IP-адрес маскировку и перенаправление портов принадлежат NAT (трансляция сетевых адресов).
Адрес маскировку и перенаправления портов различия заключаются в следующем:
IP - маскировка:
маскировка, пакет через NAT устройство к устройству до указанного назначения для переадресации, в то время как пакет данных с помощью
адреса источника изменить свой собственный адрес интерфейса NAT устройства. Когда приходит возвращенный пакет, адрес назначения будет изменен
для решения и маршрутизации оригинального хоста. LAN маскировка адреса могут достигать нескольких адресов совместно использовать один адрес Интернета в общественных местах.
Подобно технологии Port Multiplexing (PAT) NAT. IP - адрес маскировки только поддержка ipv4, не поддерживает ipv6.
Перенаправление портов:
это можно также назвать адрес назначения или отображение портов. Пересылка через порт, чтобы указать IP - адрес и порт потока пакетов к различным портам на том же компьютере или на разных компьютерах порт. В общем сервере корпоративной сети с использованием частного IP - адрес, а затем использовать частный сетевой адрес сервера, выпущенный к общественному Интернету через перенаправление портов.
В firewalld, есть понятие богатого языка, firewalld обеспечивает язык богатых не нужно, чтобы понять механизмы, с помощью высокого уровня синтаксиса языка IPTables настроить сложные правила брандмауэра, этот язык может выразить основной синтаксис firewalld не может быть достигнут пользовательские правила брандмауэра.
В значительной степени обогащены правилах экспрессии разрешить / запретить правила, запись конфигурации может быть также использована (для системного журнала и auditd), и перенаправления портов, маскировки и ограничение скорости.
Существует тайм-аут в firewalld инструмент конфигурации брандмауэра, когда в том числе правила сверхурочной к брандмауэру, таймер начинает отсчет времени для правила, когда отсчет достигает 0 секунд, начинает работать при удалении конфигурации правила.
При тестировании более сложный набор правил, если это правило действует, то можно добавить еще раз правило, если правило не достигли желаемых результатов, даже наши администраторы для блокировки, поэтому он не может войти в систему, то правило будет автоматически удален так что мы можем продолжать работу тестирования и работы обслуживающего персонала.
При использовании правила конфигурации брандмауэра-CMD, конец опции командной добавляется --timeout = <формата: первый формат> к, - помощь в отношении ссылка опция заключается в следующем (единица может быть секунда, минута, час):
Enable an option for timeval time, where timeval is
a number followed by one of letters 's' or 'm' or 'h'
Usable for options marked with [T]брандмауэр-CMD Есть четыре варианта для обработки богатое правило, все эти варианты являются условными и могут --permanent или --zone = <ZONE> в комбинации, следующим образом:
В любом настроен на отображение богатого правила приведет к выходной брандмауэр-CMD --list-все и брандмауэр-CMD --list-все-зоны. С синтаксисом объясняется следующим образом:
Богатые примеры конфигурации правила:
① 为认证报头协议AH使用新的ipv4和ipv6连接
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'②允许新的ipv4和ipv6连接ftp,并使用审核每分钟记录一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'③允许来自192.168.1.0/24地址的TFTP协议的ipv4连接,并且使用系统日志每分钟记录一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'④为RADIUS协议拒绝所有来自1:2:3:4:6::的新ipv6连接,日志前缀为“dns”,级别为“info”,并每分钟最多记录3次。接受来自其他发起端新的ipv6连接:
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'⑤将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接:
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'⑥拒绝来自public区域中IP地址192.168.0.11的所有流量:
[root@localhost /]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
⑦丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包:
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'⑧在192.168.1.0/24子网的DMZ区域中,接收端口7900~7905的所有TCP包:
[root@localhost /]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'⑨接收从work区域到SSH的新连接,以notice级别且每分钟最多三条消息的方式将新连接记录到syslog:
[root@localhost /]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'⑩在接下来的5min内(通过--timeout=300配置项实现),拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接,并且拒绝的连接将记录到audit系统,且每小时最多一条消息。
[root@localhost /]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300Эта статья была написана немного больше для того, чтобы избежать путаницы, он будет настроить межсетевой экран примеры конфигурации брандмауэра маскировку и перенаправление портов написал еще один пост в блоге в этом! Боуэн ссылка: https://blog.51cto.com/14154700/2410203