【接口篇 / DMZ】(5.2) ❀ 03. 多宽带映射服务器到公网 ❀ FortiGate 防火墙

已于 2022-07-26 16:45:48 修改
阅读量3k 收藏 3
点赞数 1
分类专栏: # DMZ 文章标签: 服务器 网络 linux
于 2016-12-06 15:57:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/53487191
版权

  【简介】很多单位都有多条宽带,通常会把其中一条宽带做VPN和映射服务器,而上网走另外的宽带,这样的好处是进出不受影响,那么问题来了,当其中一条宽带映射了服务器,而用另一条宽带上网的时候,在内网用外网地址访问映射的服务器,却访问不了,你知道原因吗?

  网络拓扑

        Wan1专用用来上网,Wan2用来映射服务器。

  创建虚拟IP

        虚拟IP即VIP,虚拟IP是用来做目的地址转换使用。

        ① 选择菜单【策略&对象】-【对象】-【虚拟IP】,点击子菜单 Create New 建立新的虚拟IP,输入新建虚拟IP的用户名,这个用户名会在策略中被引用。选择映射的接口,这里可以理解为映射到Wan2口,映射的IP地址填写服务器的IP地址,端口转发填写80端口。

  建立访问策略

        所有的虚拟IP,都需要引用到防火墙策略中才能生效。    

        ① 新建策略允许从外网访问内网映射的服务器,目的地址,就是选择输入前面建立的虚拟IP的名称。服务选择输入HTTP,这样就从虚拟IP到策略,都限制只使用Web功能。

  从另一条宽带访问映射服务器

        很多时候,我们映射了服务器到外网,但是在内网的电脑也要用外网地址访问,而上网走的是另一条宽带,这就会出现用外网地址打不开映射服务器的现象。    

        ① 解决这个困恼的方法很简单,那就是再建一条策略,除了允许走Wan1上网之外,也允许走Wan2接口访问指定映射外网IP。

  测试效果

        现在服务器映射完成了,可以查看映射的结果。

        ① 从内网打开映射的外网IP,可以看到成功的打开了,那么问题又来了,这真是走Wan1出去,再到Wan2,再到服务器的吗?

       ② 不,其实他们的数据是这样流动的!

