网站开发小程序开发公司,网站需要更新的频率,无极县在线招聘信息,建筑网站的特点一、IP伪装与端口转发#xff1a;
当用户数据包经过NAT设备时#xff0e;NAT设备将源地址替换为公网P地址#xff0e;而返回的数据包就可以被路由#xff0c;NAT技术一般都是在企业边界路由器或者防火墙上来配置. Firewaild支持两种类型的NAT;P地址伪装和端口转发.
1.1 I…一、IP伪装与端口转发
当用户数据包经过NAT设备时NAT设备将源地址替换为公网P地址而返回的数据包就可以被路由NAT技术一般都是在企业边界路由器或者防火墙上来配置. Firewaild支持两种类型的NAT;P地址伪装和端口转发.
1.1 IP地址伪装
地址伪装〈masquerade):通过地址伪装NAT设备将经过设备的包转发到指定接收方同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用patIP地址伪装仅支持ipv4不支持ipv6.
1.2 端口转发
端口转发Forward-port):也称为目的地址转换或端口映射通过端口转发将指定Р地址及端口的流量转发到相同计算机.上的不同端口或不同计算机上的端口。企业内网的服务器-般都采用私网地址可以通过端口转发将使用私网地址的服务器发布到公网以便让互联网用户访问。例如当接收互联网用户的HTTP请求时网关服务器判断数据包的目标地址与目标端口一旦匹配指定规则则将其目标地址修改为内网真正的服务器地址从而建立有效连接。
二、firewall-cmd高级配置
2.1 使用富语言
firewalld的富语言rich language)提供了一种不需要了解iptables语法的通过高级语言配置复杂Pv4和IPv6 防火墙规则的机制为管理员提供了一种表达性语言通过这种语言可以表达 firewalld的基本语法中未涵盖的自定义防火墙规则。例如仅允许从单个P地址而非通过某个区域路由的所有P地址)连接到服务. 富规则可用于表达基本的允许/拒绝规则也可以用于配置记录〈面向syslog 和 auditd)以及端口转发、伪装和速率限制。下面是表达富规则的基本语法: 规则的每个单一元素都能够以option-value的形式来采用附加参数。
1)规则排序 一旦向某个区域一般是指防火墙〉中添加了多个规则规则的排序会在很大程度上影响防火墙的行为。对于所有的区域.区域内的规则的基本排序是相同的。如果区域中的任何规则与包均不匹配通常会拒绝该包但是区域可能具有不同的默认值。例如可信区域(trusted将接收任何不匹配的包。此外在匹配某个记录规则后将继续正常处理包。 直接规则是个例外。大部分直接规则将首先进行解析然后由firewalld进行其他处理但是直接规则语法允许管理员在任何区域中的任何位置插入任何规则.
2)测试和调试 为了便于测试和调试几乎所有规则都可以与超时一起添加到运行时配置。当包含超时的规则添加到防火墙时计时器便针对该规则开始倒计时一旦规则的计时器达到О秒便从运行时配置中删除该规则. 在使用远程防火墙时使用超时会是一种极其有用的工具特别是在测试更复杂的规则集时.如果规则有效则管理员可以再次添加该规则;如果规则没有按照预期运行甚至可能将管理员锁定而使其无法进入系统那么规则将被自动删除以允许管理员可以继续工作. 通过在启用规则的firewall-cmd命令的结尾追加选项-—timeoutTMEINSECONDS,可向运行时规则中添加超时.
