江苏龙网

  1. 主页 > 生活百科 > >

CentOS 7/8 预装的新型防火墙firewalld配置详解,你会用吗( 四 )

防火墙


典型的做法:

  1. NAT内网端口映射
  2. SSH隧道转发数据
如果配置好端口转发之后不能用,可以检查下面两个问题:
比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
其次检查是否允许伪装 IP,没允许的话要开启伪装 IP
将80端口的流量转发至8080
[root@zcwyou ~]# firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080将80端口的流量转发至192.168.0.1
[root@zcwyou ~]# firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1将80端口的流量转发至192.168.0.1的8080端口
[root@zcwyou ~]# firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去 。
端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器 。
禁止区域的端口转发或者端口映射
firewall-cmd [--zone=] --remove-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
| :toport=[-]:toaddr=
}查询区域的端口转发或者端口映射
firewall-cmd [--zone=] --query-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
| :toport=[-]:toaddr=
}在区域中永久启用端口转发或映射
firewall-cmd --permanent [--zone=] --add-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
| :toport=[-]:toaddr=
}端口可以映射到另一台主机的同一端口,也可以是同一主机或另一主机的不同端口 。端口号可以是一个单独的端口 或者是端口范围 -。协议可以为 tcp 或udp。目标端口可以是端口号 或者是端口范围 - 。目标地址可以是 IPv4 地址 。受内核限制,端口转发功能仅可用于IPv4 。
永久禁止区域的端口转发或者端口映射
firewall-cmd --permanent [--zone=] --remove-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
| :toport=[-]:toaddr=
}查询区域的端口转发或者端口映射状态
firewall-cmd --permanent [--zone=] --query-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=
| :toport=[-]:toaddr=
}如果服务启用,此命令将有返回值 。此命令没有输出信息 。
例: 将 home 区域的 ssh 服务转发到 127.0.0.2
[root@zcwyou ~]# firewall-cmd --permanent --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.28. 伪装 IP
检查是否允许伪装IP
[root@zcwyou ~]# firewall-cmd --query-masquerade允许防火墙伪装IP
[root@zcwyou ~]# firewall-cmd --add-masquerade禁止防火墙伪装IP
[root@zcwyou ~]# firewall-cmd --remove-masquerade永久启用区域中的伪装
firewall-cmd --permanent [--zone=] --add-masquerade
此举启用区域的伪装功能 。私有网络的地址将被隐藏并映射到一个公有IP 。这是地址转换的一种形式,常用于路由 。由于内核的限制,伪装功能仅可用于IPv4 。
临时禁用区域中的 IP 伪装
firewall-cmd [--zone=] --remove-masquerade
永久禁用区域中的伪装
firewall-cmd --permanent [--zone=] --remove-masquerade
查询区域中的伪装的永久状态
firewall-cmd --permanent [--zone=] --query-masquerade
如果服务启用,此命令将有返回值 。此命令没有输出信息 。
查询区域的伪装状态
firewall-cmd [--zone=] --query-masquerade
如果启用,此命令将有返回值 。没有输出信息 。
9. ICMP控制
获取永久选项所支持的ICMP类型列表
[root@zcwyou ~]# firewall-cmd --permanent --get-icmptypes获取所有支持的ICMP类型
[root@zcwyou ~]# firewall-cmd --get-icmptypes永久启用区域中的ICMP阻塞,需要reload防火墙,
firewall-cmd --permanent [--zone=] --add-icmp-block=
此举将启用选中的 Internet 控制报文协议 (ICMP) 报文进行阻塞 。ICMP 报文可以是请求信息或者创建的应答报文或错误应答报文 。
永久禁用区域中的ICMP阻塞,需要reload防火墙,
firewall-cmd --permanent [--zone=] --remove-icmp-block=
查询区域中的ICMP永久状态
firewall-cmd --permanent [--zone=] --query-icmp-block=
如果服务启用,此命令将有返回值 。此命令没有输出信息 。
例: 阻塞公共区域中的响应应答报文:
[root@zcwyou ~]# firewall-cmd --permanent --zone=public --add-icmp-block=echo-reply立即启用区域的 ICMP 阻塞功能
firewall-cmd [--zone=] --add-icmp-block=
此举将启用选中的 Internet 控制报文协议 (ICMP) 报文进行阻塞 。ICMP 报文可以是请求信息或者创建的应答报文,以及错误应答 。


推荐阅读


上一篇:泡茶需要注意的冲泡时间

下一篇:泡茶时投茶量介绍