IP伪装与端口转发
当用户数据包经过NAT设备时,NAT设备将源地址替换为公网IP地址,而返回的数据包就可以被路由。NAT技术一般都是在企业边界路由器或防火墙上配置。
- IP地址伪装:通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时,会将目的地址修改改为原始的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网,类似于NAT技术中的端口多路复用(PAT).IP地址伪装仅支持IPV4,不支持IPV6。
- 端口转发:也称为目的地址转换或端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上的不同端口,或不同计算机上的端口
firewall中理解直接规则
firewalld提供了“”direct interface“(直接接口),它允许管理员手动编写的iptables、ip6tables和ebtables规则插入firewalld管理的区域中,适用用于应用程序,而不是用户。直接端口通过firewall-cmd命令中的--direct选项实现。除非将直接规则显式插入firewalld管理的区域,否则将首先解析直接规则,然后解析其他firewalld规则。
使用富语言
firewalld的富语言提供了一种不需要了解iptables语法的通过高级语言配置 复杂IPV4和IPV6防火墙规则的机制,为管理员提供了一种表达性语言,通过这种语言可以表达firewalld的基本语法中未涵盖的自定义防火墙规则。富规则可用于表达基本的允许/拒绝规则,也可以用于配置记录(面向sysl