手机网站出现广告,广州头条新闻最近一周,网站内页优化,呼和浩特网站建设费用1. Firewalld支持两种类型的NAT#xff1a;IP地址伪装和端口转发。 #xff08;1#xff09;IP地址伪装 地址伪装#xff08;masquerade)#xff1a;通过地址伪装#xff0c;NAT 设备将经过设备的包转发到指定接收方#xff0c;同时将通过的数据包的源地址更改为其自己的…1. Firewalld支持两种类型的NATIP地址伪装和端口转发。 1IP地址伪装 地址伪装masquerade)通过地址伪装NAT 设备将经过设备的包转发到指定接收方同时将通过的数据包的源地址更改为其自己的接口地址当返回的数据包到达时会将目的地址修改为原 始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网类似于NAT技术中的端口多路复用PAT) IP地址伪装仅支持 IPv4不支持 IPv6。
2端口转发 端口转发Forward-port)也称为目的地址转换或端口映射。通过端口转发将指定IP地址及端口的流量转发到相同计算机上的不同端口或不同计算机上的端口。企业内网的服务器一般都采用私网地址可以通过端口转发将使用私网地址的服务器发布到公网以便让互联网用户访问。例如当接收互联网用户的HTTP请求时网关服务器判断数据包的目标地址与目标端口一旦匹配指定规则则将其目标地址修改为内网真正的服务器地址从而建立有效连接。 2.使用富语言 firewalld的富语言rich language)提供了一种不需要了解 iptables 语法的通过高级语言配置复杂 IPv4和IPv6 防火墙规则的机制为管理员提供了一种表达性语言通过这种语言可以表达firewalld 的基本语法中未涵盖的自定义防火墙规则。例如仅允许从单个IP地址而非通过某个区域路由的所有IP地址连接到服务。 富规则可用于表达基本的允许/拒绝规则也可以用于配置记录面向syslog和aditd)以及端口转发、伪装和速率限制。 3.理解富规则命令 firewall-cmd 有四个选项可以用于处理富规则所有这些选项都可以同常规的--permanent 或 --zoneZONE选项组合使用具体选项见表3-1。 任何已配置的富规则都会显示在firewall-cmd--list-all 和firewall-cmd-—list-all-zones的输出结果中。具体语法解释可参考电子档。 4. 规则配置举例
1为认证报头协议AH使用新的IPv4和IPv6连接。
[rootgateway-server ~]# firewall-cmd --add-rich-rulerule protocol valueah accept 2允许新的Pv4和Pv6连接 FTP并使用审核每分钟记录一次。
[rootgateway-server ~]# firewall-cmd --add-rich-rulerule service nameftp log limit value1/m audit accept 3允许来自192.168.0.0/24地址的TFTP协议的IPv4连接并且使用系统日志每分钟记录 一次。
[rootgateway-server ~]# firewall-cmd --add-rich-rulerule familyipv4 source address192.168.0.0/24 service nametftp log prefixtftp levelinfo limit value1/m accept4为RADIUS协议拒绝所有来自12346的新IPv6连接日志前缀为“dns”级别 为“info”并每分钟最多记录3次。接受来自其他发起端新的IPv6 连接。
[rootgateway-server ~]# firewall-cmd --add-rich-rulerule familyipv6 source address1:2:3:4:6:: service nameradius log prefixdns levelinfo limit value3/m reject[rootgateway-server ~]# firewall-cmd --add-rich-rulerule familyipv6 service nameradius accept5将源192.168.2.2地址加入白名单以允许来自这个源地址的所有连接。
[rootgateway-server ~]# firewall-cmd --add-rich-rulerule familyipv4 source address192.168.2.2 accept6拒绝来自public区域中IP地址192.168.0.11的所有流量。
[rootgateway-server ~]# firewall-cmd --zonepublic --add-rich-rulerule familyipv4 source address192.168.0.11/32 reject7丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包。
[rootgateway-server ~]# firewall-cmd --add-rich-rulerule protocol valueesp drop8在192.168.1.0/24子网的dmz区域中接收端口79007905的所有TCP包。
[rootgateway-server ~]# firewall-cmd --zonedmz --add-rich-rulerule familyipv4 source address192.168.1.0/24 port port7900-7905 protocoltcp accept9)接收从 work 区域到 SSH 的新连接以notice级别且每分钟最多三条消息的方式将新连接记录到syslog。
[rootgateway-server ~]# firewall-cmd --zonework --add-rich-rulerule service namessh log prefixssh levelnotice limit value3/m accept10在接下来的5min内拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接并且拒绝的连接将记录到 audit系统且每小时最多一条消息。
[rootgateway-server ~]# firewall-cmd --add-rich-rulerule familyipv4 source address192.168.2.0/24 service namedns audit limit value1/h reject --timeout300
