【接口篇 / DMZ】(5.2) ❀ 01. ADSL 拨号宽带映射服务器到公网 ❀ FortiGate 防火墙

已于 2022-07-26 16:41:43 修改
阅读量3.8k 收藏 4
点赞数
分类专栏: # DMZ
于 2016-12-06 14:41:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/53486395
版权

  【简介】除了固定IP宽带可以映射服务器到外网之外,ADSL拨号宽带也可以映射服务器到外网,但是由于ADSL拨号宽带每次连接后IP地址都不同,这就要用到飞塔防火墙特有的DDNS动态域名功能了。

  网络拓扑

        ADSL拨号宽带每次连接后所获得的外网IP地址都不同,也就没有固定IP宽带映射服务器方便了。

  动态域名 DDNS

        飞塔防火墙拥有自己的动态域名解析服务器。

        ① 选择菜单【系统管理】-【网络】-【DNS】,选择【启用FortiGuard DDNS】打钩,选择接口为ADSL拨号宽带接口,输入一个没有用过的名称,会自动分配一个动态DDNS域名,这个域名和ADSL拨号宽带外网IP地址绑定,即使IP地址变更,用这个域名仍可以找到变更之后的IP地址。

  创建虚拟IP

        虚拟IP即VIP,虚拟IP是用来做目的地址转换使用。

        ① 选择菜单【策略&对象】-【对象】-【虚拟IP】,点击子菜单 Create New 建立新的虚拟IP,输入新建虚拟IP的用户名,这个用户名会在策略中被引用。选择映射的接口,外部IP地址由于经常会变更,所以这里填写默认地址0.0.0.0,映射的IP地址填写服务器的IP地址,这里并没指明服务器的接口,会在策略中指明。这次我们映射一台服务器的远程桌面,所在端口转发填写3389端口。

  建立访问策略

        所有的虚拟IP,都需要引用到防火墙策略中才能生效。    

        ① 新建策略允许从外网访问内网映射的服务器,目的地址,就是选择输入前面建立的虚拟IP的名称。服务选择输入远程桌面服务RDP,这样就从虚拟IP到策略,都限制只使用远程桌面功能。

