配置firewall防火墙的地址伪装和端口转发

如图3.1所示，企业网络网关服务器和网站服务器采用LinuxCentOS 7.3 操作系统，网关服务器安装3块千兆网卡，分别连接Internet.企业内网、网站服务器。

➢网关服务器连接互联网网卡 ens33地址为100.1.1.10, 为公网IP地址,分配到firewall 的external区域:连接内网网卡ens37地址为192.168.1.1. 分配到firewall的trusted区域:连接服务器网卡ens38地址为192.168.2.1. 分配到firewall的dmz区域。
➢网站服务器和网关服务器均通过SSH来远程管理，为了安全，将SSH默认端口改为12345.
➢网站服务器开启https,过滤未加密的http流量。
➢网站务器拒绝ping,网关服务器拒绝来自互联网上的ping.
➢公司内网用户需 要通过网关服务器共享上网。
➢互联网用户需要访问网站服务器.
这里未配置IP伪装与端口转发前面配置请参考https://blog.csdn.net/weixin_44907813/article/details/100169063
接下配置一下
配置 IP伪装与端口转发
1.内网用户通过网关服务器共享上网如果在外网测试机.上搭建网站服务，无论内部测试机还是DMZ网站服务器访问外网网站，都可以访问。原因是网关服务器external区域默认开启了地址伪装。通过以下测试可以验证.上述说法。
(1) 外网测试机搭建网站服务，并添加网页测试内容。

(2) 在内部测试机上访问外网网站，结果是可以访问，如图3.3所示。

(3) 在DMZ的网站服务器.上测试，同样可以访问。

(4) 查看网关服务器的external区域是否开启了地址伪装。


(5) 源地址为192.168.1 .0/24网段的地址开启地址IP伪装。在网关服务器上关闭external 的地址伪装，添加富规则，要求exteral 区域内，源地址为192. 168.1.0/24网段的地址开启地址IP伪装。
在DMZ的网站服务器.上测试，发现无法访问外网网站。

2.配置端口转发实现互联网用户访问内部web服务器
(1) 在网关服务器上做如下配置。

(2) 在互联网测试机.上访问内部web服务成功，如图3.4所示。

(3) 端口转发也可以使用富规则，这样就可以更大程度地控制端口转发规则，如给内网的Web服务器申请了一个新的公网IP地址100.1.1.15.那么如何做端口转发呢?
①需要将新公网地址100.1.1.15配置在网关服务器的外网接口ens33上,作为第二个IP地址。

②使用富规则配置端口转发。

③在互联网测试机.上访问测试结果，如图3.5所示。