保证Linux系统安全之配置firewalld防火墙的地址伪装及端口转发实例,可跟做!!!...

最新推荐文章于 2023-09-24 09:12:43 发布
最新推荐文章于 2023-09-24 09:12:43 发布
阅读量265 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45186298/article/details/100164263
版权

关于防火墙基础配置可参考博文:保证Linux系统安全之CentOS 7 firewalld防火墙入门详解

案例环境:

保证Linux系统安全之配置firewalld防火墙的地址伪装及端口转发实例,可跟做!!!

需求描述:

  • 连接内网网卡ens33地址为192.168.1.1,分配到firewall的trusted区域;
    连接服务器网卡ens37地址为192.168.2.1,分配到firewall的dmz区域;
    网关服务器连接互联网网卡ens38地址为192.168.3.1,为公网IP地址,分配到firewall的external区域;
  • 网站服务器和网关服务器均通过SSH来远程管理,为了安全,将SSH默认端口改为12345;
  • 网站服务器开启 HTTPS,过滤未加密的HTTP流量;
  • 网站务器拒绝ping测试,网关服务器拒绝来自互联网上的ping测试;
  • 公司内网用户需要通过网关服务器共享上网;
  • 互联网用户需要访问网站服务器;

操作步骤

  • 基本环境配置;
  • DMZ网站服务器环境搭建并启动服务;
  • DMZ网站服务器上启动并配置firewalld防火墙策略;
  • Internet测试网站环境搭建并启动服务、设置防火墙规则;
  • 网关服务器配置firewalld策略;
  • 配置IP伪装与端口转发;

案例实施

1.基本环境配置
(1)确认网关服务器地址
[root@localhost ~]# ifconfig ens33
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.1  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::46cb:a832:aea4:7b65  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:00:11:89  txqueuelen 1000  (Ethernet)
        RX packets 158  bytes 46815 (45.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 31  bytes 4270 (4.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@localhost ~]# ifconfig ens37
ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.2.1  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::8e69:6ed5:da33:fda4  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:00:11:93  txqueuelen 1000  (Ethernet)
        RX packets 104  bytes 27490 (26.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 189  bytes 31923 (31.1 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
[root@localhost ~]# ifconfig ens38
ens38: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.3.1  netmask 255.255.255.0  broadcast 192.168.3.255
        inet6 fe80::5348:53e2:b3bc:d35b  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:00:11:9d  txqueuelen 1000  (Ethernet)
        RX packets 101  bytes 27238 (26.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 188  bytes 31304 (30.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
(2)网关服务器开启路由功能
[root@localhost ~]# vim /etc/sysctl.conf
                 ………………               //省略部分内容,添加以下内容
net.ipv4.ip_forward = 1
[root@localhost ~]# sysctl -p
net.ipv4.ip_forward = 1
(3)配置DMZ区域网站服务器地址、网关
[root@localhost ~]# ifconfig ens33
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.2.2  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::8744:c79c:521f:823f  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:2b:56:b5  txqueuelen 1000  (Ethernet)
        RX packets 114  bytes 34398 (33.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 30  bytes 4162 (4.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.2.1     0.0.0.0         UG    100    0        0 ens33
(4)配置Internet测试网站服务器IP地址、网关
[root@localhost ~]# ifconfig ens33
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.3.2  netmask 255.255.255.0  broadcast 192.168.3.255
        inet6 fe80::7c8b:1ec0:7e4d:ac6  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:98:41:ac  txqueuelen 1000  (Ethernet)
        RX packets 113  bytes 31388 (30.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 40  bytes 4541 (4.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@localhost ~]# route -n 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.3.1     0.0.0.0         UG    100    0        0 ens33
(5)配置内部客户机IP地址、网关
[root@localhost ~]# ifconfig ens33
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.2  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::9bb5:2c48:1095:d75a  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:fb:76:60  txqueuelen 1000  (Ethernet)
        RX packets 106  bytes 29223 (28.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 31  bytes 4349 (4.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 ens33
2.DMZ网站服务器环境并启动服务
(1)开启firewalld防火墙
[root@localhost ~]# systemctl start firewalld
(2)搭建httpd服务
[root@localhost ~]# yum -y install httpd
//基于http访问的HTTP网站
[root@localhost ~]# yum -y install httpd mod_ssl
//基于https访问的HTTP网站
[root@localhost ~]# systemctl start httpd
//开启HTTP服务
(3)更改SSH的监听端口(重启服务时建议关闭SELinux)
[root@localhost ~]# vim /etc/ssh/sshd_config 
                   …………       //省略部分内容,修改以下内容
Port 12345
[root@localhost ~]# setenforce 0
//临时关闭SELinux
[root@localhost ~]# systemctl restart sshd
//重启ssh服务
3.DMZ网站服务器上启动并配置firewalld防火墙策略
(1)设置防火墙默认区域为dmz区域
[root@localhost ~]# firewall-cmd --set-default-zone=dmz
success
(2)为dmz区域添加相应服务及端口
[root@localhost ~]# firewall-cmd --zone=dmz --add-service=https
success
[root@localhost ~]# firewall-cmd --zone=dmz --add-port=12345/tcp
success
(3)禁止ping测试
[root@localhost ~]# firewall-cmd --zone=dmz --add-icmp-block=echo-request
success
(4)将默认的ssh服务删除
[root@localhost ~]# firewall-cmd --zone=dmz --remove-service=ssh
success
(5)保存当前防火墙配置
[root@localhost ~]# firewall-cmd --runtime-to-permanent
success
//将临时配置转换为永久配置
[root@localhost ~]# firewall-cmd --list-all --zone=dmz
//查看并确认配置信息
dmz (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: https
  ports: 12345/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  sourceports: 
  icmp-blocks: echo-request
  rich rules:
4. Internet测试网站环境搭建并启动服务、设置防火墙规则

