Linux下firewall服务使用

fifirewall服务

三者关系

iptables 工具--最终实现底层控制

iptables-service服务 规则配置永久生效 配置文件编辑加载 (7版本 删了)

firewall服务(为了代替iptables-services 更便捷的管理防火墙)

firewall存在的目的 : 能够代替iptables工具 来配置规则

启动需配

systemctl stop iptables 停止iptables服务

systemctl start firewalld 开启firewall服务

查看防火墙工作在哪个区域

firewall-cmd --get-default-zone

防火墙所支持的区域名称

block dmz drop external home internal public trusted work

工作区域具体作用

block 组织 拒绝一切访问reject

drop 丢弃 丢弃一切请求

trusted 信任区域 accept 允许所有访问

external 外部的 该域名是专门用来做mac地址转换的

通过firewall来对外网主机访问内网进行操作

查看当前工作区域 允许访问的服务有哪个

firewall-cmd --zone=public --list-service

删除规则

一处服务使用 --remove-service=http

1、firewall-cmd设置NAT转换 1、启用IP转发
vim /etc/sysctl.conf net.ipv4.ip_forward = 1
sysctl -p #命令生效
2、修改网卡的zone
firewall-cmd --permanent --zone=external --change-interface=ens33(出口网卡) 3、设置IP地址伪装(SNAT)
firewall-cmd --zone=external --add-masquerade --permanent
firewall-cmd --permanent --zone=external --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24
masquerade' 将source为192.168.2.0网段来的数据包伪装成external(即ens33)的地址
firewall-cmd --zone=drop --add-rich-rule="rule family=ipv4 source address=192.168.2.0/24 forward-port
port=80 protocol=tcp to-port=22 to-addr=192.168.2.208" 将来自192.168.2.0/24网段访问本地80端口的流量转
发到192.168.2.208主机的22端口
4、重载Firewall使配置生效
firewall-cmd --reload
5、端口映射(DNAT 将访问本机1122端口映射到192.168.2.3上
firewall-cmd --zone=external --add-forward-port=port=1122:proto=tcp:toport=22:toaddr=192.168.2.3 --
permanent
firewall-cmd --reload
注:或者设置NAT规则也可实现
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --tosource 192.168.1.10
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -I POSTROUTING -o ensxx -j MASQUERADE -s
192.168.1.0/24

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值