本篇內(nèi)容主要講解“firewalld防火墻怎么配置IP偽裝和端口轉(zhuǎn)發(fā)”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“firewalld防火墻怎么配置IP偽裝和端口轉(zhuǎn)發(fā)”吧!

創(chuàng)新互聯(lián)公司專業(yè)提供成都主機托管四川主機托管成都服務器托管四川服務器托管，支持按月付款！我們的承諾：貴族品質(zhì)、平民價格，機房位于中國電信/網(wǎng)通/移動機房，成都多線服務器托管服務有保障！

IP地址偽裝和端口轉(zhuǎn)發(fā)都屬于NAT（網(wǎng)絡地址轉(zhuǎn)換）。

地址偽裝和端口轉(zhuǎn)發(fā)的區(qū)別如下：

IP地址偽裝：
1、通過地址偽裝，NAT設備將經(jīng)過設備的包轉(zhuǎn)發(fā)到指定的接收方，同時將通過的數(shù)據(jù)包
2、源地址更改為其NAT設備自己的接口地址。當返回的數(shù)據(jù)包到達時，會將目的地址修改
3、為原始主機的地址并做路由。地址偽裝可以實現(xiàn)局域網(wǎng)多個地址共享單一公網(wǎng)地址上網(wǎng)。
4、類似于NAT技術(shù)中的端口多路復用（PAT）。IP地址偽裝僅支持ipv4，不支持ipv6。

端口轉(zhuǎn)發(fā)：
也可以稱之為目的地址轉(zhuǎn)換或端口映射。通過端口轉(zhuǎn)發(fā)，將指定IP地址及端口的流量轉(zhuǎn)發(fā)到相同計算機上的不同端口，或不同計算機上的端口。一般公司內(nèi)網(wǎng)的服務器都采用私網(wǎng)地址，然后通過端口轉(zhuǎn)發(fā)將使用私網(wǎng)地址的服務器發(fā)布到公網(wǎng)上。

在firewalld中，有一個富語言的概念，firewalld的富語言提供了一種不需要了解iptables語法的通過高級語言配置復雜的防火墻規(guī)則的機制，通過這種語言，可以表達firewalld的基本語法中不能實現(xiàn)的自定義防火墻規(guī)則。

富規(guī)則可用于表達基本的允許/拒絕規(guī)則，也可以用于配置記錄（面向syslog和auditd），以及端口轉(zhuǎn)發(fā)、偽裝和速率限制。

在firewalld防火墻配置中有一個超時的工具，當包含超時的規(guī)則添加到防火墻時，計時器便針對該規(guī)則開始倒計時，一旦倒計時達到0秒，便從運行時配置中刪除該規(guī)則。

在測試更復雜的規(guī)則集時，如果規(guī)則有效，那么我們可以再次添加該規(guī)則，如果規(guī)則沒有實現(xiàn)我們預期的效果，甚至可能將我們管理員鎖定而使其無法進入系統(tǒng)，那么規(guī)則將被自動刪除，以便我們運維人員繼續(xù)進行測試工作。

在使用firewall-cmd進行配置規(guī)則時，在命令的結(jié)尾追加選項--timeout= 即可，--help中關(guān)于該選項的參考如下（單位可以是秒、分、時）：

 Enable an option for timeval time, where timeval is
                       a number followed by one of letters 's' or 'm' or 'h'
                       Usable for options marked with [T]

firewall-cmd有四個選項可以用于處理富規(guī)則，所有這些選項都可以和常規(guī)的--permanent或--zone=選項組合使用，具體如下：

在任何已配置的富規(guī)則都會顯示在firewall-cmd --list-all 和 firewall-cmd --list-all-zone的輸出結(jié)果中。具有語法解釋如下所示：

富規(guī)則配置舉例：

 為認證報頭協(xié)議AH使用新的ipv4和ipv6連接
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'

允許新的ipv4和ipv6連接ftp，并使用審核每分鐘記錄一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'

允許來自192.168.1.0/24地址的TFTP協(xié)議的ipv4連接，并且使用系統(tǒng)日志每分鐘記錄一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'

為RADIUS協(xié)議拒絕所有來自1:2:3:4:6：：的新ipv6連接，日志前綴為“dns”，級別為“info”，并每分鐘最多記錄3次。接受來自其他發(fā)起端新的ipv6連接：
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'

將源192.168.2.2地址加入白名單，以允許來自這個源地址的所有連接：
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'

拒絕來自public區(qū)域中IP地址192.168.0.11的所有流量：
[root@localhost /]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'

丟棄來自默認區(qū)域中任何位置的所有傳入的ipsec esp協(xié)議包：
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'

在192.168.1.0/24子網(wǎng)的DMZ區(qū)域中，接收端口7900~7905的所有TCP包：
[root@localhost /]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'

接收從work區(qū)域到SSH的新連接，以notice級別且每分鐘最多三條消息的方式將新連接記錄到syslog：
[root@localhost /]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'

在接下來的5min內(nèi)（通過--timeout=300配置項實現(xiàn)），拒絕從默認區(qū)域中的子網(wǎng)192.168.2.0/24到DNS的新連接，并且拒絕的連接將記錄到audit系統(tǒng)，且每小時最多一條消息。

[root@localhost /]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300

到此，相信大家對“firewalld防火墻怎么配置IP偽裝和端口轉(zhuǎn)發(fā)”有了更深的了解，不妨來實際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進入相關(guān)頻道進行查詢，關(guān)注我們，繼續(xù)學習！

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網(wǎng)站標題：firewalld防火墻怎么配置IP偽裝和端口轉(zhuǎn)發(fā)-創(chuàng)新互聯(lián)
當前地址：http://weahome.cn/article/dpgdes.html