保证Linux系统安全之firewalld防火墙配置地址伪装和端口转发详解

发布时间:2020-05-20 22:39:39 作者:筱振
来源:网络 阅读:1256

通过保证Linux系统安全之firewalld防火墙入门详解认识Linux系统firewalld防火墙,并可以编写一些相对简单一些的防火墙规则。Linux防火墙可以充当路由器(网关)。路由器上的NAT技术,同样可以通过Linux防火墙来实现。地址伪装和端口转发说白了就是路由器中的NAT技术。

一、地址伪装和端口转发简介

firewalld防火墙支持两种类型的NAT:

(1)地址伪装

地址伪装:基于源地址进行转换,通过地址伪装,NAT设备将经过设备的数据包转发到指定接收方,同时将通过的数据包的源地址更改为其本身的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个IP地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持IPV4,不支持IPV6。

(2)端口转发

端口转发:基于目标地址进行转换,也称为目的地址转换或端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上的不同端口。或不同计算机上的端口,企业内部的服务器一般使用私网地址,可以通过端口转发将使用私网地址的服务器发布到公网上,供互联网用户进行访问。类似于NAT技术中的静态NAT。

二、firewall-cmd高级配置

(1)firewalld中的直接规则

直接规则特性:

[root@localhost ~]# firewall-cmd --direct --add-chain ipv4 raw blacklist
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw PREROUTING 0 -s 192.168.0.0/24 -j blacklist
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j LOG --log-prefix "blacklisted"
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw blacklist 1 -j DROP
success

这些仅是把192.168.0.0网段的地址添加到黑名单(使用直接规则)!太麻烦!

(2)使用富语言

富语言特性:

富语言语法格式

rule [family="<rule family>"]
    [ source address="<address>" [invert="True"] ]
    [ destination address="<address>" [invert="True"] ]
    [ <element> ]
    [ log [prefix="<prefix text>"] [level="<log level>"] [limit value="rate/duration"] ]
    [ audit ]
    [ accept|reject|drop ]

规则的每个单一元素都能够以option=value的形式来采用附加参数。

富语言规则各常用选项:
保证Linux系统安全之firewalld防火墙配置地址伪装和端口转发详解

任何已配置的富规则都会显示在firewall-cmd --list-all和firewall-cmd --list-all-zones的输出结果中。

富语言规则各语法解释:
保证Linux系统安全之firewalld防火墙配置地址伪装和端口转发详解

富语言规则配置示例:

firewalld防火墙检查规则的顺序是:
1.直接规则;
2.富规则;
3.区域规则

在实际环境中如何配置请参考保证Linux系统安全之配置firewalld防火墙的地址伪装及端口转发实例,可跟做!!!

推荐阅读:
  1. IP地址伪装和端口转发
  2. centos 7之firewalld防火墙配置IP伪装和端口转发案例详解

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

配置firewalld防火墙的地址伪装 配置firewalld防火墙的端口转发 保证linux系统安全

上一篇:AIX 7.1 jar unzip解压报错问题解决

下一篇:Python从菜鸟到高手(18):类与方法的私有化

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》