配置firewall防火墻的地址偽裝和端口轉發(fā)實例-創(chuàng)新互聯(lián)

網關服務器和網站服務器都采用centos 7操作系統(tǒng)；
網關服務器安裝3塊千兆網卡，分別連接在Internet、企業(yè)內網、網站服務器。

要求如下：
網關服務器連接互聯(lián)網卡ens33配置為公網IP地址，分配到firewall的external區(qū)域；連接內網網卡ens37地址為192.168.1.1，分配到firewall的trusted區(qū)域；連接服務器網卡ens38地址為192.168.2.1，分配到firewall的DMZ區(qū)域。
網站服務器和網關服務器都通過SSH來遠程管理，為了安全，將SSH默認端口改為12345。
網站服務器開啟https，過濾未加密的http流量。
網站服務器拒絕ping，網關服務器拒絕來自互聯(lián)網上的ping。
內網用戶需要通過網關服務器共享上網。
互聯(lián)網用戶需要訪問網站服務器。
基本的環(huán)境配置：
網關服務器配置 網卡 ：

創(chuàng)新互聯(lián)公司長期為超過千家客戶提供的網站建設服務，團隊從業(yè)經驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網生態(tài)環(huán)境。為美蘭企業(yè)提供專業(yè)的網站制作、成都做網站，美蘭網站改版等技術服務。擁有十余年豐富建站經驗和眾多成功案例,為您定制開發(fā)。

[root@localhost network-scripts]# ip a  = ip addr
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:fc:60:4b brd ff:ff:ff:ff:ff:ff
    inet 100.0.0.1/8 brd 100.255.255.255 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::5f65:9c3d:d218:7cea/64 scope link 
       valid_lft forever preferred_lft forever
3: ens36: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:fc:60:55 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global ens36
       valid_lft forever preferred_lft forever
    inet6 fe80::7456:2bbc:dc20:31bd/64 scope link 
       valid_lft forever preferred_lft forever
4: ens37: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:fc:60:5f brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.1/24 brd 192.168.2.255 scope global ens37
       valid_lft forever preferred_lft forever
    inet6 fe80::1e90:6601:56c2:c9ba/64 scope link 
       valid_lft forever preferred_lft forever

啟動網關服務器上的路由轉發(fā)功能：

[root@localhost /]# vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1
[root@localhost /]# sysctl -p
net.ipv4.ip_forward = 1

配置 web 服務器的網卡：

[root@localhost /]# ip a
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:2f:24:4b brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.10/24 brd 192.168.2.255 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::19de:d9a7:568a:f34f/64 scope link 
       valid_lft forever preferred_lft forever
[root@localhost /]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.2.1     0.0.0.0         UG    100    0        0 ens33

Internet 測試機網卡配置：

[root@localhost /]# ip a
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:45:66:64 brd ff:ff:ff:ff:ff:ff
    inet 100.0.0.10/8 brd 100.255.255.255 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::3ebc:8f75:cd28:e516/64 scope link tentative 
       valid_lft forever preferred_lft forever

web 服務器環(huán)境搭建：

[root@localhost ~]# systemctl start firewalld           #啟動防火墻
[root@localhost ~]# yum -y install httpd mod_ssl          #安裝httpd和mod_ssl
[root@localhost ~]# systemctl start httpd   #啟動httpd服務
[root@localhost ~]# systemctl enable httpd          #設置為開機自啟
[root@localhost ~]# vim /var/www/html/index.html          #新建網站測試首頁文件
<h2>test.com </h2>
[root@localhost ~]# vim /etc/ssh/sshd_config              #更改SSH的偵聽端口（需關閉SELinux）：
          ................
Port 12345
         ................
[root@localhost ~]# systemctl restart sshd

在網站服務器上配置firewalld防火墻：
1、設置默認區(qū)域為dmz區(qū)域：

[root@localhost ~]# firewall-cmd --set-default-zone=dmz
success

2、為dmz區(qū)域打開https服務并添加tcp的12345端口：

[root@localhost ~]# firewall-cmd --zone=dmz --add-service=https --permanent
success
[root@localhost ~]# firewall-cmd --zone=dmz --add-port=12345/tcp --permanent
success

3、禁止ping：

[root@localhost ~]# firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent
success

4、因為已經更改了預定義SSH服務的默認端口，所以將預定義SSH服務移除：

[root@localhost ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent
success

5、重新加載firewalld配置，并查看之前的配置：

[root@localhost ~]# firewall-cmd --reload
success
[root@localhost ~]# firewall-cmd --list-all
dmz (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: https
  ports: 12345/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: echo-request
  rich rules:

網關服務器上配置firewalld防火墻：
1、將網卡添加至指定區(qū)域：

[root@localhost /]# systemctl start firewalld                     #啟用防火墻
[root@localhost /]# firewall-cmd --set-default-zone=external          #設置默認區(qū)域為external
success
[root@localhost /]# firewall-cmd --change-interface=ens37 --zone=trusted    #將ens37添加至trusted區(qū)域
The interface is under control of NetworkManager, setting zone to 'trusted'.
success
[root@localhost /]# firewall-cmd --change-interface=ens38 --zone=dmz     #將ens38添加至dmz區(qū)域
The interface is under control of NetworkManager, setting zone to 'dmz'.
success

2、查看配置，并保存為永久

[root@localhost /]# firewall-cmd --get-active-zones 
dmz
  interfaces: ens37
external
  interfaces: ens33
trusted
  interfaces: ens36
[root@localhost /]# firewall-cmd --runtime-to-permanent          # 將當前的配置保存到文件中
success