搭建方法可参考第2、3步

5. 网关服务器配置firewalld策略
(1)开启防火墙
[root@localhost ~]# systemctl start firewalld
(2)设置默认区域为externel区域
[root@localhost ~]# firewall-cmd --set-default-zone=external
success
(3)将各个网卡分配至指定区域
[root@localhost ~]# firewall-cmd --change-interface=ens33 --zone=trusted
success
[root@localhost ~]# firewall-cmd --change-interface=ens37 --zone=dmz
success
(4)内部客户机访问DMZ网站测试
[root@localhost ~]# firewall-cmd --runtime-to-permanent
success
[root@localhost ~]# firewall-cmd --get-active-zones
dmz
  interfaces: ens37
external
  interfaces: ens38
trusted
  interfaces: ens33
(5)内部客户机访问网站服务器

保证Linux系统安全之配置firewalld防火墙的地址伪装及端口转发实例,可跟做!!!
保证Linux系统安全之配置firewalld防火墙的地址伪装及端口转发实例,可跟做!!!

(6)更改ssh服务监听端口
[root@localhost ~]# vim /etc/ssh/sshd_config 
                   …………       //省略部分内容,修改以下内容
Port 12345
[root@localhost ~]# setenforce 0
//临时关闭SELinux
[root@localhost ~]# systemctl restart sshd
//重启ssh服务
(7)配置external区域添加TCP的12345端口、移除ssh服务
[root@localhost ~]# firewall-cmd --zone=external --add-port=12345/tcp
success
[root@localhost ~]# firewall-cmd --zone=external --remove-service=ssh
success
(8)配置external区域进行ping测试、保存为永久配置
[root@localhost ~]# firewall-cmd --zone=external --add-icmp-block=echo-request
success
[root@localhost ~]# firewall-cmd --runtime-to-permanent
success
(9)Internet测试服务器远程网关服务器
[root@localhost ~]# ssh -p 12345 192.168.3.1
The authenticity of host '[192.168.3.1]:12345 ([192.168.3.1]:12345)' can't be established.
ECDSA key fingerprint is b2:4e:e8:f9:23:9f:85:dc:54:87:97:eb:15:cc:b0:48.
Are you sure you want to continue connecting (yes/no)?
(10)内部客户机远程DMZ网站服务器
[root@localhost ~]# ssh -p 12345 192.168.2.2
The authenticity of host '[192.168.2.2]:12345 ([192.168.2.2]:12345)' can't be established.
ECDSA key fingerprint is 25:54:5c:d5:ce:e1:04:9f:25:19:be:73:ce:93:86:54.
Are you sure you want to continue connecting (yes/no)?
6.网关服务器上配置IP转发与端口转发

默认external区域有IP转发功能!

