<强> Firewalld支持两种类型的网络地址转换强>
IP地址伪装(伪装)
-
<李>可以实现局域网多个地址共享单一公网地址上网李>
<李> IP地址伪装仅支持IPv4,不支持IPv6李>
<李>默认外部区域启用地址伪装李>
端口转发(前)
-
<李>也称为目的地址转换或端口映射李>
<李>通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口李>
<>强地址伪装配置强>
为指定区域增加地址伪装功能
firewall-cmd[——永久][——区=区]——add-masquerade(——超时秒)//猼imeout=秒:在一段时间后自动删除该功能
为指定区域删除地址伪装功能
firewall-cmd[——永久][——区=区]——remove-masquerade
查询指定区域是否开启地址伪装功能
firewall-cmd[——永久][——区=区]——query-masquerade
列出端口转发配置
firewall-cmd[——永久][——区=区]——list-forward-ports
添加端口转发规则
firewall-cmd[——永久][——区=区]——add-forward-port=口=portid [-portid]:原型=协议[:toport-portid [-portid]] [: toaddr-address[/面具]][——超时=秒]
删除端口转发规则
firewall-cmd[——永久][——区=区]——remove-forward-port=口=portid [-portid]:原型=协议[:toport=portid [-portid]][[/面具]:toaddr=地址]
查询端口转发规则
firewall-cmd[——永久][——区=区]——query-forward-port-port-portid [-portid]:原型=协议[:toport-portid [-portid]][[/面具]:toaddr=地址]
<强>直接规则(直接接口)强>
-
<李>允许管理员手动编写的iptables, ip6tables和ebtables规则插入到Firewalld管理的区域中李>
<李>通过firewall-cmd命令中的,直接选项实现李>
<李>除显示插入方式之外,优先匹配直接规则李>
<>强自定义规则链
强>
Firewalld自动为配置”了规则的区域创建自定义规则链
-
<李>在区域名否认:存放拒绝语句,优先于“在区域名_allow”的规则李>
<李>在区域名允许:存放允许语句李>
<强>允许TCP/9000端口的入站流量强>
irewall-cmd——直接添加规则在work_ ipv4过滤器允许0 - p tcp——dport 9000 j接受
-
<李> work_允许:匹配工作区域的规则链李>
<李> 0:代表规则优先级最高,放置在规则最前面李>
<李>可以增加,永久选项表示永久配置李>
<强>查询所有的直接规则强>
firewall-cmd——直接——get-all-rules ipv4过滤器IN_工作_allow 0 - p tcp——dport 9000 - j接受
可以增加,永久选项表示查看永久配置
<强>
强>
<>强富语言(丰富语言)强>
表达性配置语言,无需了解iptables语法
用于表达基本的允许/拒绝规则,配置记录(面向syslog和auditd),端口转发,伪装和速率限制
规则[家庭=? lt;规则family>“ (源地址=" & lt; address> "[反“True”]] [目的地址=" & lt; address> "(反=" True "]] [& lt; element>] (日志(前缀=" & lt;前缀text>“][水平=" & lt;日志level>“][极限值=" https://www.yisu.com/zixun/rate/duration "]] (审计) (acceptlrejectldrop) >之前<强>理解富语言规则命令强>
firewall-cmd处理富语言规则的常用选项
选项 说明 -add-rich-rule=肮嬖颉? 向指定区域中添加规则,如果没有指定区域,则为默认区域 ——remove-rich-rule=肮嬖颉? 从指定区域中删除规则,如果没有指定区域,则为默认区域 ——query-rich-rule=肮嬖颉? 查询规则是否已添加到指定区域,如果未指定区域,则为默认区域。你们,br/祝辞规则存在,则返回0,否则返回1 ——list-rich-rules 输出指定区域的所有富规则,如果未指定区域,则为默认区域
详述Linux中Firewalld高级配置的使用