Firewalld 防火墙

原创

一抹泪光 2023-01-31 15:01:40 ©著作权

©著作权归作者所有：来自51CTO博客作者一抹泪光的原创作品，请联系作者获取转载授权，否则将追究法律责任

Firewalld 防火墙_centos

一.服务器客户配置 IP 地址设置网络，安装 apache 服务启动服务设置主页

二.启动防火墙服务接口添加指定区域，Web 服务器启动防火墙服务接口添加指定区域

三.配置客户端允许访问 DMZ 的网站服务器使用 http 协议，配置允许客户端使用 https 协议访问 external 区域的网站，配置防火墙规则阻止客户端 ping 通 external 区域的网站服务器，配置防火墙规则允许客户都安远程 ssh 登录 DMZ 区域的 Web 服务器并修改端口 2222

一、服务器客户配置 IP 地址设置网络，安装 apache 服务启动服务设置主页

1、配置 firewalld 防火墙服务器

1）添加三块网卡分别连接三个区域

Firewalld 防火墙_客户端_02

2）配置 ens2 网卡 IP 地址

[root@centos01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32
TYPE=Ethernet
BOOTPROTO=static
NAME=ens32
DEVICE=ens32
ONBOOT=yes
IPADDR=192.168.100.20
NETMASK=255.255.255.0
[root@centos01 ~]# systemctl restart network

3）生成 DMZ 网卡和外网网卡

[root@centos01 ~]# cd /etc/sysconfig/network-scripts/
[root@centos01 network-scripts]# cp ifcfg-ens32 ifcfg-ens34
[root@centos01 network-scripts]# cp ifcfg-ens32 ifcfg-ens35

4）配置 DMZ 区域网卡 IP 地址

[root@centos01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens34
TYPE=Ethernet
BOOTPROTO=static
NAME=ens34
DEVICE=ens34
ONBOOT=yes
IPADDR=192.168.10.20
NETMASK=255.255.255.0
[root@centos01 ~]# systemctl restart network

5）配置 external 区域网卡 IP 地址

[root@centos01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens35
TYPE=Ethernet
BOOTPROTO=static
NAME=ens35
DEVICE=ens35
ONBOOT=yes
IPADDR=192.168.20.20
NETMASK=255.255.255.0
[root@centos01 ~]# systemctl restart network

6）查看配置的 IP 地址

Firewalld 防火墙_客户端_03

2、配置 DMZ 区域的 web 服务器

1）修改网卡模式

Firewalld 防火墙_centos_04

2）修改 IP 地址

[root@centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32
TYPE=Ethernet
BOOTPROTO=static
NAME=ens32
DEVICE=ens32
ONBOOT=yes
IPADDR=192.168.10.10
NETMASK=255.255.255.0
GATEWAY=192.168.10.20
[root@centos02 ~]# systemctl restart network

3）查看 IP 地址

Firewalld 防火墙_服务器_05

4）删除系统源挂载系统到/mnt

[root@centos02 ~]# rm -rf /etc/yum.repos.d/CentOS-*
[root@centos02 ~]# mount /dev/cdrom /mnt/
mount: /dev/sr0 写保护，将以只读方式挂载

5）安装 apache 服务器

[root@centos02 ~]# yum -y install httpd

6）设置网站主页

[root@centos02 ~]# echo "www.dmz.com" > /var/www/html/index.html

7）启动服务设置开机自动启动

[root@centos02 ~]# systemctl start httpd
[root@centos02 ~]# systemctl enable httpd
[root@centos02 ~]# netstat -anptu | grep httpd
tcp6 0 0 :::80 :::* LISTEN 2150/httpd

3、配置 external 区域的 web 服务器

1）设置网卡模式

Firewalld 防火墙_服务器_06

2）配置 IP 地址

[root@centos03 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32
TYPE=Ethernet
BOOTPROTO=static
NAME=ens32
DEVICE=ens32
ONBOOT=yes
IPADDR=192.168.20.10
NETMASK=255.255.255.0
GATEWAY=192.168.20.20
[root@centos03 ~]# systemctl restart network

3）查看 IP 地址

Firewalld 防火墙_客户端_07

4）删除系统源挂载系统到/mnt

[root@centos03 ~]# rm -rf /etc/yum.repos.d/CentOS-*
[root@centos03 ~]# mount /dev/cdrom /mnt/
mount: /dev/sr0 写保护，将以只读方式挂载

5）安装 apache 服务器和 https 模块

[root@centos03 ~]# yum -y install httpd mod_ssl

6）设置网站主页

[root@centos03 ~]# echo "www.external.com" > 
/var/www/html/index.html

7）启动服务设置开机自动启动

[root@centos03 ~]# systemctl start httpd
[root@centos03 ~]# systemctl enable httpd
[root@centos03 ~]# netstat -anptu | grep httpd
tcp6 0 0 :::80 :::* LISTEN 
2051/httpd
tcp6 0 0 :::443 :::* LISTEN 
2051/httpd

4、配置 Win10 客户都安

1）修改 Win10 网卡模式

Firewalld 防火墙_客户端_08

2）配置 IP 地址

Firewalld 防火墙_centos_09

3）查看 IP 地址

Firewalld 防火墙_客户端_10

二、启动防火墙服务接口添加指定区域，Web 服务器启动防火墙服务接口添加指定区域

1、配置防火墙服务器

1）启动防火墙服务器设置开机自动启动

[root@centos01 ~]# systemctl start firewalld
[root@centos01 ~]# systemctl enable firewalld

