firewall-cmd --runtime-to-permanent //永久保存防火墙firewall命令配置 firewall-cmd --list-all--zoneexternal //查看external区域状态2.编辑ssh配置文件将端口号改为12345vim /etc/ssh/sshd_config 将17行port 22改为 Port 12345并去除#号剩余部分同 三23.进入外网服务器进行ssh测试进行ping测试无法ping通成功六、实现 外网可以访问内网的web 服务器1.切换到网关服务器配置富规则​ firewall-cmd --zoneexternal --add-forward-portport80:prototcp:toaddr192.168.1.20 ​#将外部访问本机 80 端口的 TCP 流量转发到内网 192.168.1.20设置永久配置firewall-cmd --runtime-to-permanent #把当前正在运行的防火墙规则临时生效的直接保存为永久规则2.切换外网服务器验证成功