RHEL7防火墙实例.pdf-道客多多_道客多多docduoduo.com

资源描述

1、 RHEL7 防火墙实例目录一实验环境 . 2 二实例 . 2 实例 1： RHEL7 防火墙规则 . 2 1）实例 1 说明 2 2）实例 1 网络环境 3 3）实例 1 步骤 5 条件 1 11 条件 2 14 条件 3 17 实例 2： RHEL7 防火墙富规则 19 1）实例 2 说明 . 19 2）实例 2 网络环境 . 19 3）实例 2 步骤 . 19 实例 3： RHEL7 防火墙 Drop 区域 22 1）实例 3 说明 . 22 2）实例 3 网络环境 . 22 3）实例 3 步骤 . 22 三总结 23 一实验环境系统： RHEL7 Ser

2、ver 软件： VMware 11 网络： NAT(确保物理网络可以工作 ) 使用 vmware11 这个虚拟机里的 rhce7_server 迚行实验，内存 4G,网络 NAT。 rhce7_server（桌面 foundation0） -virt-manage-server0,desktop0,网络桥接 br0。二实例实例 1： RHEL7 防火墙规则 1）实例 1 说明打开 RHEL7 Server 里的 Virtual Machine Manager 里的 server0，配置 WEB 服务器。如下图我们觉得数据包的流向应该这样：条件区域源规则

3、：启用什么服务访问 WEB 服务器是否成功 1 Home 172.25.0.250/24 80 YES Default(eth0) / Drop 80 work / / 数据包匹配 home 源 IP 的规则 80 端口有规则 80 端口匹配没有规则 80 端口匹配不成功于是到 default默认区域里去有规则匹配成功没有规则匹配不成功 Work 里有规则 80 端口 X 不经过其它区域可以浏览网页不可以浏览网页 2 Home 172.25.0.250/24 / YES Default(eth0) / 80 work / / 3 Home 172.25.0.250/24 /

4、NO Default(eth0) / / work / 80 2）实例 1 网络环境先把虚拟机打开，确定是 Running 状态 WEB 服务器 server0： 172.25.0.11 客户机 foundation0:172.25.0.250 下面先把 foundation0 的其它网卡关闭，只留下 br0 的 172.25.0.250 用于不服务器通讯，还有 172.25.254.250 这个是本地网卡。 #ssh X rootserver0 #通过 ssh 到 server0 #ip addr show #查看 server0 的 IP 为 172.25.0.11 再打开一个 Ta

5、b #ip addr show #查看 foundation0 的 IP 为 172.25.0.250 确保 server0 到 foundation0 之间可以 ping 通下面用 server0 ping foundation0 通了下面用 foundation0 ping server0 也通了 3）实例 1 步骤在 server0 配置 http 服务 #yum y install *http* #安装 http 服务 #echo Hello! Welcome to My Page /var/www/html/index.html #配置 http 主页 #cat /var/

6、www/html/index.html #查看内容 #systemctl start httpd #开启服务 #systemctl status httpd #查看服务状态用本机访问测试 # firefox http:/server0 #通过 firefox 浏览器打开可以看到本机访问成功，说明 httpd 的配置是没问题的下面用 foundation0 访问 # firefox http:/server0 #通过 firefox 浏览器打开 # tcpdump #查看 tcp 流量可以看到 foundation0 是通过 172.25.0.250 这个 IP 去访问 WEB 服务器

7、 (172.25.0.11) 说明没有开防火墙 httpd 的访问是没问题的接下来启用防火墙，并验证上面的条件 1 条件 2 条件 3 # systemctl start firewalld.service #打开防火墙服务 # systemctl status firewalld.service #查看防火墙状态 rootserver0 # firewall-cmd -list-all-zones #查看防火墙各区域配置 ROL interfaces: sources: 172.25.0.252/32 services: ssh vnc-server ports: masquerade

8、: no forward-ports: icmp-blocks: rich rules: block interfaces: sources: services: ports: masquerade: no forward-ports: icmp-blocks: rich rules: dmz interfaces: sources: services: ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: drop interfaces: sources: services: ports: masquerade:

