Linux中防火墻實(shí)戰(zhàn)之Web服務(wù)器和ssh遠(yuǎn)程服務(wù)配置指南

在當(dāng)今數(shù)字化時(shí)代，網(wǎng)絡(luò)安全顯得尤為重要。Linux作為一種開(kāi)源操作系統(tǒng)，廣泛應(yīng)用于服務(wù)器管理和網(wǎng)絡(luò)配置中。本篇文章將詳細(xì)介紹如何配置Linux防火墻和Web服務(wù)器，確保內(nèi)網(wǎng)與外網(wǎng)的安全訪問(wèn)。同時(shí)，我們將探討如何通過(guò)SSH遠(yuǎn)程管理服務(wù)器，提升網(wǎng)絡(luò)管理的靈活性和安全性。

實(shí)驗(yàn)環(huán)境

四臺(tái)服務(wù)器

一臺(tái)作為防火墻 （ens33,ens36,ens37）

一臺(tái)模擬外網(wǎng) (ens37)

一臺(tái)web服務(wù)器 (ens36)

一臺(tái)作為內(nèi)網(wǎng)PC 訪問(wèn)測(cè)試(NAT模式)

實(shí)驗(yàn)要求

內(nèi)網(wǎng)PC能過(guò)訪問(wèn)Web服務(wù)器 ICMP中不能ping Web服務(wù)器

內(nèi)網(wǎng)PC通過(guò)SSH的1234端口來(lái)遠(yuǎn)程Web服務(wù)器

外網(wǎng)通過(guò)SSH的1234端口來(lái)遠(yuǎn)程防火墻

網(wǎng)絡(luò)環(huán)境配置

防火墻網(wǎng)卡配置

cd /etc/sysconfig/network-scripts/
cp -p ifcfg-ens33 ifcfg-ens36
cp -p ifcfg-ens33 ifcfg-ens37

ens36網(wǎng)卡

ens37網(wǎng)卡

ens33是nat模式 這個(gè)不用介紹 你設(shè)置DHCP 或者靜態(tài)都可以

查看一下ip 把內(nèi)網(wǎng)網(wǎng)關(guān)指向他就行

web服務(wù)器網(wǎng)卡

`vim /etc/sysconfig/network-scripts/ifcfg-ens33`

外網(wǎng)網(wǎng)卡配置

`vim /etc/sysconfig/network-scripts/ifcfg-ens33`

內(nèi)網(wǎng)PC測(cè)試網(wǎng)卡

`vim /etc/sysconfig/network-scripts/ifcfg-ens33`

防火墻

開(kāi)啟路由轉(zhuǎn)發(fā)

vim /etc/sysctl.conf
sysctl -p 刷新
net.ipv4.ip_forward = 1

測(cè)連通性

配置完成之后檢測(cè)連通性

可以發(fā)現(xiàn)防火墻都是可以訪問(wèn)通的

web服務(wù)器配置

配置完成網(wǎng)絡(luò)環(huán)境之后

開(kāi)啟防火墻

在web上下載httpd

yum install -y httpd
echo testsmqnz > /var/www/html/index.html
curl 127.0.0.1
testsmqnz

配置dmz區(qū)域

firewall-cmd --zone=dmz --change-interface=ens33
firewall-cmd --zone=dmz --add-port=80/tcp --permanent
firewall-cmd --zone=dmz --add-port=443/tcp --permanent

重載防火墻
firewall-cmd --reload

配置完成之后內(nèi)網(wǎng)和防火墻都可以訪問(wèn)了

內(nèi)網(wǎng)PC訪問(wèn)測(cè)試

配置完成之后內(nèi)網(wǎng)和防火墻都可以訪問(wèn)了

防火墻配置

firewall-config
雙擊ens33
點(diǎn)擊永久
trusted
ens36
dmz
ens37
external

點(diǎn)擊trusted勾上httpd https

重新載入

PC內(nèi)網(wǎng)訪問(wèn)Web服務(wù)器

內(nèi)網(wǎng)是可以ping Web服務(wù)器的 現(xiàn)在我們需要設(shè)置不可以pingWeb

在Web服務(wù)器上配置

firewall-cmd--zone=dmz --add-icmp-block=echo-request --permanent
firewall-cmd--reload

內(nèi)網(wǎng)PC測(cè)試

測(cè)試SSH

修改ssh的端口號(hào)為12345 內(nèi)網(wǎng)遠(yuǎn)程web服務(wù)器

首先在web上關(guān)閉ssh

firewall-cmd--zone=dmz --remove-service=ssh --permanent
firewall-cmd--reload
查看規(guī)則
firewall-cmd--list-all -zone=dmz

修改SSH的端口號(hào)

首先關(guān)閉Selinux

vim /etc/ssh/sshd_conf
Port 12345

重啟服務(wù)

systemctl restart sshd
查看服務(wù)端口號(hào)
netstat -nultp |grepsshd

添加端口

ssh從12345端口訪問(wèn)

firewall-cmd --zone=dmz --add-port=12345/tcp --permanent
firewall-cmd --reload

內(nèi)網(wǎng)PC測(cè)試

`ssh root@172.16.0.2 -p 12345`

外網(wǎng)遠(yuǎn)程防火墻

如何讓外網(wǎng)訪問(wèn)防火墻的SSH12345端口呢？

如何讓外網(wǎng)SSH防火墻呢？

防火墻配置

vim /etc/ssh/sshd_confg
找到port 改為 Port 12345
systemctl restart sshd

檢測(cè)端口是否成功

[root@localhost ~]# systemctl restart sshd
[root@localhost ~]# netstat -nultp | grep sshd
tcp    0   0 0.0.0.0:12345      0.0.0.0:*        LISTEN   39693/sshd     
tcp6    0   0 :::12345        :::*          LISTEN   39693/sshd     


    

添加訪問(wèn)端口

外網(wǎng)訪問(wèn)測(cè)試

`ssh root@100.0.0.1 -p 12345`

總結(jié)

通過(guò)本篇文章的學(xué)習(xí)，我們不僅掌握了Linux防火墻和Web服務(wù)器的基本配置，還了解了如何實(shí)現(xiàn)安全的網(wǎng)絡(luò)訪問(wèn)。防火墻的合理設(shè)置和SSH的安全管理是保障網(wǎng)絡(luò)安全的關(guān)鍵。希望讀者能夠?qū)⑦@些知識(shí)應(yīng)用到實(shí)際工作中，為構(gòu)建安全的網(wǎng)絡(luò)環(huán)境貢獻(xiàn)力量。

鏈接：https://blog.csdn.net/jxjdhdnd/article/details/140351937?spm=1001.2014.3001.5502