(1)删除external区域中的IP伪装,并利用富规则开启
[root@localhost ~]# firewall-cmd --remove-masquerade --zone=external
success
[root@localhost ~]# firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 masquerade'
success
(2)dmz网站服务器测试访问Internet测试网站

保证Linux系统安全之配置firewalld防火墙的地址伪装及端口转发实例,可跟做!!!

(3)配置端口转发实现Internet测试网站访问dmz区域网站服务器(直接规则)
[root@localhost ~]# firewall-cmd --zone=external --add-forward-port=port=443:proto=tcp:toaddr=192.168.2.2
success
//网关服务器将互联网测试机的请求转发到dmz区域网站服务器
(4)测试

保证Linux系统安全之配置firewalld防火墙的地址伪装及端口转发实例,可跟做!!!

(5)配置端口转发实现Internet测试网站访问dmz区域网站服务器(富规则)

需在ens38网卡上配置一个临时IP地址

[root@localhost ~]# firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 destination address=192.168.3.100 forward-port port=443 protocol=tcp to-addr=192.168.2.2'
success
(6)测试

保证Linux系统安全之配置firewalld防火墙的地址伪装及端口转发实例,可跟做!!!

人间不值得-
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
firewalld防火墙(二)实验案例:ip地址伪装端口转发
weixin_45014003的博客
05-11 737
实验要求: 全网互通 搭建网站 配置防火墙,划分区域,配置默认区域 配置ip地址伪装centos01-centos03 配置端口映射centos04-centos01 实验步骤: 一、全网互通 1、配置IP地址,默认网关 Centos01 Centos02 Centos03 Centos04 2、开启路由转发,实现全网互通 二、搭建网站 Centos01 Centso03 Centos04 ...
保证Linux系统安全firewalld防火墙配置地址伪装端口转发详解
小健健的博客
08-31 601
通过保证Linux系统安全firewalld防火墙入门详解认识Linux系统firewalld防火墙,并可以编写一些相对简单一些的防火墙规则。Linux防火墙可以充当路由器(网关)。路由器上的NAT技术,同样可以通过Linux防火墙来实现。地址伪装端口转发说白了就是路由器中的NAT技术。 一、地址伪装端口转发简介 firewalld防火墙支持两种类型的NAT: (1)地址伪装 地址伪...
Firewalld防火墙(二)
最新发布
m0_73311601的博客
09-24 200
通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口。用于表达基本的允许/拒绝规则、配置记录(面向syslog和auditd)、端口转发伪装和速率限制。用于表达基本的允许/拒绝规则、配置记录(面向syslog和auditd)、端口转发伪装和速率限制。指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口。Firewalld中直接规则、区域规则、富规则匹配的先后顺序是什么?2、端口转发Forward-port)
iptables和firewalld防火墙
m0_60655253的博客
11-09 687
三章 firewalld(二) 1、IP地址伪装 通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的原地址更改为NAT的接口地址转发到不同步目的地。当是返回数据包是,会将目的地之修改为原始主机地址并路由。 2、端口转发 也叫端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上不同端口,或不同计算机上的端口。 firewall-cmd高级配置 1、直接规则 1)直接只用iptables或firewalld语句规则写入管理区域 2)执行优先级最高。优先级:直接规则→.
firewalld防火墙IP伪装端口转发
qq_50748405的博客
05-12 1786
实验案例:firewall防火墙地址伪装端口转发 实验环境 某公司的Web服务器、网关服务器均采用Linux CentOS 7.3操作系统,如图所示。为了加强网络访问的安全性,要求管理员熟悉firewall防火墙规则的编写,以制定有效、可行的主机防护策略。 实验拓扑: 需求描述: 网关服务器ens33网卡分配到trusted(信任)区域,ens34网卡分配到external(外部)区域,ens35网卡分配到dmz(非军事)区域。 网站服务器和网关服务器将ssh默认端口都改为12345 网站服务器开启h
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linuxFirewalld防火墙
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
Linux基础课件-firewalld服务配置.pptx
11-02
Linux操作系统基础
