防火墙转发

最新推荐文章于 2024-06-30 15:37:30 发布
最新推荐文章于 2024-06-30 15:37:30 发布
阅读量299 收藏
点赞数
文章标签: 网络 运维
原文链接:http://www.cnblogs.com/smlie/p/11380812.html
版权

firewall-cmd --permanent --add-rich-rule="rule family="ipv4"  forward-port port="80" protocol="tcp" to-port="8899" "

 

以下转自:https://www.cnblogs.com/suidouya/p/5718026.html

 

在 CentOS 7 中,引入了一个新的服务,Firewalld,下面一张图,让大家明确的了解 Firewall 与 iptables 之间的关系与区别。

安装它,只需

yum install firewalld

如果需要图形界面的话,则再安装

yum install firewall-config
一、介绍

防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。

zone

Firewall 能将不同的网络连接归类到不同的信任级别,Zone 提供了以下几个级别

  • drop: 丢弃所有进入的包,而不给出任何响应
  • block: 拒绝所有外部发起的连接,允许内部发起的连接
  • public: 允许指定的进入连接
  • external: 同上,对伪装的进入连接,一般用于路由转发
  • dmz: 允许受限制的进入连接
  • work: 允许受信任的计算机被限制的进入连接,类似 workgroup
  • home: 同上,类似 homegroup
  • internal: 同上,范围针对所有互联网用户
  • trusted: 信任所有连接
过滤规则
  • source: 根据源地址过滤
  • interface: 根据网卡过滤
  • service: 根据服务名过滤
  • port: 根据端口过滤
  • icmp-block: icmp 报文过滤,按照 icmp 类型配置
  • masquerade: ip 地址伪装
  • forward-port: 端口转发
  • rule: 自定义规则

其中,过滤规则的优先级遵循如下顺序

  1. source
  2. interface
  3. firewalld.conf
二、使用方法
# systemctl start firewalld         # 启动,
# systemctl enable firewalld        # 开机启动
# systemctl stop firewalld          # 关闭
# systemctl disable firewalld       # 取消开机启动

具体的规则管理,可以使用firewall-cmd ,具体的使用方法可以

$ firewall-cmd --help

--zone=NAME                         # 指定 zone
--permanent                         # 永久修改,--reload 后生效
--timeout=seconds                   # 持续效果,到期后自动移除,用于调试,不能与 --permanent 同时使用
1. 查看规则

查看运行状态

$ firewall-cmd --state

查看已被激活的 Zone 信息

$ firewall-cmd --get-active-zones
public
  interfaces: eth0 eth1

查看指定接口的 Zone 信息

$ firewall-cmd --get-zone-of-interface=eth0
public

查看指定级别的接口

$ firewall-cmd --zone=public --list-interfaces
eth0

查看指定级别的所有信息,譬如 public

复制代码 
$ firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client http ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:
复制代码

查看所有级别被允许的信息

$ firewall-cmd --get-service

查看重启后所有 Zones 级别中被允许的服务,即永久放行的服务

$ firewall-cmd --get-service --permanent
2. 管理规则
# firewall-cmd --panic-on           # 丢弃
# firewall-cmd --panic-off          # 取消丢弃
# firewall-cmd --query-panic        # 查看丢弃状态
# firewall-cmd --reload             # 更新规则,不重启服务
# firewall-cmd --complete-reload    # 更新规则,重启服务

添加某接口至某信任等级,譬如添加 eth0 至 public,永久修改

# firewall-cmd --zone=public --add-interface=eth0 --permanent

 

设置 public 为默认的信任级别

# firewall-cmd --set-default-zone=public
a. 管理端口

列出 dmz 级别的被允许的进入端口

# firewall-cmd --zone=dmz --list-ports

 

允许 tcp 端口 8080 至 dmz 级别

# firewall-cmd --zone=dmz --add-port=8080/tcp

 

允许某范围的 udp 端口至 public 级别,并永久生效

# firewall-cmd --zone=public --add-port=5060-5059/udp --permanent

 

b. 网卡接口

列出 public zone 所有网卡

# firewall-cmd --zone=public --list-interfaces

 

将 eth0 添加至 public zone,永久

# firewall-cmd --zone=public --permanent --add-interface=eth0

 

eth0 存在与 public zone,将该网卡添加至 work zone,并将之从 public zone 中删除

# firewall-cmd --zone=work --permanent --change-interface=eth0

 

删除 public zone 中的 eth0,永久

# firewall-cmd --zone=public --permanent --remove-interface=eth0

 

c. 管理服务

添加 smtp 服务至 work zone

# firewall-cmd --zone=work --add-service=smtp

 

移除 work zone 中的 smtp 服务

# firewall-cmd --zone=work --remove-service=smtp

 

d. 配置 external zone 中的 ip 地址伪装

查看

# firewall-cmd --zone=external --query-masquerade

 

打开伪装

# firewall-cmd --zone=external --add-masquerade

 

关闭伪装

# firewall-cmd --zone=external --remove-masquerade

 

e. 配置 public zone 的端口转发

要打开端口转发,则需要先

# firewall-cmd --zone=public --add-masquerade

 

