配置firewalld防火墙

                               配置firewalld防火墙

案例5:配置firewalld防火墙

5.1问题

本例要求为两个虚拟机server0desktop0配置防火墙策略:

允许从172.25.0.0/24网段的客户机访问server0desktop0的任何服务

禁止从my133t.org域(172.34.0.0/24网段)的客户机访问server0desktop0的任何服务

172.25.0.0/24网络中的系统,访问server0的本地端口5423将被转发到80

上述设置必须永久有效

5.2方案

RHEL7的防火墙体系根据所在的网络场所区分,提供了预设的安全区域:

public:仅允许访问本机的sshd等少数几个服务

trusted:允许任何访问

block:阻塞任何来访请求

drop:丢弃任何来访的数据包

……

新增防火墙规则的位置包括:

运行时(runtime):仅当前有效,重载防火墙后失效

永久(permanent):静态配置,需要重载防火墙才能生效

本地端口转发(端口1-->端口2):

从客户机访问防火墙主机的端口1时,与访问防火墙的端口2时等效

真正的网络应用服务其实在端口2提供监听

5.3步骤

实现此案例需要按照如下步骤进行。

步骤一:采取“默认全允许,仅拒绝个别”的防护策略

1)启用防火墙服务

[root@server0~]#systemctl restart firewalld

[root@server0~]#systemctl enable firewalld

2)将默认区域设置为trusted

[root@server0~]#firewall-cmd --get-default-zone//修改前

public

[root@server0~]#firewall-cmd --set-default-zone=trusted//修改操作

success

[root@server0~]#firewall-cmd --get-default-zone//修改后

trusted

步骤二:封锁指定的IP网段

1)添加永久配置“阻塞来自网段172.34.0.0/24的任何访问”

[root@server0~]#firewall-cmd --permanent --zone=block --add-source=172.34.0.0/24

success

2)重载防火墙

[root@server0~]#firewall-cmd --reload

success

3)检查运行时规则

[root@server0~]#firewall-cmd --list-all --zone=block

block

interfaces:

sources:172.34.0.0/24

services:

ports:

masquerade:no

forward-ports:

icmp-blocks:

rich rules:

步骤三:实现5423-->80端口转发

1)针对80端口部署测试应用

快速搭建一个测试网站:

[root@server0~]#yum -y install httpd//装包

....

[root@server0~]#vim /var/www/html/index.html//部署测试网页

test site.

[root@server0~]#systemctl restart httpd//起服务

从客户端访问,确认测试网页:

[root@desktop0~]#yum -y install elinks

....

[root@desktop0~]#elinks -dump http://server0.example.com/

test site.

2)配置5423-->80端口转发策略

[root@server0~]#firewall-cmd --permanent --zone=trusted --add-forward-port=port=5423:proto=tcp:toport=80//添加永久配置

success

[root@server0~]#firewall-cmd --reload//重载服务

Success

[root@server0~]#firewall-cmd --list-all//确认运行时规则

trusted(default,active)

interfaces:eth1 eth2 eth0 team0

sources:

services:

ports:

masquerade:no

forward-ports:port=5423:proto=tcp:toport=80:toaddr=

icmp-blocks:

rich rules:

3)验证端口转发策略

desktop0上访问server05423端口,与访问server080端口效果一样:

[root@desktop0~]#elinks -dump http://server0.example.com:5423/

test site.

[root@desktop0~]#elinks -dump http://server0.example.com/

test site.

 

posted @ 2019-11-26 17:10  云计算(互联网)  Views(323)  Comments(0Edit  收藏  举报