您的位置: 首页  >  文章  >  RHCE 学习笔记(31) - 防火墙 (下)

RHCE 学习笔记(31) - 防火墙 (下)

分类: 文章 2025-07-04 15:22:40
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://beanxyz.blog.51cto.com/5570417/1607370

这个是防火墙的最后一部分,继续学习端口转发,伪装和SELinux端口上下文


首先看看端口转发


直接访问当前的http服务器,默认是80端口



RHCE 学习笔记(31) - 防火墙 (下)


我可以设置本地转发,从8080访问,自动转到80端口

RHCE 学习笔记(31) - 防火墙 (下)


测试成功

RHCE 学习笔记(31) - 防火墙 (下)


也可以转发到其他服务器的端口,比如ssh的转发


RHCE 学习笔记(31) - 防火墙 (下)


他会自动伪装

RHCE 学习笔记(31) - 防火墙 (下)


测试,我连接的是172.0.10.223,但是他给我自动转发连接到172.0.10.206了

RHCE 学习笔记(31) - 防火墙 (下)

RHCE 学习笔记(31) - 防火墙 (下)



接下来看看伪装,其实就是我们平常说的NAT(端口映射)


我的ESXI上面设置了2个port group,VM_VLAN是公司的生产环境网络,可以上网;VM_VLAN0002是我自己实验用的局域网;


我给rhel7test 服务器设置了2个网卡,分别放在不同的VLAN中

RHCE 学习笔记(31) - 防火墙 (下)



firewalld里面勾选 Masquerade Zone 就行了,这个时候我的服务器会自动把两个子网的IP做NAT映射


RHCE 学习笔记(31) - 防火墙 (下)



随便找了台实验的windows 服务器,把网关地址指向我的rheltest 地址

RHCE 学习笔记(31) - 防火墙 (下)


已经可以成功的ping 到外网了

RHCE 学习笔记(31) - 防火墙 (下)



最后,看看 SELinux 端口的上下文。之前我们说了文件有上下文,端口其实也有。


比如,修改 httpd.conf文件,把 Listen 80 注释掉,新加个Listen 801

RHCE 学习笔记(31) - 防火墙 (下)


然后防火墙加上801端口


重启,会报错,还会弹出一个SELinux的警告

RHCE 学习笔记(31) - 防火墙 (下)


警告如下,需要修改上下文

RHCE 学习笔记(31) - 防火墙 (下)


查看一下80端口的上下文


RHCE 学习笔记(31) - 防火墙 (下)


把他分配给801端口,然后重启

RHCE 学习笔记(31) - 防火墙 (下)


这次就可以访问了

RHCE 学习笔记(31) - 防火墙 (下)


本文出自 “麻婆豆腐” 博客,请务必保留此出处http://beanxyz.blog.51cto.com/5570417/1607370

相关推荐