admin管理员组文章数量:1642341
fifirewall服务
三者关系
iptables 工具--最终实现底层控制
iptables-service服务 规则配置永久生效 配置文件编辑加载 (7版本 删了)
firewall服务(为了代替iptables-services 更便捷的管理防火墙)
firewall存在的目的 : 能够代替iptables工具 来配置规则
启动需配
systemctl stop iptables 停止iptables服务
systemctl start firewalld 开启firewall服务
查看防火墙工作在哪个区域
firewall-cmd --get-default-zone
防火墙所支持的区域名称
block dmz drop external home internal public trusted work
工作区域具体作用
block 组织 拒绝一切访问reject
drop 丢弃 丢弃一切请求
trusted 信任区域 accept 允许所有访问
external 外部的 该域名是专门用来做mac地址转换的
通过firewall来对外网主机访问内网进行操作
查看当前工作区域 允许访问的服务有哪个
firewall-cmd --zone=public --list-service
删除规则
一处服务使用 --remove-service=http
1、firewall-cmd设置NAT转换 1、启用IP转发
vim /etc/sysctl.conf net.ipv4.ip_forward = 1
sysctl -p #命令生效
2、修改网卡的zone
firewall-cmd --permanent --zone=external --change-interface=ens33(出口网卡) 3、设置IP地址伪装(SNAT)
firewall-cmd --zone=external --add-masquerade --permanent
firewall-cmd --permanent --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24
masquerade' 将source为192.168.2.0网段来的数据包伪装成external(即ens33)的地址
firewall-cmd --zone=drop --add-rich-rule="rule family=ipv4 source address=192.168.2.0/24 forward-port
port=80 protocol=tcp to-port=22 to-addr=192.168.2.208" 将来自192.168.2.0/24网段访问本地80端口的流量转
发到192.168.2.208主机的22端口
4、重载Firewall使配置生效
firewall-cmd --reload
5、端口映射(DNAT 将访问本机1122端口映射到192.168.2.3上
firewall-cmd --zone=external --add-forward-port=port=1122:proto=tcp:toport=22:toaddr=192.168.2.3 --
permanent
firewall-cmd --reload
注:或者设置NAT规则也可实现
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --tosource 192.168.1.10
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -I POSTROUTING -o ensxx -j MASQUERADE -s
192.168.1.0/24
版权声明:本文标题:Linux下firewall服务使用 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1729336042a1196993.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论