Firewall防火墙应用案例

案例需求：

一、web主机

1、通过8000端口提供www服务，22端口提供ssh服务

2、其他主机通过80端口访问web服务

3、允许ssh远程管理

4、禁止ping请求

二、gateway主机   开启路由转发

1、通过地址伪装实现内网访问外网

2、外网主机可以访问内网web（通过80端口访问）和ssh（通过2222端口访问）

环境拓扑：

一、配置Web服务器

1.安装并配置httpd服务

修改httpd的主配置文件，修改监听的端口号为8000.

重启httpd服务

修改网卡的设备文件，更改IP地址和网关地址，之后重启network服务。

可以在本机访问apache的测试页面，检查web服务是否配置成功。

 

2.设置端口转发

可以看到public zone是活动区域和缺省区域，并且ssh服务已开启。

将从80端口进入的协议为tcp的信息转发到8000端口

重启firewalld服务

3.在内网PC上测试

在内网PC上成功访问web服务器。

ssh远程登录也成功了

4.阻塞对Web服务的ping请求

在web服务器上将echo-reques添加到icmp-block.

重启firewalld服务

可以看到public zone中已经添加了阻止echo-request请求。

在内网PC上ping 192.168.10.2，发现无法访问目标主机。

二、配置网关服务器

1.配置IP地址

网关服务器有两块网卡，分别配置相应的IP地址。

 

2.设置活动区域

默认public zone是活动区域，两块网卡都属于这个区域。

使用以上命令，改变网卡属于的区域，即改变活动区域。

重启firewalld服务后，看到活动区域变为了 internal zone和external zone。

3.设置端口转发，使内网能够访问外网

在external区域中设置IP地址伪装

需要开启路由转发功能

在web服务器上测试到外网的连通性，发现可以通信。

 

4.设置端口转发，使外网PC能够访问web服务器

将从80端口进入的协议为tcp的信息转发到ip地址为192.168.10.2的主机上。（即web服务器）

将从2222端口进入的协议为tcp的信息转发到web服务器的22号端口。

可以查看一下external区域的规则。

 

5.在外网PC上测试

在外网PC的浏览器上输入网关服务器的外网IP地址，发现可以访问Web服务器。

注意：外网PC不能设置网关。

使用ssh远程登录，IP地址为201.1.1.1，端口为2222，连接成功，现在就可以远程管理web服务器了。