防火墙设置实战操作案例(小白的“升级打怪”成长之路)

Rocky8虚拟机防火墙设置实战案例
最新推荐文章于 2025-12-04 10:49:19 发布
原创 最新推荐文章于 2025-12-04 10:49:19 发布 · 1.4k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #linux #网络

目录

一、操作前准备:

1、准备4个Rocky8虚拟机

2、网络规划

防火墙要求

虚拟机配置

更改网络模式:

二、操作前连接测试

三、操作成果

1、内部网络中的pc1采用SNAT访问外部互联网,但是无法ping到内部网关。

2、内部网络服务器s1通过DNAT发布服务到互联网。

3、互联网主机pc2能够访问s1区域的服务器,但是不能够进行ping和ssh连接。

一、操作前准备:

1、准备4个Rocky8虚拟机

2、网络规划

  • 内部PC1位于内网区域,地址段为: 192.168.1.0/24,pc1地址为:192.168.1.1/24,网关地址为:192.168.1.254/24

  • 服务器S1位于服务器区域,地址段为: 192.168.2.0/24,pc1地址为:192.168.2.1/24,网关地址为:192.168.2.254/24

  • PC2位于互联网区域,模拟外部互联网,地址段为:10.0.0.0/8,pc2地址为:10.0.0.1/8

  • Linux防火墙的三块网卡为别连接不同的网络区域,地址分别为 :ens33 192.168.1.254/24;ens34 10.0.0.100/8;ens35 192.168.2.254/24

防火墙要求

  • 内部网络中的pc1采用SNAT访问外部互联网,但是无法ping到内部网关。

  • 内部网络服务器s1通过DNAT发布服务到互联网。

  • 互联网主机pc2能够访问s1区域的服务器,但是不能够进行ping和ssh连接。

虚拟机配置

内部网络PC1

[root@pc1 ~]# cd /etc/sysconfig/network-scripts/
[root@pc1 network-scripts]# ls
ifcfg-ens33
[root@pc1 network-scripts]# vim ifcfg-ens33 
​
TYPE=Ethernet
BOOTPROTO=static
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.1.1
PREFIX=24
GATEWAY=192.168.1.254
~     
​
​
#关闭NetworkManager、firewalld和selinux,后面虚拟机配置同样操作该步骤#
[root@pc1 network-scripts]# systemctl stop NetworkManager
[root@pc1 network-scripts]# systemctl stop firewalld
[root@pc1 network-scripts]# setenforce 0
[root@pc1 network-scripts]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:5b:74:6c brd ff:ff:ff:ff:ff:ff
    altname enp2s1
    inet 192.168.1.1/24 brd 192.168.1.255 scope global noprefixroute ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe5b:746c/64 scope link 
       valid_lft forever preferred_lft forever
3: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
    link/ether 52:54:00:3f:34:5d brd ff:ff:ff:ff:ff:ff
    inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
       valid_lft forever preferred_lft forever
​

服务器s1

[root@s1 ~]# cd /etc/sysconfig/network-scripts/
[root@s1 network-scripts]# ls
ifcfg-ens33
[root@s1 network-scripts]# vim ifcfg-ens33 
​
TYPE=Ethernet
BOOTPROTO=static
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.2.1
PREFIX=24
GATEWAY=192.168.2.254
~                                                                               
~                    
​
#关闭NetworkManager、firewalld和selinux#
[root@s1 network-scripts]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:65:02:34 brd ff:ff:ff:ff:ff:ff
    altname enp2s1
    inet 192.168.2.1/24 brd 192.168.2.255 scope global noprefixroute ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe65:234/64 scope link 
       valid_lft forever preferred_lft forever
3: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
    link/ether 52:54:00:3f:34:5d brd ff:ff:ff:ff:ff:ff
    inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
       valid_lft forever preferred_lft forever
​

