firewall防火墙的地址伪装和端口转发

【实验环境】
某公司的web服务器、网关服务器均采用Linux centos7.3操作系统，如图3.6所示。为了加强网络访问的安全性，要求管理员熟悉firewalld防火墙规则的编写，以便制定有效、可行的主机防护策略。
【需求描述】
网关服务器连接互联网网卡ens32地址为100.1.1.10，为公网IP地址，分配到Firewall的external区域；连接内网网卡ens34地址为192.168.1.1，分配到Firewall的trusted区域；连接服务器网卡ens36地址为192.168.2.1，分配到firewall的dmz区域；
网站服务器和网关服务器均通过ssh来远程管理，为了安全，将ssh默认端口改为12345,；
网站服务器开启https，过滤未加密的http流量。
网站服务器拒绝ping，网关服务器拒绝来自互联网上的ping。
公司内网用户需要通过网关服务器共享上网。
互联网用户需要访问网站服务器。
【推荐步骤】
一、基本环境配置。
1.在网关服务器、网站服务器上配置主机名及网卡地址，并更改ssh的侦听地址。






2.开启网关服务器的路由转发功能，保证全网可以互通。

二、在网站服务器上部署web站点。


三、在网站服务器与网关服务器上编写Firewalld规则。




验证：企业内网测试机可以访问网站服务器


验证：互联网主机通过ssh登录网关外部接口地址12345端口

验证:在企业内网测试机上ssh登录web网站服务器的12345端口

四、配置IP伪装与端口转发
1.内网用户通过网关服务器共享上网


验证：在内网主机上可以访问外网网站

验证：在DMZ的 网站服务器上可以访问外网网站

2.为内网地址开启地址IP伪装

验证：在DMZ网站服务器上测试，无法访问外网网站

3.配合端口转发实现互联网用户访问内部web服务器

验证：互联网测试机可以访问内部web服务

4.为内网服务器申请一个新的公网IP地址100.1.1.15



验证：在互联网测试机上访问测试结果