2.2理解富规则
firewall-cmd有四个选项可以用于处理富规则所有这些选项都可以同常规的--permanent或-—zoneZONE选项组合使用
任何已配置的富规则都会显示在 firewall-cmd --list-all和firewall-cmd ---list-all-zones 的输出结果中。具体语法解释如下所示. source:限制源Р地址源地址可以是一个IPv4、IPv6地址或者一个网络地址段.destination:限制目标地址目标地址使用跟源地址相同的语法。 elenent:要素该项只能是以下几种要素类型之一;service、port , protocol、icmp-block masquerade和forward-port .service:服务名称是firewaild 提供的其中一种服务。要获得支持的服务列表输入以下命令:firewall-cmd —--get-services 。如果一个服务提供了一个目标地址它和规则中的目标地址冲突则会导致一个错误。命令格式为:service nameservice_narne。
port:端口可以是一个独立端口数字,或者是端口范围.如5060~5062。协议为TCP或uDP、命令格式为:port portnumber_or _range protocolprotocol。
protocol:协议可以是一个协议ID号或者一个协议名。查询可用协议请查阅/etc/ protocols。命令格式为:protocol valueprotocol_name_or_lD。
icmp-block:阻断一个或多个ICMP类型.要获得支持的ICMP类型列表.输入firewall-and--get-icmptypes命令即可查看。命令格式为:icmp-block nemeicmptype_name。
masquerade:规则里的P伪装用源地址而不是目的地址来把伪装限制在一个范围内。
forward-port:将指定的TCP或UDP协议的数据包转发到本机的其他端口或另一台机器或另一-台机器上的其他端口。port 和 to-port可以是一个单独的端口数字或一个端口范围。而目的地址是一个简单的P地址命令格式为:forward-portportnumber_or_range protocolprotocol to-portnumber _or_range to-addraddress。
log:注册有内核日志的连接请求到规则中如系统日志。可以定义一个前缀文本把日志信息作为前缀加入。日志等级可以是emerg. alert、 crit、errorwarning.notice、info 或者debug 中的一个。可以选择日志的用法按以下方式限制日志:log [prefixprefix text][levellog level] limit valuerate/duration。持续时间的单位为s、 m、 h、 d、s表示秒.m表示分钟, h表示小时, d表示天。最大限定值是1/d(每天最多有一条日志进入)。
audit:审核审核类型可以是accept、reject或drop 中的--种但不能在 audit命令后指定因为审核类型将会从规则动作中自动收集审核不包含自身参数但可以选择性地增加限制。审核的使用是可选择的。
acceptlreject|drop:可以是accept、reject或drop 中的一个行为。命令格式为:accept / reject[typereject type] / drop。指定accept时所有新的连接请求都将被允许指定reject时.连接将被拒绝发起端将接到一个拒绝信息。指定 drop时所有数据包会被丢弃并且不会向发起端发送任何信息。
2.3规则配置举例
为认证报头协议AH使用新的IPv4和IPv6连接.
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule protocol valueah accept 允许新的IPv4和Pv6连接FTP并使用审核每分钟记录一次.
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule service nameftp log limit value1/m audit accept允许来自192.168,0,0/24地址的TFTP协议的IPv4 连接并且使用系统日志每分钟记录一次。
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule familyipv4 source address192.168.0.0/24 service nametftp log prefixtftp levelinfo limit value1/m accept
为 RADUS协议拒绝所有来自1∶2∶3∶4∶6:的新IPv6连接日志前缀为“dns”级别为“info”并每分钟最多记录3次。接受来自其他发起端新的IPv6连接。
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule familyipv6 source address1:2:3:4:6:: service nameradius log prefixdns levelinfo limit value3/m reject[rootlocalhost ~]# firewall-cmd --add-rich-rulerule familyipv6 service nameradius accept
将源192.168,2.2地址加入白名单以允许来自这个源地址的所有连接.
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule familyipv4 source address192.168.2.2 accept 拒绝来自public区域中职地址192.168,0.11的所有流量。
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule familyipv4 source address192.168.0.11/32 reject丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包.
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule protocol valueesp drop在192.168.1 ,0/24子网的dmz区域中接收端口7900~7905的所有TCP包。
[rootlocalhost ~]# firewall-cmd --zonedmz --add-rich-rulerule familyipv4 source address192.168.1.0/24 port port7900-7905 protocoltcp accept接收从 work区域到SSH的新连接以notice级别且每分钟最多三条消息的方式将新连接记录到 syslog
[rootlocalhost ~]# firewall-cmd --zonework --add-rich-rulerule service namessh log prefixssh levelinfo limit value3/m accept在接下来的5min 内拒绝从默认区域中的子网192.168,2.0/24到DNS的新连接并且拒绝的连接将记录到audit系统且每小时最多一条消息.
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule familyipv4 source address192.168.2.0/24 service namedns audit limit value1/h reject --timeout300