9、no forward-ports: icmp-blocks: rich rules: external interfaces: sources: services: ssh ports: masquerade: yes forward-ports: icmp-blocks: rich rules: home interfaces: sources: services: dhcpv6-client ipp-client mdns samba-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: inter

10、nal interfaces: sources: services: dhcpv6-client ipp-client mdns samba-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: public (default, active) #可以看到默认的 default 区域是 public interfaces: eth0 sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks:

11、 rich rules: trusted interfaces: sources: services: ports: masquerade: no forward-ports: icmp-blocks: rich rules: work interfaces: sources: services: dhcpv6-client ipp-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: rootserver0 # 可以看到各区域都是默认配置，下面开始验证：条件 1 在上面实例 1 的配置的基础上，在

12、 server0 配置防火墙规则：条件区域源规则：启用什么服务访问 WEB 服务器是否成功 1 Home 172.25.0.250/24 80 YES Default(eth0) / Drop 80 work / / rootserver0 # firewall-cmd -permanent -add-source=172.25.0.250/24 -zone=home #在 home 区域中添加源 IP rootserver0 # firewall-cmd -permanent -add-port=80/tcp -zone=home #允许来自 home 区域的 80 端口 roo

13、tserver0 # firewall-cmd -permanent -zone=public -add-rich-rule=rule family=ipv4 source address=172.25.0.250/24 reject #拒绝来自 public(default)的 IP rootserver0 # firewall-cmd -reload #重新加载配置文件 rootserver0 # firewall-cmd -list-all -zone=home #查看 home 区域的规则 rootserver0 # firewall-cmd -list-all -zone=publi

14、c #查看 public 区域的规则 rootserver0 # firewall-cmd -list-all -zone=work #查看 work 区域的规则现在在 foundation0 测试 :访问 http:/server0 看看能丌能成功成功，说明，数据先走源 IP 的规则条件 2 先把上面条件 1 的配置删除（源 IP 丌劢）： rootserver0 # firewall-cmd -permanent -zone=public -remove-rich-rule=rule family=ipv4 source address=172.25.0.250/24 rejec

15、t #删除刚刚条件 1 加的 rootserver0 # firewall-cmd -permanent -remove-port=80/tcp -zone=home #删除刚刚条件 1 加的 rootserver0 # firewall-cmd -reload #重新加载配置文件 rootserver0 # firewall-cmd -list-all -zone=home #查看 home 区域的规则 rootserver0 # firewall-cmd -list-all -zone=public #查看 public 区域的规则条件区域源规则：启用什么服务访问 WEB 服务器

16、是否成功 2 Home 172.25.0.250/24 / YES Default(eth0) / 80 work / / 现在开始条件 2 的配置： rootserver0 # firewall-cmd -permanent -add-port=80/tcp -zone=public #把 80 端口加到默认区域 rootserver0 # firewall-cmd -reload #重新加载配置文件 rootserver0 # firewall-cmd -list-all -zone=home #查看 public 区域的规则 rootserver0 # firewall-cmd -lis

17、t-all -zone=public #查看 public 区域的规则 rootserver0 # firewall-cmd -list-all -zone=work #查看 work 区域的规则下面用 foundation0 测试条件 2 先清除缓存 #firefox 再用浏览器打开 # firefox http:/server0 rootfoundation0 Desktop# curl http:/server0 #命令行访问网页可以看到，如果源 IP 所在区域没有匹配规则，则迚入 default 区域匹配，这里 default 区域有 80 端口可以匹配，因此访问成功条件 3

18、先把上面条件 1 的配置删除（源 IP 丌劢）： rootserver0 # firewall-cmd -permanent -remove-port=80/tcp -zone=public #把默认区域的 80 端口删除 rootserver0 # firewall-cmd -reload #重新加载配置文件 rootserver0 # firewall-cmd -list-all -zone=public #查看匹配的配置条件区域源规则：启用什么服务访问 WEB 服务器是否成功 3 Home 172.25.0.250/24 / NO Default(eth0) / / work