3、在企業(yè)內部主機上測試：

4、更改SSH的偵聽端口，并重啟服務（需關閉SELinux）：

[root@localhost ~]# vim /etc/ssh/sshd_config      
          ................
Port 12345
         ................
[root@localhost ~]# systemctl restart sshd

5、配置external區(qū)域添加tcp的12345端口：

[root@localhost /]# firewall-cmd --zone=external --add-port=12345/tcp --permanent 
success

6、external區(qū)域移除SSH服務：

[root@localhost /]# firewall-cmd --zone=external --remove-service=ssh --permanent 
success

7、配置external區(qū)域禁止ping：

[root@localhost /]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent
success

8、重新加載防火墻配置：

[root@localhost /]# firewall-cmd --reload
success

測試ssh連接：
在 Internet 測試機通過SSH連接網關服務器的外部接口地址的12345端口：

[root@localhost /]# ssh -p 12345 100.0.0.1
The authenticity of host '[100.0.0.1]:12345 ([100.0.0.1]:12345)' can't be established.
ECDSA key fingerprint is 68:df:0f:ac:c7:75:df:02:88:7d:36:6a:1a:ae:27:23.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[100.0.0.1]:12345' (ECDSA) to the list of known hosts.
[email protected]'s password: 
Last login: Sun Sep  1 16:36:33 2019
[root@localhost ~]#

使用內網測試機SSH登錄web網站服務器的12345端口：

[root@localhost /]# ssh -p 12345 192.168.2.10
The authenticity of host '[192.168.2.10]:12345 ([192.168.2.10]:12345)' can't be established.
ECDSA key fingerprint is 68:df:0f:ac:c7:75:df:02:88:7d:36:6a:1a:ae:27:23.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.2.10]:12345' (ECDSA) to the list of known hosts.
[email protected]'s password: 
Last login: Sun Sep  1 16:36:39 2019
[root@localhost ~]#

實現(xiàn) IP 偽裝與端口轉發(fā)：
1、在Internet測試機上搭建web服務，用來測試：

[root@localhost ~]# yum -y install httpd
[root@localhost ~]# vim /var/www/html/index.html
<h2> www.baidu.com</h2>
[root@localhost ~]# systemctl enable httpd
[root@localhost ~]# systemctl start httpd

2、在內部測試機和dmz的網站服務區(qū)都可以訪問外網的網站（若訪問不了，則可能是公網測試機的防火墻配置問題，可先將公網測試機的防火墻關閉，或放行相關服務的流量即可）：

3、查看網關服務器的external區(qū)域是否開啟了地址偽裝：

[root@localhost /]# firewall-cmd --list-all --zone=external 
external (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: 
  ports: 12345/tcp
  protocols: 
  masquerade: yes                     # 表示地址偽裝已啟用
  forward-ports: 
  sourceports: 
  icmp-blocks: echo-request
  rich rules:

4、只為源地址192.168.1.0/24網段的地址開啟地址IP偽裝。
在網關服務器上關閉external默認的地址偽裝，添加富規(guī)則，要求external區(qū)域內，源地址為192.168.1.0/24網段的地址開啟地址IP偽裝：

[root@localhost ~]# firewall-cmd --remove-masquerade --zone=external 
success
[root@localhost ~]# firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 masquerade'
success

在dmz區(qū)域上測試訪問發(fā)現(xiàn)無法訪問，但內網主機卻可以：

[root@localhost /]# curl http://100.0.0.10
curl: (7) Failed connect to 100.0.0.10:80; No route to host

5、配置端口轉發(fā)實現(xiàn)互聯(lián)網用戶可以訪問內部web服務器：
在網關服務器上配置：

[root@localhost /]# firewall-cmd --zone=external --add-forward-port=port=443:proto=tcp:toaddr=192.168.2.10
success

在Internet測試機上訪問內網的web服務器成功：

六、使用富規(guī)則實現(xiàn)端口轉發(fā)：

上述配置完成后，若現(xiàn)在公司申請了一個新的公網ip地址100.0.0.254，那么就需要重新做端口轉發(fā)了：

1、將新申請的公網地址100.0.0.254配置在網關服務器的外網接口ens33上，作為第二個IP地址：

[root@localhost /]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
BOOTPROTO=static
IPADDR0=100.0.0.1                                 # 改到下四行
PREFIX0=24
IPADDR1=100.0.0.254
PREFIX1=24                                           # 添加成兩個IP
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
DEVICE=ens33
ONBOOT=yes
ZONE=external

[root@localhost /]# ifdown ens33;ifup ens33             # 重啟網卡使配置生效

[root@localhost /]# ip a                           # 查看配置是否成功
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:fc:60:4b brd ff:ff:ff:ff:ff:ff
    inet 100.0.0.1/24 brd 100.0.0.255 scope global ens33
       valid_lft forever preferred_lft forever
    inet 100.0.0.254/24 brd 100.0.0.255 scope global secondary ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::5f65:9c3d:d218:7cea/64 scope link 
       valid_lft forever preferred_lft forever

2、使用富規(guī)則配置端口轉發(fā)：

[root@localhost /]# firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 destination address=100.0.0.254/24 forward-port port=443 protocol=tcp to-addr=192.168.2.10' 
success

3、驗證：

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

新聞名稱：配置firewall防火墻的地址偽裝和端口轉發(fā)實例-創(chuàng)新互聯(lián)
文章網址：http://www.jbt999.com/article6/ceogig.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供手機網站建設、App設計、網站維護、網站制作、企業(yè)建站、靜態(tài)網站

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：[email protected]。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)