Chinaunix首页 | 论坛 | 博客
  • 博客访问: 7171587
  • 博文数量: 3857
  • 博客积分: 6409
  • 博客等级: 准将
  • 技术积分: 15948
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-02 16:48
个人简介

迷彩 潜伏 隐蔽 伪装

文章分类

全部博文(3857)

文章存档

2017年(5)

2016年(63)

2015年(927)

2014年(677)

2013年(807)

2012年(1241)

2011年(67)

2010年(7)

2009年(36)

2008年(28)

分类: 系统运维

2015-02-21 17:16:22

RHCE 学习笔记(31) - 防火墙 (下)

[日期:2015-02-18] 来源:Linux社区  作者:beanxyz [字体:  ]
RHCE 学习笔记(31) - 防火墙 (下)

这个是防火墙的最后一部分,继续学习端口转发,伪装和SELinux端口上下文

首先看看端口转发

直接访问当前的http服务器,默认是80端口

我可以设置本地转发,从8080访问,自动转到80端口

测试成功

也可以转发到其他服务器的端口,比如ssh的转发

他会自动伪装

测试,我连接的是172.0.10.223,但是他给我自动转发连接到172.0.10.206了

接下来看看伪装,其实就是我们平常说的NAT(端口映射)

我的ESXI上面设置了2个port group,VM_VLAN是公司的生产环境网络,可以上网;VM_VLAN0002是我自己实验用的局域网;

我给rhel7test 服务器设置了2个网卡,分别放在不同的VLAN中

firewalld里面勾选 Masquerade Zone 就行了,这个时候我的服务器会自动把两个子网的IP做NAT映射

随便找了台实验的windows 服务器,把网关地址指向我的rheltest 地址

已经可以成功的ping 到外网了

最后,看看 SELinux 端口的上下文。之前我们说了文件有上下文,端口其实也有。

比如,修改 httpd.conf文件,把 Listen 80 注释掉,新加个Listen 801

然后防火墙加上801端口

重启,会报错,还会弹出一个SELinux的警告

警告如下,需要修改上下文

查看一下80端口的上下文

把他分配给801端口,然后重启

这次就可以访问了

本文永久更新链接地址

阅读(351) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~