firewall

firewall-cmd --state    ##状态
firewall-cmd --get-active-zones    ##正在活动的域


firewall-cmd --get-default-zone    ##默认的域
firewall-cmd --get-zones    ##所有的域


firewall-cmd --zone=public --list-all    ##列出public域


firewall-cmd --get-services    ##所有服务


firewall-cmd --list-all-zones    ##列出所有域


firewall-cmd --set-default-zone=dmz    ##设置默认域

firewall-cmd --add-source=172.25.254.5 --zone=trusted

firewall-cmd --remove-source=172.25.254.5 --zone=trusted
firewall-cmd --list-all


firewall-cmd --remove-interface=eth1 --zone=public    ##移除接口

firewall-cmd --add-interface=eth1 --zone=trusted    ##添加接口


firewall-cmd --get-active-zones

firewall-cmd --add-port=8080/tcp    ##添加8080端口


firewall-cmd --remove-port=8080/tcp    ##移除8080端口

firewall-cmd --add-service=ssh        ##添加服务


firewall-cmd --remove=service=ssh    ##移除服务

firewall-cmd --reload            ##重新加载
firewall-cmd --complete-reload        ##断开加载在连接

--permanent        ##firewall-cmd命令后加上--permanent表示永久生效,否则该命令临时生效

3表5链路
filter(input output forward)
nat(input output prerouting postrouting)
mangle(input output prerouting postrouting forward)

firewall-cmd --direct --add-rule ipv4 filter INPUT 2 -s 172.25.254.5 -p tcp --dport 22 -j ACCEPT


firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 -s 172.25.254.5 -p tcp --dport 22 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter INPUT 2 ! -s 172.25.254.5 -p tcp --dport 22 -j ACCEPT

firewall-cmd --direct --get-all-rules

伪装

服务端

设置两个ip,一个为172.25.254.205,另一个为192.25.254.205
firewall-cmd --add-masquerade
firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.254.205/24 masquerade"

vim /etc/sysctl.conf

net.ipv4.ip_forward=1

客户端

设置ip为192.25.254.1,网关为192.25.254.205

在客户端通过ssh连接172.25.254.5,查看登陆172.25.254.5的用户为172.25.254.205

ssh root@172.25.254.5

端口转发
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.5

firewall-cmd --add-icmp=block=echo-request

firewall-cmd --get-icmptypes


firewall-cmd --add-icmp=block=echo-request timeout=5

iptables

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.205


iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-dest 192.168.0.1


iptables -nL    ##显示策略
iptables -F    ##清除策略
service iptables save    ##保存当前策略
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 172.25.254.250 -j ACCEPT    ##添加
iptables -I INPUT 2 -s 172.25.254.250 -p tcp --dport 22 -j ACCEPT    ##插入
iptables -R INPUT 2 -s 172.25.254.250 -p tcp --dport 22 -j DROP    ##修改
iptables -D INPUT 2    ##删除
iptables -P INPUT DROP    ##修改默认策略
iptables -P INPUT ACCEPT

 

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##访问过的,正在访问的可以访问
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT ##接受访问本地回环网络
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT    ##接受访问22端口
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT    ##接受访问80端口
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT    ##接受访问53端口
iptables -A INPUT -j REJECT    ##拒绝其他访问

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值