然后转发 tcp 22 端口至 3753

# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=3753

 

转发 22 端口数据至另一个 ip 的相同端口上

# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100

 

转发 22 端口数据至另一 ip 的 2055 端口上

# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100

 

f. 配置 public zone 的 icmp

查看所有支持的 icmp 类型

# firewall-cmd --get-icmptypes
destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded

 

列出

# firewall-cmd --zone=public --list-icmp-blocks

 

添加 echo-request 屏蔽

# firewall-cmd --zone=public --add-icmp-block=echo-request [--timeout=seconds]

 

移除 echo-reply 屏蔽

# firewall-cmd --zone=public --remove-icmp-block=echo-reply

 

g. IP 封禁
# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.222.222.222' reject"

 

 

转载于:https://www.cnblogs.com/smlie/p/11380812.html

anhuanfeng4816
关注
1.防火墙转发原理.pdf
09-02
防火墙
防火墙报文转发流程
sgslwms的博客
08-09 5279
网络设备对流量的处理最终都是通过对单个报文的识别、转发、丢弃和改造来实现的。根据报文的类型和所配置的策略不同,FW对报文的处理过程也有所不同。USG6000典型的IP报文从接收到发送的简化转发流程如下图所示:总体可以分为三个阶段:分析会话前、会话、会话后的转发流程。......
防火墙实现端口转发
m0_70349048的博客
04-07 2443
实验
firewalld防火墙转发流量到其他端口forward port rules
fareast_mzh的博客
06-30 981
这样,借助iptables, firewalld 在没有公网IP的条件下把本机TCP 4662 映射到远程云主机 TCP 14662, 把本机UDP 4672映射到远程云主机UDP 14672。(10.8.0.1)开放端口14662 接收外部流量, 转发到10.8.0.2:4662。服务端: sudo tcpdump -i any udp port 14672 -XX。假设云主机eth0: 47.93.27.106。保存、重启iptables,让配置生效。如果是从windows端。windows客户端。
【linux防火墙】设置开启路由转发,SNAT和DNAT转换原理及应用实操,添加自定义链归类iptables规则
liu_xueyin的博客
11-30 1507
#指定是在filter下面去天剑WEB链,不写默认是filter第一步:先设置了WEB的两条策略,拒绝目标端口为8080,允许目标端口为80第二步:将其策略调用在filter的INPUT链,作用到源ip为192.168.20.10的主机上第三步:测试主机可以访问80端口第四步:修改端口为8080,重启httpd服务后,测试另一台主机访问,不可以访问8080端口##修改httpd的端口以后重启服务##这是192.168.20.10主机生效拒绝连接##删除INPUT调用的自定义链WEB的策略。
防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程
qq_39241682的博客
04-24 1531
简单通俗的讲,防火墙设备最基本的用途就是定义数据如何转发,靠什么定义呢?最基本的就是安全策略,当流量来到防火墙之后首先要报文匹配安全策略,先检查这个报文是否符合第一条安全策略的条件,如果符合就按照安全策略定义的规则动作执行,动作有permit和deny,也就是允许转发和不允许转发。如果第一条安全策略没有命,那么继续匹配其他的安全策略。如果匹配完所有的安全策略都没有命,那么将执行默认的安全策略动作(deny)。
四、防火墙转发原理
weixin_45761101的博客
05-04 6083
防火墙安全策略 定义: 安全策略:按一定规则转发流量,内容安全一体化检测 防火墙安全策略的原理 防火墙安全策略的核心作用是:根据规则对流量进行筛选,由动作来确定下一步操作。 NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。 会话表项 每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组为Key值,通过建立动态的会话表提供域间转发。 下一代防火墙会话表包括七个元素: 源IP地
防火墙转发特性技术介绍.pptx
10-13
防火墙转发特性技术介绍.pptx
基于国产龙芯CPU的高性能防火墙转发性能的研究与实现.pdf
09-24
基于国产龙芯CPU的高性能防火墙转发性能的研究与实现.pdf
linux防火墙配置教程之允许转发实验(2)
09-15
主要为大家详细介绍了linux防火墙配置教程之允许转发的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
端口转发 linux 实现防火墙开启可以访问
03-26
端口转发 linux 实现防火墙开启可以访问端口转发 linux 实现防火墙开启可以访问
用C、C++完整防火墙源代码
01-13
Xfilter 源代码完整的文件列表 ------------------------------------------------------ .\Common .\Lib .\Property .\Release .\TcpIpDog .\Xfilter.dsw .\readme.txt .\filelist.txt .\Common\XLogFile.h .\Common\XLogFile.cpp .\Common\XInstall.cpp .\Common\XFile.h .\Common\XInstall.h .\Common\XFile.cpp .\Common\Debug.h .\Common\XFileRes.h .\Lib\htmlhelp.h .\Lib\htmlhelp.lib .\Property\Property.opt .\Property\Property.aps .\Property\Property.dsp .\Property\Property.rc .\Property\Property.clw .\Property\ReadMe.txt .\Property\resource.h .\Property\NetIPAria.h .\Property\GuiRes.h .\Property\AclSet.cpp .