Firewalld防火墙

需求描述:

1.网关服务器ens33网卡分配到external(外部)区域,ens37网卡分配到trusted(信任)区域,ens38网卡分配到dmz(非军事)区域。
2.网站服务器器和网关服务器将SSH默认端口都改为12345
3.网站服务器开启https,过滤未加密的http流量,拒绝ping

操作案例:

一.配置网关服务器
1.修改ens34网卡:vim /etc/sysconfig/network-scripts/ifcfg-ens34
Firewalld防火墙
2.修改ens35网卡:vim /etc/sysconfig/network-scripts/ifcfg-ens35
Firewalld防火墙
3.重启网卡:systemctl restart network
4.全部网卡的信息:ifconfig
Firewalld防火墙
5.开启路由功能:vim /etc/sysctl.conf
Firewalld防火墙
6.查看是否有错:sysctl -p
二.配置WEB服务器
1.修改网卡:vim /etc/sysconfig/network-scripts/ifcfg-ens32
Firewalld防火墙
2.重启网卡:systemctl restart network
3.查看网关是否配置成功:route -p
4.删除yum源:rm -rf /etc/yum.repos.d/CentOS-*
5.挂载: mount /dev/cdrom /mnt/
6.安装https:yum -y install httpd mod_ssl
7.创建网站首页测试: echo “www.dmz.com” /var/www/html/index.html
8.启动服务:systemctl start httpd
9.修改SSH服务口:vim /etc/ssh/sshd_config
Firewalld防火墙
10.重启SSH服务:systemctl restart sshd
11.允许https协议通信:firewall-cmd --add-service=https --zone=dmz
12.允许TCP443号端口通信:firewall-cmd --add-port=443/tcp --zone=dmz
13.修改默认区域:firewall-cmd --set-default-zone=dmz
14.开启防火墙:systemctl start firewall
15.禁止ping:firewall-cmd --add-icmp-block=echo-request --zone=dmz
三.配置内网测试机
1.修改网卡:vim /etc/sysconfig/network-scripts/ifcfg-ens32
![在这里插入图片描述](https://img-bl
2.重启网卡:systemctl restart network
3.查看网关是否配置成功:route -p
4.删除yum源:rm -rf /etc/yum.repos.d/CentOS-*
5.挂载: mount /dev/cdrom /mnt/
6.安装https:yum -y install httpd mod_ssl
7.创建网站首页测试: echo “www.wen.com” /var/www/html/index.html
8.启动服务:systemctl start httpd
9.修改SSH服务口:vim /etc/ssh/sshd_config
Firewalld防火墙
10.重启SSH服务:systemctl restart sshd
11.允许https协议通信:firewall-cmd --add-service=https --zone=external
12.允许TCP443号端口通信:firewall-cmd --add-port=443/tcp --zone=external
13.修改默认区域:firewall-cmd --set-default-zone=external
14.开启防火墙:systemctl start firewall
15.禁止ping:firewall-cmd --add-icmp-block=echo-request --zone=external

上一篇:8.学会ip地址伪装之linux中防火墙策略优化


下一篇:第二章:Firewalld防火墙