本文围绕防火墙内外网访问规则展开。首先配置环境,包括内网、防火墙和外网的IP设置,测试外网通过ssh连接内网情况。接着设定防火墙规则,添加策略后可成功连接。还测试了内网访问外网的http、https和ftp服务,设定过滤规则后无法访问,刷新防火墙后又可访问。
要求1:不允许外网不通过防火墙访问内网
1.环境配置
内网:172.25.254.26
防火墙:eth0:172.25.254.126(与内网网络位相同,用于连通内网)
eth1:11.11.11.11
外网:11.11.11.1(网关设置为防火墙eth1的IP,用于连通防火墙)
外网设置
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
IPADDR=11.11.11.1
PREFIX=24
GATEWAY=11.11.11.11(设置网关)
防火墙网卡设置
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
IPADDR=172.25.254.126
PREFIX=24
GATEWAY=172.25.254.26
vim /etc/sysconfig/network-scripts/ifcfg-eth1 (用做外网的网关)
DEVICE=eth1
BOOTPROTO=none
ONBOOT=yes
IPADDR=11.11.11.11
PREFIX=24
内网ip为172.25.254.26
这时外网(网络位和防火墙eth1相同)可以通过ssh连接防火墙的另一块网卡ip(eth0),但是无法ssh连接内网ip
防火墙设定规则:
yum install -y iptables (安装防火墙)
systemctl stop firewalld
systemctl start iptables
iptables -nL(查看防火墙规则)
iptables -F (刷新掉防火墙规则,相当于初始化)
现在没有防火墙策略
添加策略:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT --to 172.25.254.126
##将从eth1来的22端口的命令全部代理转发给172.25.254.126中
iptables -t nat -nL ##查看策略是否生效
测试:
这时便可以连接成功,可以看出经过了防火墙
要求2,3:允许内网访问外网的http和https和ftp服务
当防火墙不设定规则的时候,都可以访问
当防火墙设定过滤规则(过滤掉内网访问外网的指定端口)之后,便无法访问,
测试:
访问http和https时被拒绝
也无法连接ftp
当刷新掉防火墙时,又可以查看了
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
