Linux中防火墻實戰之Web服務器和ssh遠程服務配置指南

在當今數字化時代，網絡安全顯得尤為重要。Linux作為一種開源操作系統，廣泛應用于服務器管理和網絡配置中。本篇文章將詳細介紹如何配置Linux防火墻和Web服務器，確保內網與外網的安全訪問。同時，我們將探討如何通過SSH遠程管理服務器，提升網絡管理的靈活性和安全性。

實驗環境

四臺服務器

一臺作為防火墻 （ens33,ens36,ens37）

一臺模擬外網 (ens37)

一臺web服務器 (ens36)

一臺作為內網PC 訪問測試(NAT模式)

實驗要求

內網PC能過訪問Web服務器 ICMP中不能ping Web服務器

內網PC通過SSH的1234端口來遠程Web服務器

外網通過SSH的1234端口來遠程防火墻

網絡環境配置

防火墻網卡配置

cd /etc/sysconfig/network-scripts/
cp -p ifcfg-ens33 ifcfg-ens36
cp -p ifcfg-ens33 ifcfg-ens37

ens36網卡

ens37網卡

ens33是nat模式 這個不用介紹 你設置DHCP 或者靜態都可以

查看一下ip 把內網網關指向他就行

web服務器網卡

`vim /etc/sysconfig/network-scripts/ifcfg-ens33`

外網網卡配置

`vim /etc/sysconfig/network-scripts/ifcfg-ens33`

內網PC測試網卡

`vim /etc/sysconfig/network-scripts/ifcfg-ens33`

防火墻

開啟路由轉發

vim /etc/sysctl.conf
sysctl -p 刷新
net.ipv4.ip_forward = 1

測連通性

配置完成之后檢測連通性

可以發現防火墻都是可以訪問通的

web服務器配置

配置完成網絡環境之后

開啟防火墻

在web上下載httpd

yum install -y httpd
echo testsmqnz > /var/www/html/index.html
curl 127.0.0.1
testsmqnz

配置dmz區域

firewall-cmd --zone=dmz --change-interface=ens33
firewall-cmd --zone=dmz --add-port=80/tcp --permanent
firewall-cmd --zone=dmz --add-port=443/tcp --permanent

重載防火墻
firewall-cmd --reload

配置完成之后內網和防火墻都可以訪問了

內網PC訪問測試

配置完成之后內網和防火墻都可以訪問了

防火墻配置

firewall-config
雙擊ens33
點擊永久
trusted
ens36
dmz
ens37
external

點擊trusted勾上httpd https

重新載入

PC內網訪問Web服務器

內網是可以ping Web服務器的 現在我們需要設置不可以pingWeb

在Web服務器上配置

firewall-cmd--zone=dmz --add-icmp-block=echo-request --permanent
firewall-cmd--reload

內網PC測試

測試SSH

修改ssh的端口號為12345 內網遠程web服務器

首先在web上關閉ssh

firewall-cmd--zone=dmz --remove-service=ssh --permanent
firewall-cmd--reload
查看規則
firewall-cmd--list-all -zone=dmz

修改SSH的端口號

首先關閉Selinux

vim /etc/ssh/sshd_conf
Port 12345

重啟服務

systemctl restart sshd
查看服務端口號
netstat -nultp |grepsshd

添加端口

ssh從12345端口訪問

firewall-cmd --zone=dmz --add-port=12345/tcp --permanent
firewall-cmd --reload

內網PC測試

`ssh root@172.16.0.2 -p 12345`

外網遠程防火墻

如何讓外網訪問防火墻的SSH12345端口呢？

如何讓外網SSH防火墻呢？

防火墻配置

vim /etc/ssh/sshd_confg
找到port 改為 Port 12345
systemctl restart sshd

檢測端口是否成功

[root@localhost ~]# systemctl restart sshd
[root@localhost ~]# netstat -nultp | grep sshd
tcp    0   0 0.0.0.0:12345      0.0.0.0:*        LISTEN   39693/sshd     
tcp6    0   0 :::12345        :::*          LISTEN   39693/sshd     


    

添加訪問端口

外網訪問測試

`ssh root@100.0.0.1 -p 12345`

總結

通過本篇文章的學習，我們不僅掌握了Linux防火墻和Web服務器的基本配置，還了解了如何實現安全的網絡訪問。防火墻的合理設置和SSH的安全管理是保障網絡安全的關鍵。希望讀者能夠將這些知識應用到實際工作中，為構建安全的網絡環境貢獻力量。

鏈接：https://blog.csdn.net/jxjdhdnd/article/details/140351937?spm=1001.2014.3001.5502