centos 7之firewalld防火墙配置IP伪装和端口转发案例详解

  

<>强关于firewalld防火墙的直接规则,富规则等原理概述可以参考上一篇博文:Centos 7的firewalld防火墙地址伪装和端口转发原理

  

<强>环境如下图所示:
网关服务器和网站服务器都采用centos 7操作系统,网关服务器安装3块千兆网卡,分别连接互联网企业内网,网站服务器。
centos 7之firewalld防火墙配置IP伪装和端口转发案例详解

  
  
      <李>   

    网关服务器连接互联网卡ens32配置为公网IP地址为192.168.100.10,分配到防火墙的外部区域;连接内网网卡ens34地址为192.168.10.100,分配到防火墙的信任区域;连接服务器网卡ens35地址为192.168.20.100,分配到防火墙的DMZ区域;

      李   <李>   

    网站服务器和网关服务器都通过SSH来远程管理,为了安全,将SSH默认端口改为12345;

      李   <李>   

    网站服务器开启https,过滤未加密的http流量;

      李   <李>   

    网站服务器拒绝ping,网关服务器拒绝来自互联网上的平;

      李   <李>   

    内网用户需要通过网关服务器共享上网;

      李   <李>互联网用户需要访问网站服务器;李   
     

一、开始基本的环境配置

  

1,配置网关服务器

  
 <代码> [root@firewalld ~] # ifconfig & lt; !——查看配置完成的IP地址信息——比;
  ens32:旗帜=4163 & lt;,广播,跑步,MULTICAST>mtu 1500
  inet 192.168.100.10子网掩码255.255.255.0 192.168.100.255播出
  inet6 fe80:: 20 c: 29 ff: fe97:5c9f prefixlen 64 scopeid 0 x20<每日
  醚00:0c: 29:97:5c: 9 f txqueuelen 1000(以太网)
  RX 880字节数据包135724(132.5简约)
  RX错误0 0超支0框架0下降
  TX包71197 498字节(69.5简约)
  TX错误0下降0超支0载体0碰撞0
  
  ens34:旗帜=4163 & lt;,广播,跑步,MULTICAST>mtu 1500
  inet 192.168.10.100子网掩码255.255.255.0 192.168.10.255播出
  inet6 fe80:: 20 c: 29 ff: fe97:5ca9 prefixlen 64 scopeid 0 x20<每日
  醚00:0c: 29:97:5c: a9 txqueuelen 1000(以太网)
  RX数据包37 3555字节(3.4简约)
  RX错误0 0超支0框架0下降
  TX包14988 89字节(14.6简约)
  TX错误0下降0超支0载体0碰撞0
  
  ens35:旗帜=4163 & lt;,广播,跑步,MULTICAST>mtu 1500
  inet 192.168.20.100子网掩码255.255.255.0 192.168.20.255播出
  inet6 fe80:: 20 c: 29 ff: fe97:5cb3 prefixlen 64 scopeid 0 x20<每日
  醚00:0c: 29:97:5c: b3 txqueuelen 1000(以太网)
  RX包51 5019字节(4.9简约)
  RX错误0 0超支0框架0下降
  TX包13888 85字节(13.5简约)
  TX错误0下降0超支0载体碰撞0
  

2,网关服务器开启路由转发功能

  
 <代码> root@firewalld ~ # vim/etc/sysctl.conf
  net.ipv4。ip_forward=1
  
  root@firewalld ~ # sysctl - p
  net.ipv4。ip_forward=1
  

3,配置web服务器

  
 <代码> [root@web ~] # ifconfig & lt; !——查看配置完成的IP地址信息——比;
  ens32:旗帜=4163 & lt;,广播,跑步,MULTICAST>mtu 1500
  inet 192.168.20.10子网掩码255.255.255.0 192.168.20.255播出
  inet6 fe80:: 20 c: 29 ff: fe62:325a prefixlen 64 scopeid 0 x20<每日
  醚00:0c: 29:62:32:5a txqueuelen 1000(以太网)
  RX 237字节数据包21594(21.0简约)
  RX错误0 0超支0框架0下降
  TX包30673 220字节(29.9简约)
  TX错误0下降0超支0载体0碰撞0
  (root@web ~) #路线- n & lt; !——查看网关信息——比;
  内核IP路由表
  目的地网关Genmask旗帜度量Iface参考使用
  0.0.0.0 192.168.20.100 0.0.0.0 UG 100 0 0 ens32
  192.168.20.0 0.0.0.0 U 100 0 0 ens32 255.255.255.0
  192.168.122.0 0.0.0.0 U 0 0 0 virbr0 255.255.255.0
  (root@web ~) # yum - y对mod_ssl进行安装httpd & lt; !——安装对mod_ssl进行httpd和软件包——比;
  (root@web ~) # systemctl启动httpd & lt; !——启动httpd服务——比;
  (root@web ~) # systemctl使httpd & lt; !——设置开机自动启动——比;
  (root@web ~) #回声“www.DMZ.web.com”比;/var/www/html/index.html & lt; !——创建网站首页测试页——比;
  # vim/etc/ssh/sshd_config root@web ~
  & lt; !——修改SSH服务监听的端口号(需要关闭SELinux)——比;
  端口12345
  (root@web ~) # systemctl重新启动sshd & lt; !——重新启动SSH服务,在
  

4,配置内网客户端

  

1)配置IP地址及网关

  

centos 7之firewalld防火墙配置IP伪装和端口转发案例详解

centos 7之firewalld防火墙配置IP伪装和端口转发案例详解