Linux中防火牆實戰之Web伺服器和ssh遠端服務配置指南

在當今數字化時代，網路安全顯得尤為重要。Linux作為一種開源作業系統，廣泛應用於伺服器管理和網路配置中。本篇文章將詳細介紹如何配置Linux防火牆和Web伺服器，確保內網與外網的安全訪問。同時，我們將探討如何透過SSH遠端管理伺服器，提升網路管理的靈活性和安全性。

實驗環境

四臺伺服器

一臺作為防火牆（ens33,ens36,ens37）

一臺模擬外網 (ens37)

一臺web伺服器 (ens36)

一臺作為內網PC 訪問測試(NAT模式)

實驗要求

內網PC能過訪問Web伺服器 ICMP中不能ping Web伺服器

內網PC透過SSH的1234埠來遠端Web伺服器

外網透過SSH的1234埠來遠端防火牆

網路環境配置

防火牆網絡卡配置

cd /etc/sysconfig/network-scripts/cp -p ifcfg-ens33 ifcfg-ens36cp -p ifcfg-ens33 ifcfg-ens37

ens36網絡卡

ens37網絡卡

ens33是nat模式這個不用介紹你設定DHCP 或者靜態都可以

檢視一下ip 把內網閘道器指向他就行

web伺服器網絡卡

`vim /etc/sysconfig/network-scripts/ifcfg-ens33`

外網網絡卡配置

`vim /etc/sysconfig/network-scripts/ifcfg-ens33`

內網PC測試網絡卡

`vim /etc/sysconfig/network-scripts/ifcfg-ens33`

防火牆

開啟路由轉發

vim /etc/sysctl.confsysctl -p 重新整理net.ipv4.ip_forward = 1

測連通性

配置完成之後檢測連通性

可以發現防火牆都是可以訪問通的

web伺服器配置

配置完成網路環境之後

開啟防火牆

在web上下載httpd

yum install -y httpd echo testsmqnz > /var/www/html/index.htmlcurl 127.0.0.1testsmqnz

配置dmz區域firewall-cmd --zone=dmz --change-interface=ens33firewall-cmd --zone=dmz --add-port=80/tcp --permanentfirewall-cmd --zone=dmz --add-port=443/tcp  --permanent過載防火牆firewall-cmd --reload

配置完成之後內網和防火牆都可以訪問了

內網PC訪問測試

配置完成之後內網和防火牆都可以訪問了

防火牆配置

firewall-config雙擊ens33點選永久trustedens36dmzens37external

點選trusted勾上httpd https

重新載入

PC內網訪問Web伺服器

內網是可以ping Web伺服器的現在我們需要設定不可以pingWeb

在Web伺服器上配置

firewall-cmd --zone=dmz --add-icmp-block=echo-request --permanentfirewall-cmd --reload

內網PC測試

測試SSH

修改ssh的埠號為12345 內網遠端web伺服器

首先在web上關閉ssh

firewall-cmd --zone=dmz --remove-service=ssh --permanentfirewall-cmd --reload檢視規則firewall-cmd --list-all -zone=dmz

修改SSH的埠號

首先關閉Selinux

vim /etc/ssh/sshd_confPort 12345

重啟服務

systemctl restart sshd檢視服務埠號netstat -nultp | grep sshd

新增埠

ssh從12345埠訪問

firewall-cmd --zone=dmz --add-port=12345/tcp --permanentfirewall-cmd --reload

內網PC測試

`ssh [email protected] -p 12345`

外網遠端防火牆

如何讓外網訪問防火牆的SSH12345埠呢？

如何讓外網SSH防火牆呢？

防火牆配置

vim /etc/ssh/sshd_confg找到port 改為 Port 12345systemctl restart sshd

檢測埠是否成功

[root@localhost ~]# systemctl restart sshd[root@localhost ~]# netstat -nultp | grep sshdtcp        0      0 0.0.0.0:12345           0.0.0.0:*               LISTEN      39693/sshd          tcp6       0      0 :::12345                :::*                    LISTEN      39693/sshd

新增訪問埠

外網訪問測試

`ssh [email protected] -p 12345`

總結

透過本篇文章的學習，我們不僅掌握了Linux防火牆和Web伺服器的基本配置，還了解了如何實現安全的網路訪問。防火牆的合理設定和SSH的安全管理是保障網路安全的關鍵。希望讀者能夠將這些知識應用到實際工作中，為構建安全的網路環境貢獻力量。

成功的路上沒有捷徑，只有不斷的努力與堅持。如果你和我一樣，堅信努力會帶來回報，請關注我，點個贊，一起迎接更加美好的明天！你的支援是我繼續前行的動力！"

"每一次創作都是一次學習的過程，文章中若有不足之處，還請大家多多包容。你的關注和點贊是對我最大的支援，也歡迎大家提出寶貴的意見和建議，讓我不斷進步。"

連結：https://blog.csdn.net/jxjdhdnd/article/details/140351937?spm=1001.2014.3001.5502

（版權歸原作者所有，侵刪）

文末福利

就目前來說，傳統運維衝擊年薪30W+的轉型方向就是SRE&DevOps崗位。

為了幫助大家早日擺脫繁瑣的基層運維工作，給大家整理了一套高階運維工程師必備技能資料包，內容有多詳實豐富看下圖！

共有 20 個模組