IP偽裝與端口轉發
Firewalld支持兩種類型的網絡地址轉換
IP地址偽裝(masquerade)
可以實現局域網多個地址共享單一公網地址上網 IP地址偽裝僅支持IPv4,不支持IPv6 默認external區域啟用地址偽裝端口轉發(Forward-port)
也稱為目的地址轉換或端口映射 通過端口轉發�����,指定IP地址及端口的流量將被轉發到相同計算機上的不同端口,或者轉發到不同計算機上的端口地址偽裝配置
為指定區域增加地址偽裝功能
firewall-cmd [--permanent] [--zone= zone] --add-masquerade [--timeout seconds] //--timeout=seconds:在一段時間后自動刪除該功能
為指定區域刪除地址偽裝功能
firewall-cmd [--permanent] [--zone= zone] --remove-masquerade
查詢指定區域是否開啟地址偽裝功能
firewall-cmd [--permanent] [--zone=zone] --query-masquerade
端口轉發配置
列出端口轉發配置
firewall-cmd [--permanent] [--zone=zone] --list-forward-ports
添加端口轉發規則
firewall-cmd [--permanent] [--zone=zone] --add-forward-port=port=portid[-portid]:proto=protocol[:toport-portid[-portid]][:toaddr-address[/mask]][--timeout=seconds]
刪除端口轉發規則
firewall-cmd [--permanent] [--zone=zone] --remove-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=address[/mask]]
查詢端口轉發規則
firewall-cmd [--permanent] [--zone=zone] --query-forward-port-port-portid[-portid]:proto=protocol[:toport-portid[-portid]][:toaddr=address[/mask]]
Firewalld直接規則
直接規則(direct interface)
允許管理員手動編寫的iptables���、ip6tables和ebtables 規則插入到Firewalld管理的區域中 通過firewall-cmd命令中的--direct選項實現 除顯示插入方式之外,優先匹配直接規則自定義規則鏈
Firewalld自動為配置”了 規則的區域創建自定義規則鏈
IN 區域名 deny: 存放拒絕語句,優先于"IN 區域名 _allow" 的規則 IN 區域名 allow: 存放允許語句允許TCP/9000端口的入站流量
irewall-cmd --direct --add-rule ipv4 filter IN work_ allow 0 -p tcp --dport 9000 j ACCEPT
IN work_ allow: 匹配work區域的規則鏈 0:代表規則優先級最高,放置在規則最前面 可以增加 --permanent選項表示永久配置查詢所有的直接規則
firewall-cmd --direct --get-all-rulesipv4 filter IN_ work _allow 0 -p tcp --dport 9000 -j ACCEPT
可以增加 --permanent選項表示查看永久配置
Firewalld富語言規則
富語言(rich language)
表達性配置語言�,無需了解iptables語法
用于表達基本的允許/拒絕規則�����、配置記錄(面向syslog和auditd)��、端口轉發、偽裝和速率限制
rule [family="<rule family>"] [ source address="<address>" [invert "True"] ] [ destination address="<address>" [invert="True"] ] [ <element> ] [ log [prefix="<prefix text>"] [level="<log level>"] [limit value="rate/duration"] ] [ audit ] [ acceptlrejectldrop ]