  测试效果

        现在服务器映射完成了,可以查看映射的结果。

        ① 打开远程桌面连接,输入防火墙生成的动态域名,点击连接。

       ②当能够出现密码验证画面时,表示远程桌面可以被正常访问,映射是成功的。-老梅子   QQ:57389522

飞塔老梅子
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
飞塔防火墙DMZ配置
10-17
飞塔防火墙DMZ配置,让你远离病毒和攻击
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
11-26
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
简单内网映射公网方法--免费
热门推荐
geanwen的博客
12-06 7万+
我是一名Android API Player,最近公司需要做微信公众号二次开发,我跟着学学,公司后台.net。 我mac安装windows之后用vs感觉太差了,可能是我的mac要淘汰了吧。 所以我决定用java后台来跟着做。 仔细一想我没有服务器啊。 再仔细一想我没有公众号啊或者服务号也行啊,申请太麻烦还要提交证明还要花钱,用公司的怕给玩坏了。 不过这都不是问题,解决方法总比问题多。
飞塔防火墙-第三方ddns对接
最新发布
weixin_44675999的博客
06-17 256
5)客户端nslookup测试正常解析。
各种ADSL路由器端口映射设置
davidliu0327的专栏
09-15 1436
路由端口映射,NAT 方法,adsl router   声明:所有设置均为网上搜集所得   路由端口映射,NAT 方法适用于以上路由:   DLINK,Linksys,3com.微软,Netgear,asus华硕,speedtouch,TP-LINK TD-8800,TP-Link TD8830,TP-LINK TL-R410,中兴 ADSL831,Cyrix686 D-Link DI-70
【转载】设置端口映射DMZ主机---将内网web服务器映射公网
HackFun物联网开发实验室
08-21 4万+
设置端口映射DMZ主机---将内网web服务器映射公网 原链接 https://blog.csdn.net/qq_31739317/article/details/75008375   总的来说,原理很简单,只要路由器的WAN IP是公网的IP,就可以将自己内网的一些服务 发布到公网上去,让连接互联网的用户 直接可以访问 内部网络的服务。 实现方式有两种:1 设置DMZ主机; 2 设...
ADSL宽带路由器实现外网访问公司内网服务器_ 路由交换
weixin_34308389的博客
02-19 173
A公司通过ADSL访问互联网,并且内网通过ADSL宽带路由器共享一条ADSL线缆访问互联网。 随着A公司业务的发展,公司需要搭建一台Web服务器供外网访问。Web服务器主要包括一个公司网站,并且负责日常的订单的提交和出差员工相关业务信息的提交。 增加Web服务器后的公司网络,如下图。 由于外网访问服务器流量较小,所以使用ADSL带宽可以满足BENE...
接口 / DMZ】(5.2) 03. 多宽带映射服务器公网 FortiGate 防火墙
防火墙技术专栏
12-06 3113
很多单位都有多条宽带,通常会把其中一条宽带做VPN和映射服务器,而上网走另外的宽带,这样的好处是进出不受影响,那么问题来了,当其中一条宽带映射服务器,而用另一条宽带上网的时候,在内网用外网地址访问映射服务器,却访问不了,你知道原因吗?...
基于Linux透明式DMZ防火墙的实现.pdf
09-07
基于Linux透明式DMZ防火墙的实现.pdf
实验四cisco思科asa5505从内网访问DMZ服务器(真实防火墙)收集.pdf
11-23
实验指导了如何使用Cisco ASA 5505从内网访问DMZ服务器(真实防火墙)。实验的主要目标是创建VLAN、配置接口、配置内部转换地址池(NAT)、配置WWW和FTP服务器,并测试防火墙的连通性。 知识点一:VLAN的创建和...
防火墙设置DMZ归类.pdf
02-09
防火墙设置DMZ归类.pdf
【高级 / DNS】(7.0) 04. FortiGuard 动态 DNS (DDNS) FortiGate 防火墙
防火墙技术专栏
05-13 4231
拨号宽带在中小企业中大量存在,由于IP地址经常会变更,使得远程访问比较困难。FortiGuard动态DNS (DDNS) 允许远程管理员使用不变的域名访问FortiGate的面向互联网的接口,即使其IP地址发生变化。
接口 / DMZ】(5.4) 01. 映射服务器到外网 FortiGate 防火墙
防火墙技术专栏
02-15 1万+
当我们的防火墙可以上网了之后,把服务器映射到外网,允许从外网访问内部服务器,就成了优先考虑的问题了。ADSL拨号宽带与固定IP宽带映射略有不同,这里以ADSL拨号宽带作示例。
实验(7.2) 03. 部署物理实验环境(下) 远程访问
防火墙技术专栏
05-25 1120
考虑到有很多人初次接触FortiGate防火墙硬件,因此在讲解部署物理实验环境的时候,防火墙的初次登录内容介绍的比较多,以致于需要将文章分下、下二。下我们重点介绍服务器的配置及部署。
【隧道 / IPsec】(5.6) 02. IPsec 对宽带的要求 FortiGate 防火墙
防火墙技术专栏
09-04 3022
【简介】IPsec与宽带有关系吗?答案是有的,在飞塔防火墙,不同的宽带的连接设置是不同的。
FortiGate为多ADSL接口创建多个对应指定的DDNS动态域名
叫我小火柴
02-10 1205
本文介绍了如何在FortiGate中为多个拨号接口创建多个对应的DDNS动态域名。
Fortinet:Fortiguard DDNS &&& Fortiguard 动态域名服务器
Aggy阿吉的博客
04-15 4857
写这个的原因是因为,客户使用ddns连接VPN,过程中出现了失效的问题,导致分点的防火墙web管理和VPN全部不能使用了。 我是从三个方面排查的。 第一,ISP给的地址是否为城域网,百度一下就可以了。可以清楚的看见地址是城域网还是局域网,如果是局域网,那么是不能使用fortiguard ddns的。 第二,fortiguard 订阅是否过期了,这个功能可能是因为fortiguard过期了,但是实际...
【隧道 / IPsec】(5.2) 04. IPsec - 拨号宽带 to 拨号宽带 (策略模式) FortiGate 防火墙
防火墙技术专栏
09-06 7079
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙防火墙之间建立IPsec可以很好满足要求。ADSL拨号宽带物美价廉,只可惜每次拨号生成的外网IP都不同,两端都是ADSL拨号宽带要建立点对点连接,就要借助动态域名了。...
【集控】(6.0) 08. 被动外网注册设备 FortiManager 集中管控
