企业内网防火墙搭建实验
在一些企业中经常会搭建一些如下图所示的网络架构,在企业内部不仅可以正常访问内部网络,也可以正常访问外网。此外外网客户端也可以正常访问企业内部的web服务器。运维人员通常会通过额外端口号远程ssh连接web服务器进行日常维护。下图则是本次实验环境的网络拓扑图。
实验环境准备
一台内网客户端IP地址:192.168.20.20/24
一台防火墙作为内网、外网和web的网关。IP地址分别为:192.168.20.2/24、192.168.159.2/24、192.168.133.2/24.
一台内网web服务器IP地址为:192.168.133.100/24。
一台外网客户端IP地址为:192.168.159.100/24.
web端的防火墙规则
首先在web端需要做一下规则。
1.将web的端口放入到dmz区域。
2.移除防火墙dmz区域的ssh服务。
3.防火墙过滤http请求,方通https请求。
1.将web的ens33端口放入到dmz区域。
firewall-cmd --set-default-zone=dmz
2.移除防火墙dmz区域的ssh服务。防火墙过滤http请求,方通https请求。
firewall-cmd --zone=dmz --remove-service=ssh --permanent
firewall-cmd --zone=dmz --add-service=https --permanent
3.重载防火墙策略。
firewall-cmd --reload
4.查看修改后的策略
[root@web ~]# firewall-cmd --zone=dmz --list-all
dmz (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: https
ports: 12345/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:在web端的dmz区域添加禁止ping防火墙规则。
firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent修改web端的ssh端口。
企业防火墙配置规则
首先需要开启防火墙的路由功能。
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p将ens33、ens36和ens37分别配置到防火墙的trusted、dmz和external区域。
将防火墙的默认区域设置为external区域。
firewall-cmd --set-default-zone=external
firewall-cmd --change-interface=ens33 --zone=trusted --permanent
firewall-cmd --change-interface=ens36 --zone=dmz --permanent
已经可以远程12345端口连接web端了。
external区域做端口转发
防火墙需要将外部的443端口的请求发送到内网的web端进行处理。
firewall-cmd --add-forward-port=port=443:proto=tcp:toaddr=192.168.133.100 --permanent
来访请求的端口和协议,需要转发到的端口和IP地址。
firewall-cmd --reload
重载防火墙
external区域禁止ssh连接请求。
firewall-cmd --zone=external --remove-service=ssh --permanent
firewall-cmd --reload防火墙的地址伪装
将内网的客户端IP地址映射成公网地址,类似于easy ip。
firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.20.0/24 masquerade'这样企业防火墙配置就完成了。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