2）查看防火墙服务运行状态

Firewalld 防火墙_客户端_11

3）将接口加入指定的区域

[root@centos01 ~]# firewall-cmd --zone=trusted --changeinterface=ens32
The interface is under control of NetworkManager, setting zone to 
'trusted'.
success
[root@centos01 ~]# firewall-cmd --zone=dmz --changeinterface=ens34
The interface is under control of NetworkManager, setting zone to 
'dmz'.
success
[root@centos01 ~]# firewall-cmd --zone=external --changeinterface=ens35
The interface is under control of NetworkManager, setting zone to 
'external'.
Success

4）设置默认区域

[root@centos01 ~]# firewall-cmd --set-default-zone=trusted 
Success

5）查看激活区域

[root@centos01 ~]# firewall-cmd --get-active-zones 
dmz
 interfaces: ens34
external
 interfaces: ens35
trusted
 interfaces: ens32

6）开启路由功能

[root@centos01 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@centos01 ~]# sysctl -p
net.ipv4.ip_forward = 1

2、配置 DMZ 区域的 web 服务器防火墙

1）启动防火墙服务设置开机自动启动

[root@centos02 ~]# systemctl start firewalld
[root@centos02 ~]# systemctl enable firewalld

2）查看防火墙服务运行状态

Firewalld 防火墙_客户端_12

3）将接口加入指定的区域

[root@centos02 ~]# firewall-cmd --zone=dmz --changeinterface=ens32
The interface is under control of NetworkManager, setting zone to 
'dmz'.
success

4）设置默认区域

[root@centos02 ~]# firewall-cmd --set-default-zone=dmz 
Success

5）查看激活的区域

[root@centos02 ~]# firewall-cmd --get-active-zones 
dmz
 interfaces: ens32

3、配置 external 区域的 web 服务器防火墙

1）启动防火墙服务器设置开机自动启动

[root@centos03 ~]# systemctl start firewalld
[root@centos03 ~]# systemctl enable firewalld

2）查看防火墙服务运行状态

Firewalld 防火墙_centos_13

3）接口加入到防火墙区域

[root@centos03 ~]# firewall-cmd --zone=external --add-interface=ens32
The interface is under control of NetworkManager, setting zone to 
'external'.
success

4）设置防火墙默认区域

[root@centos03 ~]# firewall-cmd --set-default-zone=external 
success

5）查看激活的防火墙区域

[root@centos03 ~]# firewall-cmd --get-active-zones 
external
 interfaces: ens32

三、配置客户端允许访问 DMZ 的网站服务器使用 http 协议，配置允许客户端使用 https 协议访问 external 区域的网站，配置防火墙规则阻止客户端 ping 通 external 区域的网站服务器，配置防火墙规则允许客户都安远程 ssh 登录 DMZ 区域的 Web 服务器并修改端口 2222

1、配置客户端允许访问 DMZ 的网站服务器使用 http 协议

1）添加防火墙规则允许 http 协议通信

[root@centos02 ~]# firewall-cmd --zone=dmz --add-service=http
success
[root@centos02 ~]# firewall-cmd --zone=dmz --add-port=80/tcp
success

2）查看防火墙规则

Firewalld 防火墙_客户端_14

3）客户端访问 web 服务器验证

Firewalld 防火墙_centos_15

2、配置客户端允许访问 external 区域的网站服务器使用https 协议

1）添加防火墙规则允许客户都安访问 external 区域的网站服务器使用 https 协议

[root@centos03 ~]# firewall-cmd --zone=external --addservice=https
success
[root@centos03 ~]# firewall-cmd --zone=external --add-port=443/tcp
Success

2）查看防火墙区域规则

Firewalld 防火墙_客户端_16

3）客户端访问验证

Firewalld 防火墙_客户端_17

3、配置防火墙规则阻止客户端 ping 通 external 区域的网站服务器

1）配置防火墙规则阻止客户端 ping 通 external 区域的网站服务器

[root@centos03 ~]# firewall-cmd --zone=external --add-icmp-block=echo-request 
success
[root@centos03 ~]# firewall-cmd --zone=external --add-icmp-block=echo-reply 
success

2）查看配置防火墙规则

Firewalld 防火墙_服务器_18

3）客户端 ping 目录网站服务器验证

Firewalld 防火墙_服务器_19

4、配置允许客户都安使用 ssh 远程访问 DMZ 区域中的 web服务器，ssh 端口号为 2222

1）配置修改 ssh 服务器端口号

[root@centos02 ~]# vim /etc/ssh/sshd_config
Port 2222
ListenAddress 192.168.10.10

2）重启 ssh 服务查看服务运行状态

[root@centos02 ~]# systemctl restart sshd
[root@centos02 ~]# netstat -anptu | grep sshd
tcp 0 0 192.168.10.10:2222 0.0.0.0:* LISTEN 
2983/sshd

3）配置客户都安允许 ssh 修改端口号

[root@centos02 ~]# firewall-cmd --zone=dmz --add-port=2222/tcp
Success

4）查看防火墙规则

Firewalld 防火墙_服务器_20

5）客户都安使用 CRT 验证

Firewalld 防火墙_客户端_21

6）输入用户名字密码

Firewalld 防火墙_服务器_22

Firewalld 防火墙_centos_23

上一篇：配置 Apache 虚拟主机

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