<强> Firewalld支持两种类型的网络地址转换
IP地址伪装(伪装)
-
<李>可以实现局域网多个地址共享单一公网地址上网
<李> IP地址伪装仅支持IPv4,不支持IPv6李
<李>默认外部区域启用地址伪装李
端口转发(前)
-
<李>也称为目的地址转换或端口映射李
<李>通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口
<>强地址伪装配置
为指定区域增加地址伪装功能
为指定区域删除地址伪装功能
查询指定区域是否开启地址伪装功能
列出端口转发配置
添加端口转发规则
删除端口转发规则
查询端口转发规则
<强>直接规则(直接接口)
-
<李>允许管理员手动编写的iptables, ip6tables和ebtables规则插入到Firewalld管理的区域中李
<李>通过firewall-cmd命令中的,直接选项实现李
<李>除显示插入方式之外,优先匹配直接规则李
<>强自定义规则链
Firewalld自动为配置”了规则的区域创建自定义规则链
-
<李>在区域名否认:存放拒绝语句,优先于“在区域名_allow”的规则李
<李>在区域名允许:存放允许语句李
<强>允许TCP/9000端口的入站流量
-
<李> work_允许:匹配工作区域的规则链李
<李> 0:代表规则优先级最高,放置在规则最前面李
<李>可以增加,永久选项表示永久配置李
<强>查询所有的直接规则
可以增加,永久选项表示查看永久配置
<强>
<>强富语言(丰富语言)
表达性配置语言,无需了解iptables语法
用于表达基本的允许/拒绝规则,配置记录(面向syslog和auditd),端口转发,伪装和速率限制
<强>理解富语言规则命令
firewall-cmd处理富语言规则的常用选项
选项 说明 -add-rich-rule=肮嬖颉? 向指定区域中添加规则,如果没有指定区域,则为默认区域 ——remove-rich-rule=肮嬖颉? 从指定区域中删除规则,如果没有指定区域,则为默认区域 ——query-rich-rule=肮嬖颉? 查询规则是否已添加到指定区域,如果未指定区域,则为默认区域。你们,br/祝辞规则存在,则返回0,否则返回1 ——list-rich-rules 输出指定区域的所有富规则,如果未指定区域,则为默认区域
