<>强关于firewalld防火墙的直接规则,富规则等原理概述可以参考上一篇博文:Centos 7的firewalld防火墙地址伪装和端口转发原理强>
<强>环境如下图所示:强>
网关服务器和网站服务器都采用centos 7操作系统,网关服务器安装3块千兆网卡,分别连接互联网企业内网,网站服务器。
<李>
引用>网关服务器连接互联网卡ens32配置为公网IP地址为192.168.100.10,分配到防火墙的外部区域;连接内网网卡ens34地址为192.168.10.100,分配到防火墙的信任区域;连接服务器网卡ens35地址为192.168.20.100,分配到防火墙的DMZ区域;
李> <李>网站服务器和网关服务器都通过SSH来远程管理,为了安全,将SSH默认端口改为12345;
李> <李>网站服务器开启https,过滤未加密的http流量;
李> <李>网站服务器拒绝ping,网关服务器拒绝来自互联网上的平;
李> <李>内网用户需要通过网关服务器共享上网;
李> <李>互联网用户需要访问网站服务器;李>一、开始基本的环境配置
1,配置网关服务器
<代码> [root@firewalld ~] # ifconfig & lt; !——查看配置完成的IP地址信息——比; ens32:旗帜=4163 & lt;,广播,跑步,MULTICAST>mtu 1500 inet 192.168.100.10子网掩码255.255.255.0 192.168.100.255播出 inet6 fe80:: 20 c: 29 ff: fe97:5c9f prefixlen 64 scopeid 0 x20<每日 醚00:0c: 29:97:5c: 9 f txqueuelen 1000(以太网) RX 880字节数据包135724(132.5简约) RX错误0 0超支0框架0下降 TX包71197 498字节(69.5简约) TX错误0下降0超支0载体0碰撞0 ens34:旗帜=4163 & lt;,广播,跑步,MULTICAST>mtu 1500 inet 192.168.10.100子网掩码255.255.255.0 192.168.10.255播出 inet6 fe80:: 20 c: 29 ff: fe97:5ca9 prefixlen 64 scopeid 0 x20<每日 醚00:0c: 29:97:5c: a9 txqueuelen 1000(以太网) RX数据包37 3555字节(3.4简约) RX错误0 0超支0框架0下降 TX包14988 89字节(14.6简约) TX错误0下降0超支0载体0碰撞0 ens35:旗帜=4163 & lt;,广播,跑步,MULTICAST>mtu 1500 inet 192.168.20.100子网掩码255.255.255.0 192.168.20.255播出 inet6 fe80:: 20 c: 29 ff: fe97:5cb3 prefixlen 64 scopeid 0 x20<每日 醚00:0c: 29:97:5c: b3 txqueuelen 1000(以太网) RX包51 5019字节(4.9简约) RX错误0 0超支0框架0下降 TX包13888 85字节(13.5简约) TX错误0下降0超支0载体碰撞0 代码>2,网关服务器开启路由转发功能
<代码> root@firewalld ~ # vim/etc/sysctl.conf net.ipv4。ip_forward=1 root@firewalld ~ # sysctl - p net.ipv4。ip_forward=1 代码>3,配置web服务器
<代码> [root@web ~] # ifconfig & lt; !——查看配置完成的IP地址信息——比; ens32:旗帜=4163 & lt;,广播,跑步,MULTICAST>mtu 1500 inet 192.168.20.10子网掩码255.255.255.0 192.168.20.255播出 inet6 fe80:: 20 c: 29 ff: fe62:325a prefixlen 64 scopeid 0 x20<每日 醚00:0c: 29:62:32:5a txqueuelen 1000(以太网) RX 237字节数据包21594(21.0简约) RX错误0 0超支0框架0下降 TX包30673 220字节(29.9简约) TX错误0下降0超支0载体0碰撞0 (root@web ~) #路线- n & lt; !——查看网关信息——比; 内核IP路由表 目的地网关Genmask旗帜度量Iface参考使用 0.0.0.0 192.168.20.100 0.0.0.0 UG 100 0 0 ens32 192.168.20.0 0.0.0.0 U 100 0 0 ens32 255.255.255.0 192.168.122.0 0.0.0.0 U 0 0 0 virbr0 255.255.255.0 (root@web ~) # yum - y对mod_ssl进行安装httpd & lt; !——安装对mod_ssl进行httpd和软件包——比; (root@web ~) # systemctl启动httpd & lt; !——启动httpd服务——比; (root@web ~) # systemctl使httpd & lt; !——设置开机自动启动——比; (root@web ~) #回声“www.DMZ.web.com”比;/var/www/html/index.html & lt; !——创建网站首页测试页——比; # vim/etc/ssh/sshd_config root@web ~ & lt; !——修改SSH服务监听的端口号(需要关闭SELinux)——比; 端口12345 (root@web ~) # systemctl重新启动sshd & lt; !——重新启动SSH服务,在代码>4,配置内网客户端
1)配置IP地址及网关
centos 7之firewalld防火墙配置IP伪装和端口转发案例详解