飞塔技术-老梅子   QQ:57389522

飞塔老梅子
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
飞塔防火墙详细配置指南
07-16
飞塔防火墙的详细配置指南从安装到配置一条龙教程超详细
华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT
热门推荐
m0_60444349的博客
11-06 2万+
一、组网需求 1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常。 (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/24)访问外网PC。 (b)当dx或yd 任意一条出口线路出现故障时,所有的流量访问都自动切换到另外一条正常的线路上,保障出口流量正常。 2:http SERVER服务器放置在TRUST区域,通过NAT发布到外网。要求外网PC能访问此服务器,同时内网也可以通过公网IP访问企业内部的http服务器。F..
出口场景下的NAT
aaheguosong的博客
06-05 141
notice: 不要把两个出口的安全区域全部划分到同一个名称的区域下,如果这样,nat-policy 永远会被执行第一条。方法1: 配置NAT Server 带上 Zone 参数(两个出接口不在相同的安全区域)方法2:两个出接口在相同安全区域,不必带 zone参数,但是要有 no-reverse。配置NAT Server。
防火墙配置NAT 多出口
qq_44757725的博客
11-13 4048
防火墙配置NAT多出口 配置实例 某企业的网络拓扑如下 部门A:vlan11:192.168.11.1 /24 部门B:vlan12:192.168.12.1/24 两个部门均通过vlan10接入防火墙,从而访问外部网络。内部服务器开启了web服务以及ftp服务,外部客户端只能访问内部的web服务和ftp服务。防火墙有联通和电信两个出口。 设备配置 防火墙配置 interface Gigabit...
云上公网架构设计和安全管理
qcttmm的博客
01-22 343
随着企业业务云化进程逐渐进入深水区,简单地使用云上资源出入公网已经无法满足业务的诉求,安全、成本、权限、监控等诉求的迭代,需要企业有系统性地视角来考虑如何做好公网出入口(DMZ)的规划设计。云上公网的设计可以帮助企业更加统一、安全的管理自己的云上互联网出入口,同时可以实现统一监控运维和公网的成本优化。将企业的WAN能力放到DMZ VPC,在该VPC中部署NAT网关、NLB、ALB等云产品可以联动DDos防护、WAF、云防火墙等安全产品保障公网出口安全,防止潜在针对云资源的攻击侵入。
联想网御 多网多口DMZ
weixin_33976072的博客
05-05 149
联想网御 5.6.1 需求描述上图所示的网络有四个网络区段 5.6.1需求描述 上图所示的网络有四个网络区段。其中内部网络区段的网络地址是192.168.1.0,掩码是 255.255.255.0;DMZ1 的网络地址是172.16.1.0,掩码是255.255.255.0;DMZ2 的网络地址 是172.16.2.0,掩码是255.255.255....
接口 / DMZ】(5.4) 01. 映射服务器到外网 FortiGate 防火墙
防火墙技术专栏
02-15 1万+
当我们的防火墙可以上网了之后,把服务器映射到外网,允许从外网访问内部服务器,就成了优先考虑的问题了。ADSL拨号宽带与固定IP宽带映射略有不同,这里以ADSL拨号宽带作示例。
实验(7.2) 04. 映射内网服务器公网IP 远程访问
防火墙技术专栏
05-29 7555
由于服务器的IP是内网地址,所以无法从公网直接访问服务器。要想远程访问服务器,最简单的办法就是将服务器映射公网IP,然后通过公网IP加端口号的方式进行访问。
防火墙区域配置
weixin_46516401的博客
03-31 506
什么是防火墙防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。
接口 / Lan】(5.6) 01. 内网接口设置 FortiGate 防火墙
防火墙技术专栏
02-14 1万+
低端飞塔防火墙内网接口默认为交换模式,所有接口共用一个IP,如果需要每个接口都独立设置IP,就需要改变接口的模式。
飞塔防火墙DMZ配置
10-17
飞塔防火墙DMZ配置,让你远离病毒和攻击
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
11-26
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
基于Linux透明式DMZ防火墙的实现.pdf
09-07
基于Linux透明式DMZ防火墙的实现.pdf
防火墙设置DMZ归类.pdf
02-09
防火墙设置DMZ归类.pdf
实验四cisco思科asa5505从内网访问DMZ服务器(真实防火墙)收集.pdf
11-23
实验四cisco思科asa5505从内网访问DMZ服务器(真实防火墙)收集.pdf
接口 / DMZ】(5.2) 02. 固定 IP 宽带映射服务器公网 FortiGate 防火墙
防火墙技术专栏
12-06 8154
早期单位的对外访问服务器通常是托管在宽带运营商的中心机房,管理自由程度不高,现在大多数单位自建机房,服务器就在身边,可以方便的将服务器通过固定IP宽带映射到外网,允许从外网进行访问。......
接口 / DMZ】(5.2) 01. ADSL 拨号宽带映射服务器公网 FortiGate 防火墙
防火墙技术专栏
12-06 3710
除了固定IP宽带可以映射服务器到外网之外,ADSL拨号宽带也可以映射服务器到外网,但是由于ADSL拨号宽带每次连接后IP地址都不同,这就要用到飞塔防火墙特有的DDNS动态域名功能了。
Linux报错处理:‘abrt-cli status’ timed out
最新发布
Rita_rr的博客
04-23 542
abrt-cli是ABRT(Automated Bug Reporting Tool)的命令行接口,用于在Linux系统中处理和报告程序崩溃。 如果abrt-cli status命令超时,这可能是由于多种原因,包括但不限于系统资源不足、ABRT服务未正常运行、网络问题或配置错误。
