firewalld 防火墙

、
配置三区域 firewalld防火墙 internal external dmz

网站服务器和网关服务器通过ssh来远程管理，为了安全修改ssh服务的默认端口为12345

硬件准备

配置IP地址和划分区域

IP
Windows7 内

Centos01 内

Centos02 网关

Centos——dmz web

Centos——外 web

开启路由功能
【root@centos02 ~】# cat /etc/sysctl.conf


配置防火墙
开启防火墙并设置开机自启

配置Ens32 tursted ens34 dmz

查看

验证网关服务器

网站服务器开启https过滤未加密的http流量

配置服务

验证ssh远程管理

创建网站主页



验证全网互通访问网站

更改ssh服务器端口号为12345并在开启防火墙的情况下可以ssh远程管理

重启服务验证

验证



验证开启防火墙后无法ssh


配置防火墙规则实现开启防火墙也可以ssh远程管理
配置dmz区域为dmz默认

配置外网为external默认

配置添加允许ssh服务和端口12345（默认允许ssh所以不用添加服务只添加端口12345）


验证

配置网站服务器开启http过滤
默认无法访问

配置防火墙实现过滤http允许https
Dmz

External



网站服务器拒绝ping网关服务器拒绝来自外网的ping

验证


公司内网用户需要通过网关服务器共享上网
删掉外网网关删除动态IP地址伪装配置静态伪装

验证

配置静态IP地址伪装实现网站访问
将源网络192.168.100.0/24映射到防火墙的外网接口上进行IP地址伪装
查看
验证


外网用户需要访问网站服务器
外网添加一个客户端验证访问
将内网的192.168.100.10的80端口映射到外网的80端口

验证

添加https服务和443端口
验证外网访问

域名访问

安装DNS服务

备份服务

清空服务配置并手动配置
手动配置

配置正向DNS解析


配置防火墙允许DNS服务

验证
客户端配置dns指定192.1
8.200.254