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
示范了Unix和Linux下如何利用Raw Socket构造伪装的TCP、IP、UDP的包 (2001-01-20, Unix_Linux, 10KB, 2625次)
05-07
示范了Unix和Linux下如何利用Raw Socket构造伪装的TCP、IP、UDP的包 (2001-01-20, Unix_Linux, 10KB, 2625次)
firewalld防火墙(二)IP地址伪装端口转发 IP地址伪装端口转发 富语言规则和直接规则 配置IP地址伪装端口转发
月亮不营业Mk的博客
12-07 877
firewalld防火墙(二) 结构 开启三台虚拟机 开启centos01(内网LAN) 开启centos02(将02模拟成为防火墙)添加一块vmnet2网卡 开启centos03(外网WAN) 将网卡改为vmnet2 centos02(防火墙) 给新增的网卡复制一个配置文件 本次内网为100.0 外网为200.0 查看新增网卡的id [root@centos02 ~]# ifconfig 给ens34复制一个配置文件 [root@centos02 ~]# cp /etc/sysconfig/ne
scp连接远程传输报错The authenticity of host ...... can‘t be established.
zhangxj_study的博客
11-04 4393
报错为两台机器之间不能建立信任连接 我当前机器名为hserver2 1、使用 ssh -o StrictHostKeyChecking=no hserver3 (上面hserver3是你要远程的那台机器名称,该输入hserver3的地方就输入需要远程的ip),回车输入hserver3的root密码,看到terminal已经切换到hserver3的root用户,已经远程连接hserver3 。 2、此时在当前终端执行 ssh -o StrictHostKeyChecking=no hserver2
linux防火墙配置端口转发,保证Linux系统安全firewalld防火墙配置地址伪装端口转发详解...
weixin_39831170的博客
05-01 621
通过保证Linux系统安全firewalld防火墙入门详解认识Linux系统firewalld防火墙,并可以编写一些相对简单一些的防火墙规则。Linux防火墙可以充当路由器(网关)。路由器上的NAT技术,同样可以通过Linux防火墙来实现。地址伪装端口转发说白了就是路由器中的NAT技术。一、地址伪装端口转发简介firewalld防火墙支持两种类型的NAT:(1)地址伪装地址伪装:基于源地址进...
33. linuxfirewalld防火墙地址伪装地址转发
qq_43687755的博客
08-19 1379
Lesson33 linux防火墙iptables的使用 文章目录1. 防火墙的相关概念 1. 防火墙的相关概念
centos 7的firewalld防火墙配置IP伪装端口转发(内附配置案例)
weixin_34293059的博客
06-18 2424
IP地址伪装端口转发都属于NAT(网络地址转换)。 地址伪装端口转发的区别如下: IP地址伪装:通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持ip...
Firewalld ip伪装端口转发
热门推荐
tallercc的博客
11-10 1万+
Firewalld  ip伪装端口转发         伪装: 此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于IPv4。     # firewall-cmd --permanent --zone= --add-masquerade # firewall-cmd --permanent
firewalld防火墙配置IP伪装端口转发
weixin_45116475的博客
09-02 2953
IP地址伪装端口转发都属于NAT(网络地址转换)。 地址伪装端口转发的区别如下: IP地址伪装: 1、通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包 2、源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时,会将目的地址修改 3、为原始主机的地址路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。 4、类似于NAT技术中的端口多路复用(PAT)。...
Firewalld防火墙地址伪装端口转发
weixin_44401148的博客
01-09 2355
Firewalld防火墙地址伪装端口转发 一.实验环境 实验要求 推荐步骤 二.实验步骤 1.在网关服务器上配置主机名及网卡地址 Hostname gateway-server 为网关服务器添加两块网卡,分别为ens37和ens38 为三块网卡设置合适的ip地址 ens33:192.168.1.2/24 Ens37:192.168.2.2/24 Ens38:192.168.3.2/24...
linux7防火墙拒绝ip访问,FirewallD防火墙常用经验——开放端口——拒绝某个IP访问...
05-30
好的,我明白了,您想了解如何使用FirewallD防火墙拒绝某个IP访问。下面是一些步骤: 1. 首先,您需要确定要拒绝的IP地址。您可以使用以下命令来查看当前连接到您的服务器的IP地址: ``` netstat -ntu | awk '{...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值