逐条注释 ``` getenforce setenforce 0 cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.old.service sed -i -e 's/^Type=.*/Type=simple/g' -e '/ExecStart=/{s/\/usr\/sbin\/sshd/\/usr\/local\/sbin\/sshd/g}' /usr/lib/systemd/system/sshd.service sed -i "s/GSSAPIAuthentication/#GSSAPIAuthentication/" /etc/ssh/sshd_config sed -i "s/GSSAPICleanupCredentials/#GSSAPICleanupCredentials/" /etc/ssh/sshd_config sed -i "s/#PermitRootLogin yes/PermitRootLogin yes/" /etc/ssh/sshd_config sed -i "s/#UsePAM yes/UsePAM yes/" /etc/ssh/sshd_config chmod 600 /etc/ssh/ssh_host_rsa_key chmod 600 /etc/ssh/ssh_host_ecdsa_key chmod 600 /etc/ssh/ssh_host_ed25519_key mv /usr/local/sbin/sshd /usr/local/sbin/sshd.old202211 mv /lib64/libcrypto.so.1.1 /lib64/libcrypto.so.1.1.old202211 mv /srv/libcrypto.so.1.1 /lib64/ mv /srv/sshd /usr/local/sbin/ chmod 755 /usr/local/sbin/sshd chmod 755 /lib64/libcrypto.so.1.1 systemctl daemon-reload systemctl restart sshd.service source /etc/profile sshd -V useradd secure echo 'Ofm#6%3%fm0IWH'|passwd --stdin secure echo "secure ALL=(ALL) ALL" >> /etc/sudoers sed -i "s/PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config service sshd restart systemctl daemon-reload systemctl restart sshd.service sed -i "s/secure ALL=(ALL) ALL/secure ALL=(ALL) NOPASSWD: ALL/" /etc/sudoers chage -M 99999 secure sleep 2 useradd aqassoc echo 'dAxgDt^7LT' | passwd --stdin aqassoc mkdir /batshell chown -R aqassoc:aqassoc /batshell echo 'aqassoc ALL=(ALL) NOPASSWD:ALL,!/bin/su,!/sbin/init,!/sbin/shutdown,!/sbin/halt,!/sbin/reboot,!/usr/sbin/visudo,!/usr/bin/passwd' >> /etc/sudoers sh /srv/script.sh sleep 2 tar -xvf /srv/ssl-1.1.1o* -C /srv/ mv /usr/bin/openssl /usr/bin/openssl.old mv /usr/include/openssl /usr/include/openssl.old cp /etc/ld.so.conf /etc/ld.so.conf.old ln -s /srv/ssl-1.1.1o/bin/openssl /usr/bin/openssl ln -s /srv/ssl-1.1.1o/include/openssl /usr/include/openssl srvlib=`cat /etc/ld.so.conf | grep '/srv/ssl-1.1.1o/lib/' | wc -l` if [ $srvlib -eq 0 ];then sed -i 's/\/srv/#\/srv/'g /etc/ld.so.conf echo '/srv/ssl-1.1.1o/lib/' >> /etc/ld.so.conf else echo 'ssl-1.1.1n is ok!' fi ldconfig -v |grep ssl openssl version rm -rf /srv/root_password.sh rm -rf /srv/ssl-1.1.1o_7.tar.gz curl --connect-timeout 10 -# http://133.64.86.246/iso/shell/initialization.sh -o /tmp/initialization.sh # 只有两个参数 dcn/dmz netbond/netskip baseline/baseskip sh /tmp/initialization.sh dcn netbond/netskip baseline/baseskip ```
07-15
以下是对每个命令的逐条注释: ``` getenforce ``` 显示SELinux的执行模式。 ``` setenforce 0 ``` 禁用SELinux。 ``` cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd.old.service ``` 备份sshd.service文件。 ``` sed -i -e 's/^Type=.*/Type=simple/g' -e '/ExecStart=/{s/\/usr\/sbin\/sshd/\/usr\/local\/sbin\/sshd/g}' /usr/lib/systemd/system/sshd.service ``` 修改sshd.service文件中的Type和ExecStart路径。 ``` sed -i "s/GSSAPIAuthentication/#GSSAPIAuthentication/" /etc/ssh/sshd_config ``` 注释掉sshd_config文件中的GSSAPIAuthentication行。 ``` sed -i "s/GSSAPICleanupCredentials/#GSSAPICleanupCredentials/" /etc/ssh/sshd_config ``` 注释掉sshd_config文件中的GSSAPICleanupCredentials行。 ``` sed -i "s/#PermitRootLogin yes/PermitRootLogin yes/" /etc/ssh/sshd_config ``` 取消注释sshd_config文件中的PermitRootLogin行。 ``` sed -i "s/#UsePAM yes/UsePAM yes/" /etc/ssh/sshd_config ``` 取消注释sshd_config文件中的UsePAM行。 ``` chmod 600 /etc/ssh/ssh_host_rsa_key chmod 600 /etc/ssh/ssh_host_ecdsa_key chmod 600 /etc/ssh/ssh_host_ed25519_key ``` 设置ssh_host_rsa_key、ssh_host_ecdsa_key和ssh_host_ed25519_key文件的权限为600。 ``` mv /usr/local/sbin/sshd /usr/local/sbin/sshd.old202211 mv /lib64/libcrypto.so.1.1 /lib64/libcrypto.so.1.1.old202211 mv /srv/libcrypto.so.1.1 /lib64/ mv /srv/sshd /usr/local/sbin/ chmod 755 /usr/local/sbin/sshd chmod 755 /lib64/libcrypto.so.1.1 systemctl daemon-reload systemctl restart sshd.service ``` 备份并移动sshd和libcrypto.so.1.1文件,设置权限,并重新加载和重启sshd服务。 ``` source /etc/profile sshd -V ``` 加载/etc/profile文件中的环境变量,并显示sshd的版本信息。 ``` useradd secure echo 'Ofm#6%3%fm0IWH'|passwd --stdin secure echo "secure ALL=(ALL) ALL" >> /etc/sudoers sed -i "s/PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config service sshd restart systemctl daemon-reload systemctl restart sshd.service sed -i "s/secure ALL=(ALL) ALL/secure ALL=(ALL) NOPASSWD: ALL/" /etc/sudoers chage -M 99999 secure sleep 2 ``` 创建用户secure并设置密码,将用户secure加入sudoers文件,修改sshd_config文件以禁止root登录,重启sshd服务,并将用户secure的权限更改为无需输入密码执行任意命令,设置密码有效期限为99999天。 ``` useradd aqassoc echo 'dAxgDt^7LT' | passwd --stdin aqassoc mkdir /batshell chown -R aqassoc:aqassoc /batshell echo 'aqassoc ALL=(ALL) NOPASSWD:ALL,!/bin/su,!/sbin/init,!/sbin/shutdown,!/sbin/halt,!/sbin/reboot,!/usr/sbin/visudo,!/usr/bin/passwd' >> /etc/sudoers sh /srv/script.sh sleep 2 ``` 创建用户aqassoc并设置密码,创建/batshell目录并设置所有权和组,将用户aqassoc加入sudoers文件,运行/srv/script.sh脚本,延迟2秒。 ``` tar -xvf /srv/ssl-1.1.1o* -C /srv/ mv /usr/bin/openssl /usr/bin/openssl.old mv /usr/include/openssl /usr/include/openssl.old cp /etc/ld.so.conf /etc/ld.so.conf.old ln -s /srv/ssl-1.1.1o/bin/openssl /usr/bin/openssl ln -s /srv/ssl-1.1.1o/include/openssl /usr/include/openssl srvlib=`cat /etc/ld.so.conf | grep '/srv/ssl-1.1.1o/lib/' | wc -l` if [ $srvlib -eq 0 ];then sed -i 's/\/srv/#\/srv/'g /etc/ld.so.conf echo '/srv/ssl-1.1.1o/lib/' >> /etc/ld.so.conf else echo 'ssl-1.1.1n is ok!' fi ldconfig -v |grep ssl openssl version ``` 解压缩ssl-1.1.1o文件到/srv/目录,备份并移动openssl和openssl目录,备份和修改ld.so.conf文件,检查是否包含/srv/ssl-1.1.1o/lib/路径,刷新动态链接库缓存并显示包含"ssl"字符串的库,显示OpenSSL的版本信息。 ``` rm -rf /srv/root_password.sh rm -rf /srv/ssl-1.1.1o_7.tar.gz curl --connect-timeout 10 -# http://133.64.86.246/iso/shell/initialization.sh -o /tmp/initialization.sh ``` 删除/srv/root_password.sh和/srv/ssl-1.1.1o_7.tar.gz文件,并从指定URL下载initialization.sh脚本到/tmp/initialization.sh。 ``` # 只有两个参数 dcn/dmz netbond/netskip baseline/baseskip sh /tmp/initialization.sh dcn netbond/netskip baseline/baseskip ``` 运行/tmp/initialization.sh脚本,并传递参数dcn、netbond/netskip和baseline/baseskip。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值