IP地址伪装和端口转发都属于NAT(网络地址转换)。

地址伪装和端口转发的区别如下:

IP地址伪装:
1、通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包
2、源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时,会将目的地址修改
3、为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。
4、类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持ipv4,不支持ipv6。

端口转发:
也可以称之为目的地址转换或端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上的不同端口,或不同计算机上的端口。一般公司内网的服务器都采用私网地址,然后通过端口转发将使用私网地址的服务器发布到公网上。

在firewalld中,有一个富语言的概念,firewalld的富语言提供了一种不需要了解iptables语法的通过高级语言配置复杂的防火墙规则的机制,通过这种语言,可以表达firewalld的基本语法中不能实现的自定义防火墙规则。

富规则可用于表达基本的允许/拒绝规则,也可以用于配置记录(面向syslog和auditd),以及端口转发、伪装和速率限制。

在firewalld防火墙配置中有一个超时的工具,当包含超时的规则添加到防火墙时,计时器便针对该规则开始倒计时,一旦倒计时达到0秒,便从运行时配置中删除该规则。

在测试更复杂的规则集时,如果规则有效,那么我们可以再次添加该规则,如果规则没有实现我们预期的效果,甚至可能将我们管理员锁定而使其无法进入系统,那么规则将被自动删除,以便我们运维人员继续进行测试工作。

在使用firewall-cmd进行配置规则时,在命令的结尾追加选项–timeout= 即可,–help中关于该选项的参考如下(单位可以是秒、分、时):

 Enable an option for timeval time, where timeval isa number followed by one of letters 's' or 'm' or 'h'Usable for options marked with [T]

firewall-cmd有四个选项可以用于处理富规则,所有这些选项都可以和常规的–permanent或–zone=选项组合使用,具体如下:

在任何已配置的富规则都会显示在firewall-cmd --list-all 和 firewall-cmd --list-all-zone的输出结果中。具有语法解释如下所示:

富规则配置举例:

 为认证报头协议AH使用新的ipv4和ipv6连接
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'

允许新的ipv4和ipv6连接ftp,并使用审核每分钟记录一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'

允许来自192.168.1.0/24地址的TFTP协议的ipv4连接,并且使用系统日志每分钟记录一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'

为RADIUS协议拒绝所有来自1:2:3:4:6::的新ipv6连接,日志前缀为“dns”,级别为“info”,并每分钟最多记录3次。接受来自其他发起端新的ipv6连接:
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'

将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接:
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'

拒绝来自public区域中IP地址192.168.0.11的所有流量:
[root@localhost /]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'

丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包:
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'

在192.168.1.0/24子网的DMZ区域中,接收端口7900~7905的所有TCP包:
[root@localhost /]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'

接收从work区域到SSH的新连接,以notice级别且每分钟最多三条消息的方式将新连接记录到syslog:
[root@localhost /]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'

在接下来的5min内(通过--timeout=300配置项实现),拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接,并且拒绝的连接将记录到audit系统,且每小时最多一条消息。[root@localhost /]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300

配置firewall防火墙的地址伪装和端口转发的配置实例:https://blog.51cto.com/14227204/2434539

firewalld防火墙配置IP伪装和端口转发相关推荐

  1. centos 7的firewalld防火墙配置IP伪装和端口转发(内附配置案例)

    IP地址伪装和端口转发都属于NAT(网络地址转换). 地址伪装和端口转发的区别如下: IP地址伪装: 通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包 源地址更改为其NAT ...

  2. centos 7配置firewall防火墙的地址伪装和端口转发实例

    环境如下图所示,网关服务器和网站服务器都采用centos 7操作系统,网关服务器安装3块千兆网卡,分别连接Internet.企业内网.网站服务器. 网关服务器连接互联网卡ens33配置为公网IP地址, ...

  3. firewalld防火墙配置ip地址伪装和端口转发

    IP地址伪装 通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的原地址更改为NAT的接口地址转发到不同步目的地.当是返回数据包是,会将目的地之修改为原始主机地址并路由. 端口 ...

  4. Firewalld ip伪装和端口转发

    Firewalld  ip伪装和端口转发 伪装: 此举启用区域的伪装功能.私有网络的地址将被隐藏并映射到一个公有IP.这是地址转换的一种形式,常用于路由.由于内核的限制,伪装功能仅可用于IPv4. # ...

  5. 服务器配置防火墙的地址伪装和端口转发实例

    网关服务器和网站服务器都采用centos 7操作系统: 要求如下:基本的环境配置:网关服务器配置 网卡 : [root@localhost network-scripts]# ip a = ip ad ...

  6. firewalld防火墙配置、测试服务、高级配置与IP伪装、端口转发

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Firewalld防火墙 防火墙基础 一.防火墙配置 二.使用防火墙安装http服务测试分别测试内网.外网.dmz 三.firewal ...

  7. firewalld防火墙配置

    firewalld是自CentOS 7以来带有一个动态的.可定制而无需重新启动防火墙守护程序或服务.firewall-cmd就是iptables/nftable的前端.在CentOS 8中,nftab ...

  8. 群晖NAS公网访问(IP+DNSPOD+桥接+端口转发+DDNS+WebDAV)

    群晖NAS公网访问 (IP+DNSPOD+桥接+端口转发+DDNS+WebDAV) 文章更新一版,结果审核不过,只能转载了: https://www.cnblogs.com/nomil9/articl ...

  9. firewalld防火墙(二)实验案例:ip地址伪装,端口转发

    实验要求: 全网互通 搭建网站 配置防火墙,划分区域,配置默认区域 配置ip地址伪装centos01-centos03 配置端口映射centos04-centos01 实验步骤: 一.全网互通 1.配 ...

最新文章

  1. Python处理JSON数据
  2. 漫谈C++重载运算符
  3. Cross_validation.train_test_split 中 stratify这个参数的意义是什么?
  4. 爆牙齿的世界杯日记(小组首轮)
  5. Java finalize()的使用
  6. kafka相关名称介绍
  7. mysql select查询语句_mysql的select查询语句
  8. .Net 如何模拟会话级别的信号量,对http接口调用频率进行限制(有demo)
  9. 第47课 称心如意的输入 《小学生C++趣味编程》
  10. hive学习08天-一次hvie面试题
  11. Cannot forward after response has been committed问题解决及分析
  12. u-boot移植随笔:System.map文件格式
  13. ibatis Clob对象处理
  14. java 知乎面试题_2019最新Java面试题,常见面试题及答案汇总(208道)
  15. Git21天打卡day14-查看文件改动内容git diff
  16. ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/tmp
  17. echarts实现2d柱状_记录echarts比较难实现的图1(一个背景上呈现三个柱状图)
  18. 函数和结构(C++)
  19. 用Java实现断点续传(HTTP)
  20. js中判断是否为图片以及常见图片后缀

热门文章

  1. 存在的hive插入数据_往hive表中插入数据以及导出数据
  2. Excel表格怎么快速计算出算式结果
  3. Android aar包的so和jniLibs中的so库冲突
  4. Mysql对应的dul_DUL 恢复简单表测试
  5. 有一个棋盘,有64个方格,在第一个方格里面放1粒芝麻重量是0.00001kg,第二个里面放2粒,第三个里面放4,第四个8 ,棋盘上放的所有芝麻的重量(后一个是前一个两倍)。循环练习题。
  6. 广告片制作技巧分享。
  7. 室外AP设备的防雷接地
  8. myeclipse10 用破解补丁或注册机不能成功破解原因解析
  9. 卿盾安全中心【模仿火绒安全中心】
  10. 既有住宅加装电梯数学建模问题