说明:
网关服务器连接互联网网卡为eth0
地址为100.1.1.10,他是个公网的地址。分配到external(外部区域)
;连接Web服务器网卡接口为eth2
地址为192.168.2.1,分配到firewalld的dmz
区域。
要求:
- Web服务器和网关服务器均通过SSH远程控制,为了安全,将SSH的默认端口号改为:6682
- Web服务器开启Https,过滤未加密的http流量,仅允许通过Https访问。
- Web服务器拒绝Ping。
环境:
主机 | 系统 | 网卡:IP/Netmask |
---|---|---|
①.firewalld&网关 | Centos7.3 | eth0:100.1.1.10/24 |
①. | ① | eth1:192.168.1.1/24 |
①. | ① | eth2:192.168.2.1/24 |
②.internet测试机 | Centos7.3 | eth0:100.1.1.20/24 |
3?.内网测试机 | Centos7.3 | eth0:192.168.1.10 |
④.Web服务器(DMZ) | Centos7.3 | eth0:192.168.2.10 |
拓扑图如下:
实验开始:
1.在firewalld服务器上配置主机名及网卡的IP地址
1.1 修改主机名
vim /etc/hostname 里面写:gateway-server
1.2 hostname gateway-server
1.3 bash
1.4 修改网卡参数(VMware配置多网卡这里不再累赘)
1.5 开启firewalld服务器路由转发功能
vim /etc/sysctl.conf 里面写: net.ipv4.ip_forward = 1
1.6 重新生成参数
sysctl -p
2.配置Web服务器主机名:web 以及IP地址 :192.168.2.10 并测试是否可以Ping网关
3.Web服务器环境搭建
3.1 安装httpd和mod_ssl软件包(Yum方式安装)
yum -y install httpd mod_ssl
3.2 启用并启动httpd服务
systemctl enable httpd
systemctl start httpd
3.3 创建网站首页
echo "Hello,World" >/var/www/html/index.html
3.4 更改默认的SSH端口号
vim /etc/ssh/sshd_config
Port 6682
3.5 关闭SElinux安全机制并重启sshd服务
setenforce 0
systemctl restart sshd
4.在Web服务器上启动并配置Firewalld防火墙
4.1 开启服务
systemctl start firewalld
4.2 设置默认区域为DMZ
firewall-cmd --set-default-zone=dmz
4.3 为DMZ区域打开https服务并添加tcp的6682端口然后移除防火墙原有的ssh规则
firewall-cmd --zone=dmz --add-service=https --permanent
firewall-cmd --zone=dmz --add-port=6682/tcp --permanent
firewall-cmd --zone=dmz --remove-service=ssh --permanent
4.4 开启禁止Ping
firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent
4.5 重新加载firewalld ,并查看刚才的配置
firewall-cmd --reload
firewall-cmd --list-all --zone=dmz
5.在网关服务器上配置firewalld服务
5.1 开启
systmctl start firewalld
5.2 设置默认区域为external
firewall-cmd --set-default-zone=external
5.3 将eth1网卡配置到trusted区域,将eth2网卡加入到dmz区域
firewall-cmd --change-interface=eth1 --zone=trusted
firewall-cmd --change-interface=eth2 --zone=dmz
5.4 查看配置如下:
firewall-cmd --get-active-zones
5.5 内网客户机上使用https访问网站服务器https://192.168.2.10,可以访问成功,使用http则被拒绝
6.更改firewalld-server
网关服务器 的SSH端口,并重启服务
6.1 更改默认的SSH端口号
vim /etc/ssh/sshd_config
Port 6682
6.2 关闭SElinux安全机制并重启sshd服务
setenforce 0
systemctl restart sshd
6.3 配置external区域添加TCP的6682端口
firewall-cmd --zone=external --add-port=6682/tcp --permanent
6.4 配置external区域删除ssh服务
firewall-cmd --zone=external --remove-service=ssh --permanent
6.5 配置external区域禁止Ping
firewall-cmd --add-icmp-block=echo-request --zone=external --permanent
6.6 重新加载firewalld
firewall-cmd --reload
7.测试
7.1 在internal测试机上通过SSH登陆到网关外部接口地址的6682端口,登陆成功后还可以使用网关服务器登陆到Web服务器上面
ssh -p 6682 100.1.1.10
ssh -p 6682 192.168.2.10
7.2 内网客户机可以通过SSH去登陆到Web服务器上
ssh -p 6682 192.168.2.10