外部网络pc2

[root@pc2 ~]# cd /etc/sysconfig/network-scripts/
[root@pc2 network-scripts]# ls
ifcfg-ens33
[root@pc2 network-scripts]# vim ifcfg-ens33 
​
​
TYPE=Ethernet
BOOTPROTO=static
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=10.0.0.1
PREFIX=8
~     
​
​
#关闭NetworkManager、fir
最低0.47元/天 解锁文章
deeper_wind
关注
MySQL Galera Cluster部署(小白的“升级打怪成长之路)
deeper_wind的博客
07-08 942
MySQL Galera Cluster 是一个高可用、同步复制的数据库解决方案,基于 Galera Library 和 MySQL 数据库。它设计用于提供高可用性、负载均衡和数据一致性,特别适合需要高写入负载和多主节点支持的场景。
OpenEuler部署gitlab(小白的“升级打怪成长之路)
deeper_wind的博客
09-09 706
http://192.168.58.184 ##GitLab 实例 URL。[workspace]: test-runner ##Runner 描述。3eLyrzcBMdrCCJsuxrrn ##令牌。#将 gitlab-runner 用户加入 docker 用户组。webserver ##Runner 标签。网站访问:192.168.58.184。#重启 Runner 服务以应用更改。test ##维护备注。#启动 Runner 服务。
MySQL数据库读写分离(小白的“升级打怪成长之路)
deeper_wind的博客
07-06 767
MaxScale是由MariaDB公司开发的一款高性能、模块化数据库代理和负载均衡工具,专门为MySQL/MariaDB数据库设计。它作为数据库集群的中间层,提供智能路由、负载均衡和故障转移功能。
Nginx反向代理与缓存功能(小白的“升级打怪成长之路)
deeper_wind的博客
06-24 1280
正向代理代理的是客户端正向代理是一个位于客户端和目标服务器之间的代理服务器(中间服务器)。为了从目标服务器取得内容,客户端向代理服务器发送一个请求,并且指定目标服务器,之后代理向目标服务器转发请求,将获得的内容返回给客户端反向代理代理的是服务端反向代理:(reverse proxy),指的是代理外网用户的请求到内部的指定的服务器,并将数据返回给用户的一种方式 客户端不直接与后端服务器进行通信,而是与反向代理服务器进行通信,隐藏了后端服务器的 IP 地址。
MySQL数据库主从复制(小白的“升级打怪成长之路)
deeper_wind的博客
07-06 1000
目录概述基础环境设置网络对时防火墙与SELinux配置主从复制主服务配置从服务器配置主从复制常见问题实战案例 1、master开启二进制日志记录2、slave开启IO进程,从master中读取二进制日志并写入slave的中继日志3、slave开启SQL进程,从中继日志中读取二进制日志并进行重放4、最终,达到slave与master中数据一致的状态,我们称作为主从复制的过程。主与从主机都需要操作 [root@localhost ~]# cat /etc/chrony.conf | grep -Ev '
35岁网络安全工程师的转型之路:从技术到管理的破局思考
小司机的奥拓
10-13 743
制定整体安全策略,对接高层业务需求。
6月城市之星领跑活动获奖名单已出炉
热门推荐
优快云 官方博客
07-12 1万+
经过一个月的角逐,6月城市之星领跑活动上榜名单终于出炉啦,本次城市赛道是根据最后登陆且6月份有入围博客之星用户的城市一共368个城市,城市人数划分区间具体情况如下: 200+以上城市2个,其中有一些博主的城市由于未获取到,故在「未知」城市赛道 100-199人城市6个, 50-99人城市5个 20-49人城市10个 10-19人城市19个 0-9人城市160个 下面就来看看具体城市的上榜名单及排名吧,快看看你上榜没~ 200+以上城市上榜名单及排名 北京赛道 用户ID
自学100天,成功上岸软件测试,我整理的超完整学习指南【附学习笔记】
okcross0的博客
04-20 499
被迫转行 大学学的机械制造,说实话刚进大学,还以为是什么高大上的专业,想着以后我能成为什么机械制造师,能进入什么研发中心,成为一个中心研发成员,但很明显,事与愿违,我没有成为一个研发人员,反而成为了一个机械制造业的销售人员,没错,就是汽车销售,也不能怪什么,大学浑浑噩噩,什么专业知识都没有学会,真有机会去研发部门,我也把握不了,只能干瞪眼,所有刚开始觉得做销售也挺好的,当时刚刚毕业,觉得销售薪资条件都挺不错的,也没有多想, 销售这行嘛,大家都知道,靠业绩说话,我在销售待了差不多一年半,有好有坏,好的时候
网安从业者入门指南:从概念科普到路径规划,再到动手实操和资料获取
网络安全学习教程分享
04-21 884
接下来,我们将一步步带你走进网络安全的世界,从基础概念到实战技巧,从学习资源到社区互动,手把手教你如何从“一脸懵”到“玩得转”!” 无论你是想成为职业的安全工程师,还是仅仅想保护自己的隐私,学习网络安全都会让你受益匪浅。”——如果你也有这样的疑问,恭喜你,你已经迈出了第一步:承认自己是个“小白”。从“一脸懵”到“玩得转”,学习网络安全的过程就像打怪升级,需要不断积累经验、突破自我。学习网络安全,闭门造车是行不通的。来跟我们一起,不仅能让你少走弯路,还能结识志同道合的朋友,甚至找到未来的职业机会。
【PHP开发900个实用技巧】765.代理模式(Proxy):PHP控制对象访问的“智能门卫”
07-27 896