\Property\SetTime.h .\Property\Acl.cpp .\Property\SetNet.h .\Property\MainSheet.h .\Property\AclSet.h .\Property\Register.h .\Property\SystemSet.cpp .\Property\Splash.h .\Property\Property.dsw .\Property\Acl.h .\Property\Property.ncb .\Property\Splash.cpp .\Property\Property.h .\Property\LogQuery.h .\Property\SetTime.cpp .\Property\MainSheet.cpp .\Property\SetNet.cpp .\Property\NetIPAria.cpp .\Property\About.cpp .\Property\StdAfx.h .\Property\StdAfx.cpp .\Property\SystemSet.h .\Property\Register.cpp .\Property\About.h .\Property\LogQuery.cpp .\Property\Property.cpp .\Property\NetTimeSheet.h .\Property\PacketMonitor.h .\Property\Property.plg .\Property\NetTimeSheet.cpp .\Property\PacketMonitor.cpp .\Property\Internet .\Property\MainFrame .\Property\SystemTray .\Property\res .\Property\HyperLink .\Property\Internet\Internet.cpp .\Property\Internet\Internet.h .\Property\MainFrame\MainFrame.cpp .\Property\MainFrame\mainframe.h .\Property\SystemTray\SystemTray.cpp .\Property\SystemTray\SystemTray.h .\Property\res\Property.rc2 .\Property\res\NULL.ico .\Property\res\Property.ico .\Property\res\about.bmp .\Property\res\Alert.ico .\Property\res\DenyEx1.ico .\Property\res\PassEx1.ico .\Property\res\QueryEx1.ico .\Property\res\splash.bmp .\Property\res\MEMO.ICO .\Property\res\ALERTSET.ICO .\Property\res\APPSET.ICO .\Property\res\BASESET.ICO .\Property\res\COMMONSET.ICO .\Property\res\Monitor.ico .\Property\res\NETSET.ICO .\Property\res\SUPERSET.ICO .\Property\res\TIMESET.ICO .\Property\res\Xfilter.ico .\Property\res\IPSET.ICO .\Property\res\Email.ico .\Property\res\QueryResult.ico .\Property\res\QuerySet.ICO .\Property\res\UserInfo.ico .\Property\res\ACLSET.ICO .\Property\res\Message.ico .\Property\HyperLink\HyperLink.cpp .\Property\HyperLink\HyperLink.h .\Release\xacl.cfg .\Release\Xfilter.chm .\Release\Xfilter.exe .\Release\Xfilter.dll .\Release\xlog.dat .\TcpIpDog\StdAfx.cpp .\TcpIpDog\TcpIpDog.dsp .\TcpIpDog\LspServ.def .\TcpIpDog\ReadMe.txt .\TcpIpDog\CheckAcl.cpp .\TcpIpDog\TcpIpdog.cpp .\TcpIpDog\Codes.h .\TcpIpDog\TcpIpDog.h .\TcpIpDog\ProtocolInfo.h .\TcpIpDog\CheckAcl.h .\TcpIpDog\StdAfx.h .\TcpIpDog\ProtocolInfo.cpp .\TcpIpDog\TcpIpDog.plg
Linux 服务器 Firewalld 防火墙配置端口转发
煜铭2011
08-07 7070
业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。.........
防火墙技术基础篇:基于IP地址的转发策略
qq_39241682的博客
05-23 1040
基于IP地址的转发策略是一种网络管理方法,它允许根据目标IP地址来选择数据包转发路径。这种策略比传统的基于目的地地址的路由更灵活,因为它不仅考虑目标地址,还可以根据报文大小、应用或IP源地址来进行路由选择。
防火墙转发数据流程
vanGogh的博客
01-12 111
原文链接:https://blog.csdn.net/weixin_49283635/article/details/135543267。版权声明:本文为CSDN博主「准~哥」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。扫码关注公众号不迷路、随时查看最新内容。
华为防火墙 设置当访问指定IP的流量时转发至另一个防火墙出口
一直被模仿,从未被超越
11-12 1079
需求:上海与福州通过两边防火墙IPSec已成功建立VPN,实现内网互通 阿里部署了OpenVPN,且开通了上海的白名单,上海可以通过OpenVPN可以连接阿里内网 但是福州没有固定IP,无法开通白名单,怎么办? 可以通过NAT解决,让福州访问阿里的IP时,从上海出,这样福州就可以用OpenVPN了 环境: 阿里外网:61.218.73.79 福州内网:10.3.8.0/24 上海外网:210.13.101.130 内网:10.3.0.0/24 1、上海 创建NAT untrust到u..
华为防火墙的数据报文转发原理
不定期分享一些自己的学习笔记
10-16 1469
华为防火墙的数据报文转发原理
深信服防火墙转发nexus
最新发布
09-03
深信服防火墙的Nexus功能主要是指其高级路由和交换模块,它提供了一种安全网络流量管理的解决方案。Nexus在网络架构通常用于连接不同的安全区域,如DMZ、内网和外网,支持策略控制下的数据包转发。通过配置访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值