Firewalld防火墙(二)
????博客主页: 微笑的段嘉许博客主页
????欢迎关注????点赞????收藏⭐留言????
????本文由微笑的段嘉许原创!
????51CTO首发时间:????2022年10月日31????
✉️坚持和努力一定能换来诗与远方!
????作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!
⭐本文介绍⭐
上一章介绍了Linux防火墙,并简单的编写了防火墙规则。Liunx防火墙在很多时候承担着连接企业内、外网的重任,除了提供数据包过滤功能以外,还提供了一些基本的网关应用。本文将介绍Linux防火墙的地址转换策略,分别掌握两个典型的应用:局域网共享一个公网IP地址接入Internet发布位于内网的应用服务器。
????理论讲解:
IP伪装与端口转发
在互联网发展初期,设计者们并没有想到互联网会发展到现在这个空前繁荣的阶段,设计的IPv4地址空间只有32位。但随着互联网的发展,IP地址变得严重缺乏,并且地址分配不均匀,所以就在原有IPv4地址空间的基础上划分出来三段私网地址空间:10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。这些地址可以在企业或者公司内部被重复使用,但是不能用于互联网,因为上述三个范围内的地址无法在Internet上被路由。
于是NAT(网络地址转换)技术便产生了,当用户数据包经过NAT设备时,NAT设备将源地址替换为公网IP地址,二返回的数据包就可以被路由。NAT技术一般都是在企业边界路由器或者防火墙上来配置。
Firewalld支持两种类型的NAT:IP地址伪装和端口转发。
- IP地址伪装
地址伪装(masquerade):通过地址伪装,NAT设备将经过设备的包转发到制定的接收方,同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时,会将目的地址为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持IPv4,不支持IPv6 - 端口转发
端口转发(Forward-port):也称为目的地址转换或端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上的不同端口,或不同计算机上的端口。企业内网的服务器一般都采用私网地址,可以通过端口转发将使用私网地址的服务器发布到公网,以便让互联网访问。例如,当接收互联网用户的HTTP请求时,网关服务器判断数据包的目标地址与目标端口,一旦匹配到指定规则,则将其目标地址修改为内网真正的服务器地址,从而建立有效连接。
????实验配置与实现:
拓扑图:
推荐步骤:
- 服务器客户配置 IP 地址设置网络,安装 apache 服务启动服务设置主页
- 启动防火墙服务接口添加指定区域,Web 服务器启动防火墙服务接口添加指定区域
- 配置 DMZ 和 external 区域的 Web 服务远程管理使用 12345 端口访问,阻止内网 ping通 DMZ 和 external 区域的 WEB 服务器,允许内网主机使用 https 协议访问 DMZ 和external 区域的 web 服务器,配置端口映射将 DMZ 服务器使用 http 协议将 IP 地址192.168.10.10 的 80 端口映射到防火墙外网 IP 地址 192.168.20.20 的 80 端口
一、服务器客户配置 IP 地址设置网络,安装 apache 服务启动服务设置主页
1、 配置 firewalld 防火墙服务器
1)添加三块网卡分别连接三个区域
2)配置 ens2 网卡 IP 地址
3)生成 DMZ 网卡和外网网卡
4)配置 DMZ 区域网卡 IP 地址
5)配置 external 区域网卡 IP 地址
6)查看配置的 IP 地址
2、配置 DMZ 区域的 web 服务器
1)修改网卡模式
2)修改 IP 地址
3)查看 IP 地址
4)删除系统源挂载系统到/mnt
5)安装 apache 服务器
6)设置网站主页
7)启动服务设置开机自动启动
3、配置 external 区域的 web 服务器
1)设置网卡模式
2)配置 IP 地址
3)查看 IP 地址
4)删除系统源挂载系统到/mnt
5)安装 apache 服务器和 https 模块
6)设置网站主页
7)启动服务设置开机自动启动
4、配置 Win10 客户端
1) 修改 Win10 网卡模式
2)配置 IP 地址
3)查看 IP 地址
二、启动防火墙服务接口添加指定区域,Web 服务器启动防火墙服务接口添加指定区域
1、配置防火墙服务器
1)启动防火墙服务器设置开机自动启动
2)查看防火墙服务运行状态
3)将接口加入指定的区域
4)设置默认区域
5)查看激活区域
6)开启路由功能
2、配置 DMZ 区域的 web 服务器防火墙
1)启动防火墙服务设置开机自动启动
2)查看防火墙服务运行状态
3)将接口加入指定的区域
4)设置默认区域
5)查看激活的区域
3、配置 external 区域的 web 服务器防火墙
1)启动防火墙服务器设置开机自动启动
2)查看防火墙服务运行状态
3)接口加入到防火墙区域
4)设置防火墙默认区域
5)查看激活的防火墙区域
三、配置 DMZ 和 external 区域的 Web 服务远程管理使用12345 端口访问,阻止内网 ping 通 DMZ 和external 区域的WEB 服务器,允许内网主机使用 https 协议访问 DMZ 和external 区域的 web 服务器,配置防火墙伪装功能内网客户端访问外网网站 IP 地址进行伪装,配置端口映射将 DMZ 服务器使用 http 协议将 IP 地址 192.168.10.10 的 80 端口映射到防火墙外网 IP 地址 192.168.20.20 的 80 端口
1、配置 DMZ 和 external 区域的 Web 服务远程管理使用12345 端口访问
1)修改 DMZ 区域的 WEB 服务器 ssh 配置文件
2)重启启动 ssh 服务查看服务运行状态
3)添加防火墙规则允许指定端口 ssh 访问
4)修改 external 区域的 web 服务器 ssh 配置文件
5)重启 sshd 服务监听 ssh 服务运行状态
6)添加防火墙规则允许 12345 端口
7)内网客户端 ssh 远程访问 DMZ 的 web 服务器
8)内网客户端 ssh 远程访问 externa 的 web 服务器
3)内网客户端验证测试
2、阻止内网 ping 通 DMZ 和 external 区域的 WEB 服务器
1)配置防火墙规则禁止 ping 通 DMZ 区域 web 服务器
2)配置防火墙规则禁止 ping 通 external 区域 web 服务器
3)内网客户端验证测试
3、允许内网主机使用 https 协议访问 DMZ 和 external 区域的 web 服务器
1)配置防火墙规则允许内网主机使用 https 协议访问 DMZ 区域的 web 服务器
2)配置防火墙规则允许内网主机使用 https 协议访问 external 区域 web 服务器
3)使用内网客户端访问 DMZ 区域的网站
4)使用内网客户端访问 internal 区域的网站
4、配置防火墙伪装功能内网客户端访问外网网站 IP 地址进行伪装
1)删除防火墙自带的外网伪装功能
2)添加伪装功能将 192.168.100.0/24 网络伪装到防火墙外网 IP 地址
3) 查看外网服务器日志伪装成为了防火墙外网 IP 地址访问的网站
4)访问网站服务器
5、配置端口映射将 DMZ 服务器使用 http 协议将 IP 地址192.168.10.10 的 80 端口映射到防火墙外网 IP 地址 192.168.20.20 的 80 端口
1)配置防火墙规则将 DMZ 区域的 192.168.10.10 的 80 端口通过 http 协议映射到防火墙外网 IP 地址和端口
2)配置防火墙规则允许外网 http 协议和端口
3)查看防火墙服务器配置的规则
4)配置 DMZ 区域的 web 服务器防火墙允许 http 协议和端口入站
5)查看 DMZ 区域的 web 服务器防火墙规则
6)外网 external 区域 web 服务器访问发布的网站
7)查看 DMZ 区域 WEB 服务器日志
????作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!