防火墙技术专栏
10-24 1105
  【简介】我们已经知道了FortiManager可以注册互联网上的FortiGate防火墙设备,前提是需要有固定不变的外网IP,但是如果外网的FortiGate防火墙只有ADSL拨号,而且是那种最近才出现的100.64这种不能远程登录的IP,那有什么办法吗?...
逐条注释 ``` getenforce setenforce 0 cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.old.service sed -i -e 's/^Type=.*/Type=simple/g' -e '/ExecStart=/{s/\/usr\/sbin\/sshd/\/usr\/local\/sbin\/sshd/g}' /usr/lib/systemd/system/sshd.service sed -i "s/GSSAPIAuthentication/#GSSAPIAuthentication/" /etc/ssh/sshd_config sed -i "s/GSSAPICleanupCredentials/#GSSAPICleanupCredentials/" /etc/ssh/sshd_config sed -i "s/#PermitRootLogin yes/PermitRootLogin yes/" /etc/ssh/sshd_config sed -i "s/#UsePAM yes/UsePAM yes/" /etc/ssh/sshd_config chmod 600 /etc/ssh/ssh_host_rsa_key chmod 600 /etc/ssh/ssh_host_ecdsa_key chmod 600 /etc/ssh/ssh_host_ed25519_key mv /usr/local/sbin/sshd /usr/local/sbin/sshd.old202211 mv /lib64/libcrypto.so.1.1 /lib64/libcrypto.so.1.1.old202211 mv /srv/libcrypto.so.1.1 /lib64/ mv /srv/sshd /usr/local/sbin/ chmod 755 /usr/local/sbin/sshd chmod 755 /lib64/libcrypto.so.1.1 systemctl daemon-reload systemctl restart sshd.service source /etc/profile sshd -V useradd secure echo 'Ofm#6%3%fm0IWH'|passwd --stdin secure echo "secure ALL=(ALL) ALL" >> /etc/sudoers sed -i "s/PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config service sshd restart systemctl daemon-reload systemctl restart sshd.service sed -i "s/secure ALL=(ALL) ALL/secure ALL=(ALL) NOPASSWD: ALL/" /etc/sudoers chage -M 99999 secure sleep 2 useradd aqassoc echo 'dAxgDt^7LT' | passwd --stdin aqassoc mkdir /batshell chown -R aqassoc:aqassoc /batshell echo 'aqassoc ALL=(ALL) NOPASSWD:ALL,!/bin/su,!/sbin/init,!/sbin/shutdown,!/sbin/halt,!/sbin/reboot,!/usr/sbin/visudo,!/usr/bin/passwd' >> /etc/sudoers sh /srv/script.sh sleep 2 tar -xvf /srv/ssl-1.1.1o* -C /srv/ mv /usr/bin/openssl /usr/bin/openssl.old mv /usr/include/openssl /usr/include/openssl.old cp /etc/ld.so.conf /etc/ld.so.conf.old ln -s /srv/ssl-1.1.1o/bin/openssl /usr/bin/openssl ln -s /srv/ssl-1.1.1o/include/openssl /usr/include/openssl srvlib=`cat /etc/ld.so.conf | grep '/srv/ssl-1.1.1o/lib/' | wc -l` if [ $srvlib -eq 0 ];then sed -i 's/\/srv/#\/srv/'g /etc/ld.so.conf echo '/srv/ssl-1.1.1o/lib/' >> /etc/ld.so.conf else echo 'ssl-1.1.1n is ok!' fi ldconfig -v |grep ssl openssl version rm -rf /srv/root_password.sh rm -rf /srv/ssl-1.1.1o_7.tar.gz curl --connect-timeout 10 -# http://133.64.86.246/iso/shell/initialization.sh -o /tmp/initialization.sh # 只有两个参数 dcn/dmz netbond/netskip baseline/baseskip sh /tmp/initialization.sh dcn netbond/netskip baseline/baseskip ```
07-15
以下是对每个命令的逐条注释: ``` getenforce ``` 显示SELinux的执行模式。 ``` setenforce 0 ``` 禁用SELinux。 ``` cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.old.service ``` 备份sshd.service文件。 ``` sed -i -e 's/^Type=.*/Type=simple/g' -e '/ExecStart=/{s/\/usr\/sbin\/sshd/\/usr\/local\/sbin\/sshd/g}' /usr/lib/systemd/system/sshd.service ``` 修改sshd.service文件中的Type和ExecStart路径。 ``` sed -i "s/GSSAPIAuthentication/#GSSAPIAuthentication/" /etc/ssh/sshd_config ``` 注释掉sshd_config文件中的GSSAPIAuthentication行。 ``` sed -i "s/GSSAPICleanupCredentials/#GSSAPICleanupCredentials/" /etc/ssh/sshd_config ``` 注释掉sshd_config文件中的GSSAPICleanupCredentials行。 ``` sed -i "s/#PermitRootLogin yes/PermitRootLogin yes/" /etc/ssh/sshd_config ``` 取消注释sshd_config文件中的PermitRootLogin行。 ``` sed -i "s/#UsePAM yes/UsePAM yes/" /etc/ssh/sshd_config ``` 取消注释sshd_config文件中的UsePAM行。 ``` chmod 600 /etc/ssh/ssh_host_rsa_key chmod 600 /etc/ssh/ssh_host_ecdsa_key chmod 600 /etc/ssh/ssh_host_ed25519_key ``` 设置ssh_host_rsa_key、ssh_host_ecdsa_key和ssh_host_ed25519_key文件的权限为600。 ``` mv /usr/local/sbin/sshd /usr/local/sbin/sshd.old202211 mv /lib64/libcrypto.so.1.1 /lib64/libcrypto.so.1.1.old202211 mv /srv/libcrypto.so.1.1 /lib64/ mv /srv/sshd /usr/local/sbin/ chmod 755 /usr/local/sbin/sshd chmod 755 /lib64/libcrypto.so.1.1 systemctl daemon-reload systemctl restart sshd.service ``` 备份并移动sshd和libcrypto.so.1.1文件,设置权限,并重新加载和重启sshd服务。 ``` source /etc/profile sshd -V ``` 加载/etc/profile文件中的环境变量,并显示sshd的版本信息。 ``` useradd secure echo 'Ofm#6%3%fm0IWH'|passwd --stdin secure echo "secure ALL=(ALL) ALL" >> /etc/sudoers sed -i "s/PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config service sshd restart systemctl daemon-reload systemctl restart sshd.service sed -i "s/secure ALL=(ALL) ALL/secure ALL=(ALL) NOPASSWD: ALL/" /etc/sudoers chage -M 99999 secure sleep 2 ``` 创建用户secure并设置密码,将用户secure加入sudoers文件,修改sshd_config文件以禁止root登录,重启sshd服务,并将用户secure的权限更改为无需输入密码执行任意命令,设置密码有效期限为99999天。 ``` useradd aqassoc echo 'dAxgDt^7LT' | passwd --stdin aqassoc mkdir /batshell chown -R aqassoc:aqassoc /batshell echo 'aqassoc ALL=(ALL) NOPASSWD:ALL,!/bin/su,!/sbin/init,!/sbin/shutdown,!/sbin/halt,!/sbin/reboot,!/usr/sbin/visudo,!/usr/bin/passwd' >> /etc/sudoers sh /srv/script.sh sleep 2 ``` 创建用户aqassoc并设置密码,创建/batshell目录并设置所有权和组,将用户aqassoc加入sudoers文件,运行/srv/script.sh脚本,延迟2秒。 ``` tar -xvf /srv/ssl-1.1.1o* -C /srv/ mv /usr/bin/openssl /usr/bin/openssl.old mv /usr/include/openssl /usr/include/openssl.old cp /etc/ld.so.conf /etc/ld.so.conf.old ln -s /srv/ssl-1.1.1o/bin/openssl /usr/bin/openssl ln -s /srv/ssl-1.1.1o/include/openssl /usr/include/openssl srvlib=`cat /etc/ld.so.conf | grep '/srv/ssl-1.1.1o/lib/' | wc -l` if [ $srvlib -eq 0 ];then sed -i 's/\/srv/#\/srv/'g /etc/ld.so.conf echo '/srv/ssl-1.1.1o/lib/' >> /etc/ld.so.conf else echo 'ssl-1.1.1n is ok!' fi ldconfig -v |grep ssl openssl version ``` 解压缩ssl-1.1.1o文件到/srv/目录,备份并移动openssl和openssl目录,备份和修改ld.so.conf文件,检查是否包含/srv/ssl-1.1.1o/lib/路径,刷新动态链接库缓存并显示包含"ssl"字符串的库,显示OpenSSL的版本信息。 ``` rm -rf /srv/root_password.sh rm -rf /srv/ssl-1.1.1o_7.tar.gz curl --connect-timeout 10 -# http://133.64.86.246/iso/shell/initialization.sh -o /tmp/initialization.sh ``` 删除/srv/root_password.sh和/srv/ssl-1.1.1o_7.tar.gz文件,并从指定URL下载initialization.sh脚本到/tmp/initialization.sh。 ``` # 只有两个参数 dcn/dmz netbond/netskip baseline/baseskip sh /tmp/initialization.sh dcn netbond/netskip baseline/baseskip ``` 运行/tmp/initialization.sh脚本,并传递参数dcn、netbond/netskip和baseline/baseskip。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值