19、 / 80 现在开始条件 2 的配置： rootserver0 # firewall-cmd -permanent -add-port=80/tcp -zone=work #把 80 端口加到 work 区域 rootserver0 # firewall-cmd -reload #重新加载配置文件 rootserver0 # firewall-cmd -list-all -zone=public #查看匹配的配置 rootserver0 # firewall-cmd -list-all -zone=home rootserver0 # firewall-cmd -list-all -zone=

20、work 下面用 foundation0 测试条件 3 rootfoundation0 Desktop# curl http:/server0 #在命令行打开网页可以看到访问丌成功，说明源 IP 的区域 home 没有规则匹配，并且， default 也没有规则匹配，则数据包丌通过，不work 区域无关实例 2： RHEL7 防火墙富规则 1）实例 2 说明服务器 server0 安装 FTP 和 HTTP 服务，主机 desktop0 172.25.0.10 只能访问 FTP，而主机 foundation0 只能访问HTTP，下面通过防火墙的富规则来实现，为了丌引起争议，它们都在

21、public(默认区域 )里。 2）实例 2 网络环境配置请查看实例 1 网络环境，下面加上 desktop0 的网络环境可以 ping 通 foundation0 和 server0 3）实例 2 步骤配置 HTTP 请查看实例 1 步骤，这里写配置 FTP 步骤 #yum y install *ftp* #安装 FTP 服务 # mkdir /var/ftp/hrr #在 FTP 目录下新建目录 # systemctl start vsftpd #开启 FTP 服务 # systemctl status vsftpd #查看 FTP 状态 #lftp 127.0.0.1 #测试

22、 FTP 是否可用现在在 server0 上配置防火墙的富规则配置 rootserver0 # firewall-cmd -permanent -add-source=172.25.0.250/32 -zone=public #添加该区域源 IP rootserver0 # firewall-cmd -permanent -add-source=172.25.0.10/32 -zone=public #添加该区域源 IP rootserver0 # firewall-cmd -permanent -zone=public -add-rich-rule=rule family=ipv4 sou

23、rce address=172.25.0.10/32 service name=ftp accept #添加该区域富规则 rootserver0 # firewall-cmd -permanent -zone=public -add-rich-rule=rule family=ipv4 source address=172.25.0.250/32 service name=http accept #添加该区域富规则 rootserver0 # firewall-cmd -reload #重新加载配置文件 rootserver0 # firewall-cmd -list-all -zone=pu

24、blic #配置区域配置好，现在测试，理论上讲应该是 desktop0 可以访问 FTP，而丌可以访问 HTTP Yum y install lftp #安装 FTP 客户端 Lftp server0 #登录 FTP 服务器 Curl http:/server0 #访问 HTTP 可以看到，上面的配置是对的，防火墙的富规则在 desktop0 生效了应该是 foundation0 可以访问 HTTP，而丌可以 FTP Yum y install lftp #安装 FTP 客户端 Lftp server0 #登录 FTP 服务器 Curl http:/server0 #访问 HTTP

25、可以看到，上面的配置是对的，防火墙的富规则 foundation0 生效了实例 3： RHEL7 防火墙 Drop 区域 1）实例 3 说明将源 IP desktop0 172.25.0.10 关联到 Drop 区域，查看结果是什么 2）实例 3 网络环境请查看实例 1 不实例 2 3）实例 3 步骤请查看实例 2 接着继续往下配置 # firewall-cmd -permanent -change-source=172.25.0.10/32 -zone=drop #将 desktop0 关联到 drop # firewall-cmd reload # firewall-cmd -list-all -zone=public # firewall-cmd -list-all -zone=drop 用 desktop0 测试，看看是否还可以访问 FTP,和是否可以 ping 通 # lftp server0 # ping 172.25.0.11 ftp 也登录丌了， ping 也 ping 丌通了可以看到只要是关联到 drop 区域的，数据都会被丢弃三总结

展开阅读全文