1.firewall设置中的direct rules
这个指令可以设置火墙的默认设置是接受还是拒绝
firewall-cmd --direct --get-all-rules ##查看所有的direct rules
这里可以举个例子来证明一下
环境:虚拟机安装了httpd服务,但是火墙设置中没有添加httpd服务,所以默认情况下所有的计算机都不能使用虚拟机的httpd服务
那么我们如何使虚拟机默认接受我真机172.25.254.1的所有要求呢
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.1 -j ACCEPT ##设置默认接受172.25.254.1端口为80的tcp服务访问
再次测试,真机就可以访问虚拟机了
那么我如何修改为默认拒绝呢?
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.1 -j ACCEPT ##设置默认接受172.25.254.1端口为80的tcp服务访问
2.firewall中的rich rules
1)端口转发
即我想要访问的主机跟我访问的主机不是一台,DNAT(目的地地址解析)
环境:
虚拟节desktop:作为端口转发的服务器172.25.254.2
虚拟机server:作为被导向的虚拟机172.25.254.3
真机:测试
虚拟机desktop输入,22端口是ssh服务的端口
firewall-cmd --add-masquerade ##真机开启路由功能
firewall-cmd --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.3 ##将端口22转到ip为172.25.254.3的主机上
真机做测试
ssh root@172.25.254.2
这就是端口转发~
2)伪装
即一个处于不同网段的主机连接另外一个不同网段的主机时,显示连接的ip是同一个网段的ip,SNAT
环境:
虚拟节desktop:作为路由器,双网卡172.25.254.2和1.1.1.2
虚拟机server:作为被访问的主机,1.1.1.1
真机:访问虚拟机server,172.25.254.1
具体的步骤其实就是设置路由器的过程
虚拟机desktop
添加双网卡,然后分别设置网卡配置文件为
虚拟机server
设置网络为下图
测试是否可以连通
真机可以ping通server
server也可以ping通真机
接下来使用ssh服务来测试伪装功能,这里我使用了虚拟机server连接了真机
在真机使用w -i 命令,查看登陆我真机的ip
如上图所示,这就是rich rules中的伪装功能,我用1.1.1.1连接的真机,但是真机显示连接它的却是172.25.254.2~
————————————————
版权声明:本文为CSDN博主「Mr.o.j」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_40543283/article/details/84962996