端口转发:firewalld rich rule实现

已于 2022-02-17 15:46:00 修改
阅读量3k 收藏 8
点赞数
分类专栏: 网络安全 网络技术 文章标签: firewalld forward
于 2021-01-12 19:30:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/avatar_2009/article/details/112541292
版权

 目录

内部端口转发

外部端口转发

firewalld配置延展

firewalld提供了masquerade,用以辅助port-forward;但是,内部port-forward不需要masquerade。此外,端口转发rule中配置的port属性(eg:port=22002)无需添加到防火墙例外,因为无论添加与否都能被访问到,如果要对访问进行限制,则需要在策略中增加source address属性加以限制;或者在目的服务器上加以限制。

内部端口转发

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 forward-port port=22002 protocol=tcp to-port=22'
# 或者
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 forward-port port=22001 protocol=tcp to-port=22 to-addr=192.168.10.151'
# reload配置以令生效
firewall-cmd --reload

如上所述配置内部端口转发,即:to-addr不配置或者配置成本机IP地址。这里无需配置:firewall-cmd --permanent --add-masquerade以开启地址伪装。

内部端口转发需要注意 带to-address和不带是有区别的;如果带则to-port上的访问限制会生效,否则不生效。
例如:上面所示转发策略,to-port=22端口未添加到例外,只配置如下访问限制策略(允许192.168.188.0/14)

# 需要注意的是:rich rule每个字段之间只能有1个空格,否则会报错,比如将port前面多一个空格,firewalld会将“空格+port”做为一个element,查看systemctl status firewalld:firewalld[1545]: ERROR: INVALID_RULE: unknown element  port
$ sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.10.0/24" port protocol=tcp port=22001 accept'
$ sudo firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.14.109" port protocol="tcp" port="22001" accept"

即便port=22001允许访问也无法将请求转发到to-port=22上;而port=22002则可以正常访问。

外部端口转发

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 forward-port port=22003 protocol=tcp to-port=22 to-addr=192.168.188.29'
firewall-cmd --permanent --add-masquerade
# 或者只允许源地址为192.168.14.0/23地址访问
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.14.0/23 masquerade'
firewall-cmd --reload

如上所述配置外部端口转发,和内部端口转发的区别在于:需要开启masquerade。不然因请求和响应路径不一致导致会话无法建立。

未配置masquerade(假设Client为C,中间转发服务器为F,目的服务器为D,转发策略如上所示)。
    1、C发送请求22003端口给F;
    2、F将请求转发给D的22端口(未做SNAT,故请求报文的源地址还是C的);
    3、D收到请求为C发送的,故D直接响应C;
    4、而C发送请求给的是F:22003,所以一直在等待F回复,虽然D回复了,然并不是C所要的会直接被丢弃;
    5、可以发现因为没有masquerade,而导致整个请求和响应的路径并不一致。

    

配置masquerade后请求响应路径

    

firewalld配置延展

firewall-cmd --get-services 查看预定义服务列表
/usr/lib/firewalld/services/*.xml预定义服务的配置

三种配置方法
firewall-config (firewall-config包)图形工具
firewall-cmd (firewalld包)命令行工具
/etc/firewalld 配置文件,一般不建议修改

