指导老师:徐晶晶;这是在课堂实验做的
目录
1.1 创建源配置备份文件夹,进入源配置文件目录cd /etc/yum.repos.d/
1.4.3 查看Media目录中BaseOS和AppStraem路径
2.3 由于需要 NAT 连接网络,需要将 Server02 外部区域的伪装打开
2.3.2 将 server01 的网关修改成 Server02 的第一张网卡的ip (192.168.10.4)
2.5 在外网上 Client01 上配置供测试的 Web 服务器
2.5.1 在 Client01 上添加 http 服务到防火墙策略
前言:
虚拟机需求:1台服务器(Server01),1台服务器(Server02), 1台客户端(Client1)
在第一章的基础上继续实训
项目实训3:配置防火墙
1.项目背景
假如某企业需要接入 Iintemet,由ISP 分配IP 地址202.112.113.112。采firewall作为NAT服务器接入网络,内部采用192.168.10.0/24,外部采用202.112.113.112。为确保安全需要配置防火墙功能,要求内部仅能够访问Web、DNS及Mail 3台服务器;内部Web服务器192.168.10.2 通过端口映像方式对外提供服务。配置 firewalld 防火墙网络拓扑如图所示。
一 在server01,Client01上修改本地源
1.1 创建源配置备份文件夹,进入源配置文件目录cd /etc/yum.repos.d/
[root@server01 ~]# cd /etc/yum.repos.d/1.2 创建备份文件夹
[root@server01 yum.repos.d]# mkdir backup1.3 备份源配置文件
1.3.1 将所有源配置文件移动到backup文件夹
[root@server01 yum.repos.d]# mv C* backup1.3.2 将媒体源配置文件复制到当前目录
[root@server01 yum.repos.d]# cp backup/CentOS-Stream-Media.repo .1.4 修改源配置文件
1.4.1 首先确认iso光盘文件是否已经挂载。
1.4.2 挂载光盘
[root@server01 yum.repos.d]# mount /dev/cdrom /media
mount: /media: /dev/sr0 already mounted on /run/media/root/CentOS-Stream-8-BaseOS-x86_64.1.4.3 查看Media目录中BaseOS和AppStraem路径
[root@server01 yum.repos.d]# ls /media/
AppStream BaseOS EFI EULA extra_files.json GPL images isolinux LICENSE media.repo TRANS.TBL1.4.4 编辑Media源文件
1.4.5 安装 http服务
[root@server01 ~]# yum install -y httpd
上次元数据过期检查:0:08:45 前,执行于 2025年04月23日 星期三 00时19分51秒。
软件包 httpd-2.4.37-62.module_el8+657+88b2113f.x86_64 已安装。
依赖关系解决。
无需任何处理。
完毕!
在 Client01 客户机也是一样的操作
二 内网访问外网
2.1 查看ens224这个网卡所在区域
[root@Server02 ~]# firewall-cmd --get-zone-of-interface=ens224
public
2.2 将ens224这个网卡添加到外部区域
[root@Server02 ~]# firewall-cmd --permanent --zone=external --change-interface=ens224
The interface is under control of NetworkManager, setting zone to 'external'.
success
2.3 由于需要 NAT 连接网络,需要将 Server02 外部区域的伪装打开
[root@Server02 ~]# firewall-cmd --zone=external --add-masquerade --permanent
Warning: ALREADY_ENABLED: masquerade
success
[root@Server02 ~]# firewall-cmd --reload
success2.3.1 查询伪装是否打开
[root@Server02 ~]# firewall-cmd --permanent --zone=external --query-masquerade
yes
2.3.2 将 server01 的网关修改成 Server02 的第一张网卡的ip (192.168.10.4)
2.4 在 Server02 上配置内部接口ens160
2.4.1 将内部接口加入到内网区域 internal
[root@Server02 ~]# firewall-cmd --get-zone-of-interface=ens160
public[root@Server02 ~]# firewall-cmd --permanent --zone=internal --change-interface=ens160
The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@Server02 ~]# firewall-cmd --reload
success
2.5 在外网上 Client01 上配置供测试的 Web 服务器
与 server01 上修改本地源步骤一样,然后下载 http服务
2.5.1 在 Client01 上添加 http 服务到防火墙策略
root@Client1 ~]# firewall-cmd --zone=public --add-service=http
success
[root@Client1 ~]# firewall-cmd --reload
success
[root@Client1 ~]# systemctl restart httpd
2.6 在 server01 上测试SNA 配置是否成功
[root@server01 ~]# firefox 202.112.113.113
三 外网访问内网
3.1 在 Server02 上配置DNAT
进行端口映射,将外网区域的80端口的请求都转发到192.168.10.3
[root@Server02 ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=80:proto=tcp:toaddr=192.168.10.3
success
[root@Server02 ~]# firewall-cmd --reload
success
查询端口映射结果
[root@Server02 ~]# firewall-cmd --zone=external --query-forward-port=port=80:proto=tcp:toaddr=192.168.10.3
yes[root@Server02 ~]# firewall-cmd --zone=external --list-all
external (active)
target: default
icmp-block-inversion: no
interfaces: ens224
sources:
services: ssh
ports:
protocols:
forward: no
masquerade: yes
forward-ports:
port=80:proto=tcp:toport=:toaddr=192.168.10.3
source-ports:
icmp-blocks:
rich rules: 3.2 在外网 Client01 上测试
[root@Client1 ~]# firefox 202.112.113.112
扫一扫
7307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