PHP适配器模式实战指南:解决接口兼容问题的万能转换器 摘要:适配器模式是解决PHP新旧系统接口不兼容的有效方案。本文通过实际案例演示如何: 创建中间适配层转换新旧接口 统一第三方支付/日志等不同接口规范 通过类适配器(继承)或对象适配器(组合)实现 遵循"对修改关闭,对扩展开放"原则 关键应用场景: 整合不同支付接口(支付宝/微信支付) 升级旧日志系统(文件→数据库) 对接遗留代码库 实现要点:明确目标接口→组合旧对象→转换调用逻辑→异常处理。对象适配器是PHP最佳实践,通过组合而非继
Rsync+sersync实现数据实时同步(小白的“升级打怪成长之路)
deeper_wind的博客
06-19 840
计划将服务器的/data目录的文件实时发送到客户端/data/backup目录中,操作前请检查服务器是否有该目录。read -p "请输入符合此掩码的客户端主机IP(默认掩码为255.255.255.0)" ip。以上的同步过程都是服务端主动推送数据给目标主机(服务器),这里演示下目标主机主动拉取数据进行同步。# 在客户端上编写rsync配置文件,创建一个存放备份的同步目录。# 看到以上结果,说明服务端的rsync服务已经配置完成。# -r参数,先做一次完全同步,再做差异同步。# 目标主机上拉取数据。
部署k8s-efk日志收集服务(小白的“升级打怪成长之路)
deeper_wind的博客
08-27 1037
#在tolerations字段中加上:operator: Exists。#在spec字段中增加type字段。##创建nfs存储访问。#修改为本机ip地址。##修改key的污点。
快速搭建DNS服务器完整教程
APang的博客
12-03 572
本文介绍了在CentOS 7上配置DNS服务的完整流程。首先更换阿里云yum源,然后安装DNS相关服务。重点讲解了主配置文件named.conf的修改,包括监听端口和访问权限设置。详细说明了正反向解析配置文件的编写方法,强调网段需要倒序书写并添加特定后缀。提供了正反向区域文件的模板示例,并指出配置验证方法。最后介绍了服务的启动、验证及客户端配置步骤,完成基础DNS服务的搭建。整个过程涵盖了从软件安装到配置测试的全流程。
(11) KVM基于内核的虚拟机
qq_43457850的博客
12-02 1051
因为这个漏洞问题是由cpu架构设计,后期芯片生产之后产生的,那么直接在芯片设计或生产的时候,把漏洞堵上。现在的x86架构,默认全部都要依赖CDou的硬件辅助虚拟化方案。VMware软件完全虚拟化,和早期xen半虚拟化,他们现在都都要依赖于硬件辅助虚拟化。VMware因为有cpu硬件辅助虚拟化支持,性能会非常好。Vmware在不开启硬件辅助的前提下,能不能创建虚拟机呢?可以创建:2位的虚拟机,但不能创建64位虚拟机。
Linux系统】ext2文件系统
HZzzzzLu的博客
12-01 1042
本文介绍了磁盘的基本概念、分类和存储结构。首先将磁盘分为HDD(机械硬盘)和SSD(固态硬盘),并比较了两者的优缺点。随后详细讲解了磁盘的物理结构,包括盘片、磁头、主轴和臂架等组件。在存储结构部分,重点阐述了CHS(柱面-磁头-扇区)寻址方式与LBA(逻辑块地址)之间的转换关系,以及操作系统如何通过块、分区和分组管理磁盘空间。最后介绍了文件系统中的关键数据结构inode,它用于存储文件的元数据信息,实现文件属性和内容的分离存储。全文系统性地梳理了磁盘的工作原理和操作系统对磁盘的管理机制。
Kubernetes 集群安全机制
12-03 960
本文介绍了Kubernetes集群中的核心安全机制,重点围绕API Server的访问控制展开。主要内容包括:身份认证机制(X.509双向证书认证、ServiceAccount短期令牌),权限控制系统(RBAC模型中的Role/ClusterRole及其绑定方式),以及Kubernetes用户与用户组的概念。文章详细解析了证书签发流程、服务账户的使用场景,并说明了集群管理员、命名空间管理员等不同角色的权限范围。这些安全机制共同构成了Kubernetes集群的多层防护体系,确保组件间通信和资源访问的安全性。
天机学堂-day2(我的课表)
weixin_68576312的博客
12-01 1081
本文基于《天机学堂》开源项目,介绍了从创建虚拟机到部署项目的完整流程。文章首先提供了服务启动建议,推荐在虚拟机中启动tj-auth、tj-gateway和tj-exam等核心服务。重点分析了"支付或报名课程后加入课表"的MQ接口实现,详细讲解了调用链路追踪方法,包括后台接口定位、微服务查找和MQ消息处理逻辑分析。最后展示了具体的代码实现,包括MQ监听器的配置和服务层的事务处理逻辑,通过CourseClient获取课程信息并批量添加到用户课表中。文章为开发者提供了实用的部署指南和接口开发示
Nginx 反向代理
最新发布
2501_94265850的博客
12-04 830
简单说就是:客户端(浏览器 / APP)不直接访问目标服务器(后端服务、数据库、静态资源服务器等),而是先请求 Nginx ,由 Nginx 转发请求到目标服务器,再将服务器的响应结果返回给客户端。前端的 JS、CSS、图片等静态资源,可由 Nginx 直接返回(缓存到 Nginx 服务器),无需转发到后端,减少后端压力,提升页面加载速度。(Nginx 代理地址),Nginx 转发到后端接口,因请求目标是 Nginx(同源),跨域自动解决。(Nginx 地址),实际请求被转发到内网的。
docker 容器
weixin_71031526的博客
12-02 764
Docker 容器就是一个轻量级的、可移植的、自包含的软件“包装盒”。它让软件开发从“手工作坊”(在每台机器上配置环境)变成了“工业化标准流水线”(构建一次镜像,到处运行)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值