itachi-uchiha
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
防火墙Firewalld_网络端口安全
小Eason哥
01-02 255
SELinux 端口:每个服务的端口都受到SELinux的保护。单个端口被转换成多个端口在同一台机器,或者一个端口在不同机器上。,端口转发,伪装,限制等。用于更新MAN 数据库。
firewalld 防火墙策略
可问春风的博客
03-11 5248
下面都是在public区 #网关 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200." accept" firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200.112" accept" firewall-cmd --reload firewall-cmd --p
firewalld 高级配置、IP 伪装与端口转发、配置IP伪装规则、配置端口转发规则、firewalld的direct interface高级接口配置、富语言、富语言语法解释、地址伪装、端口转发
最新发布
jingyu飞鸟
06-11 921
息作为前缀入。日志等级可以是emerg、alert、crit、或者debug中的一个。可以选择日志的用法,按以下方式限制日志:持续时间的单位为s、m、h、d。s表示秒,m表示分钟,h表示小时,d表示天。最大限定值是1/d(每天最多有一条日志进入)。
Linux系统中firewalld策略配置
u012597310的博客
05-07 2844
场景1、允许指定IP访问本机指定端口 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.254.135/24" port protocol="tcp" port="22" accept' 场景2、允许指定IP段访问本机指定端口 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="19
Linux防火墙-firewalldrich规则配置
binzhili88的博客
11-20 3842
Linux防火墙-firewalldrich规则配置
Centos7防火墙配置rich-rule实现IP端口限制访问 & firewall-cmd命令
weixin_42326851的博客
05-24 7900
Centos7防火墙配置rich-rule实现IP端口限制访问 & firewall-cmd常用命令
firewall基本配置参考
c1h2cy的专栏
10-24 472
可尝试直接编辑规则文件,删掉原来的设置规则,重新载入一下防火墙即可。
第二十章:Firewalld防火墙应用1
08-08
第二十章:Firewalld防火墙应用重点:一、概述;概述:Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具
第二十章:Firewalld防火墙应用.pdf
08-08
第二十章:Firewalld防火墙应用.pdf
linux firewalld开启端口
12-23
CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables。
详解CentOS7使用firewalld打开关闭防火墙与端口
09-15
本篇文章主要介绍了CentOS7使用firewalld打开关闭防火墙与端口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
在CentOS 7 上为docker配置端口转发以兼容firewall的解决方法
01-09
为了解决这个问题,我们需要采取以下步骤来配置CentOS 7上的firewalld,以便与Docker进行端口转发兼容: 1. **检查Docker网络设置**: 首先,确认Docker已经创建了一个名为`docker0`的虚拟网卡。这可以通过运行`...
firewalld防火墙常用命令
weixin_45290734的博客
10-06 459
1,防火墙启动 systemctl start firewalld 2.开启某个端口 firewall-cmd --permanent --zone=public --add-port=80/tcp 3.设置某个端口白名单 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="2222" accept" ......
linux7防火墙
u014644574的博客
06-11 1937
#开启端口 firewall-cmd --zone=public --add-port=80/tcp --permanent #删除端口 firewall-cmd --zone=public --remove-port=80/tcp --permanent #重启防火墙: firewall-cmd --reload #查询有哪些端口是开启的: firewall-cmd --list-port
firewall-cmd命令管理防火墙
xal0610的博客
10-30 465
1、查询防火墙端口列表 firewall-cmd --list-ports 2、查询防火墙IP+端口限制列表 firewall-cmd --list-rich-rules 3、设置端口白名单 firewall-cmd --add-port 8888/tcp 4、设置服务的来源IP和目的IP白名单 firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.0.1 port protocol=tcp
firewalld防火墙处理的命令
qq_43677558的博客
11-10 1437
add-interface= 将源自该网卡的所有流量都导向某个指定区域。–list-all-zones 显示所有区域的网卡配置参数、资源、端口以及服务等信息。–set-default-zone= 设置默认的区域,使其永久生效。–remove-service= 设置默认区域不再允许该服务的流量。–add-service= 设置默认区域允许该服务的流量。–add-source= 将源自此IP或子网的流量导向指定的区域。–add-rich-rule=:添规则族。
linux 添白名单命令,详解firewall的规则设置与命令(白名单设置)
weixin_33726568的博客
05-09 3131
一. 设置firewall规则例1:对外暴露8080端口firewall-cmd --permanent --add-port=8080/tcp例2:使mysql服务的3306端口只允许192.168.1.1/24网段的服务器能访问#添规则firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="19...
firewall-cmd 使用总结
10-31 5735
firewalld的简要说明:     firewalld 、firewall-cmd 、firewall-offline-cmd它们Python脚本,通过定义的在/usr/lib/firewalld下面的xml配置信息,   在启动时自动载入默认iptables配置,并应用到系统中,当使用firewalld-cmd添防火墙规则时,它实际是转换成   iptables规则后,在应用到系统中。      firewalld定义了几个概念:     zone: 它是安全域的范围,就类似于Window上的域网
Firewald 防火墙使用手册
qq_40907977的博客
02-08 333
1、添黑名单 firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.0.23" drop' 然后reload一下firewall firewall-cmd --reload 2、添 端口白名单 查看下防火墙的状态:systemctl status firewalld 需要开...
python module not found: firewalld and its python module are required for th
09-20
出现"python module not found: firewalld and its python module are required for th"错误是因为缺少firewalld模块及其对应的python模块。Firewalld是一个用于管理Linux系统防火墙规则和策略的工具,与Python语言结合使用时,需要安装相关的Python模块。 解决该问题的方法是先检查系统上是否安装了Firewalld。可以通过在终端运行以下命令来验证: ``` firewall-cmd --version ``` 如果显示Firewalld版本信息,则说明Firewalld已安装;如果显示命令未找到,则需要安装Firewalld。 对于Ubuntu系统,可以使用以下命令安装Firewalld: ``` sudo apt-get install firewalld ``` 对于CentOS或RHEL系统,可以使用以下命令安装Firewalld: ``` sudo yum install firewalld ``` 安装完成后,还需要确保安装了与Python对应的Firewalld模块。可以使用以下pip命令来安装: ``` pip install python-firewall ``` 安装完成后,再次运行代码或执行相应的操作,应该就不会再出现"python module not found: firewalld and its python module are required for th"错误了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值