Linux操作系統(tǒng)配置富規(guī)則和端口轉(zhuǎn)發(fā)配置富規(guī)則和端口轉(zhuǎn)發(fā)1．防火墻基本規(guī)則在firewalld防火墻服務(wù)中配置一條富規(guī)則，拒絕所有來自192.168.10.0/24網(wǎng)段的用戶訪問本機(jī)SSH服務(wù)。[root@server～]#firewall-cmd--permanent--zone=public--add-rich-rule="rulefamily="ipv4"sourceaddress=/24forward-portport=443protocol=tcpto-port=22"[root@server～]##firewall-cmd–reload#在另外一臺主機(jī)上進(jìn)行測試（同一網(wǎng)段的虛擬機(jī)）[root@node1～]#ssh-p4432．端口轉(zhuǎn)發(fā)防火墻規(guī)則在server上配置防火墻規(guī)則，將端口443/TCP轉(zhuǎn)發(fā)到端口22/TCP。[root@server～]#firewall-cmd--permanent--add-rich-rule="rulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject"[root@server～]#firewall-cmd--reload[root@server～]#firewall-cmd--list-rich-rulesrulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject配置富規(guī)則和端口轉(zhuǎn)發(fā)3．流量轉(zhuǎn)發(fā)防火墻規(guī)則將來自work區(qū)域中的/24且傳入端口80/TCP的流量轉(zhuǎn)發(fā)到防火墻計算機(jī)自身的端口8080/TCP。[root@server～]#fireall-cmd--permanent--zone=work--add-rich-rule='rulefamily=ipv4sourceaddress=/24forward-portport=80protocol=tcpto-port=8080'4．HTTP和HTTPS防火墻規(guī)則僅允許某個網(wǎng)段的主機(jī)訪問HTTP和HTTPS服務(wù)。[root@server～]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24servicename=httpprotocol=tcpaccept'配置富規(guī)則和端口轉(zhuǎn)發(fā)[root@server～]#grep-iport/etc/ssh/sshd_config#Port22Port2220（2）重啟SSH服務(wù)使配置生效。5．SSH防火墻規(guī)則（1）SSH服務(wù)默認(rèn)監(jiān)聽22端口以提供遠(yuǎn)程連接，修改SSH服務(wù)配置文件sshd_config，注釋掉默認(rèn)的22端口，設(shè)置SSH服務(wù)監(jiān)聽2220端口。[root@server～]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24portport=2220protocol=tcpaccept'[root@server～]#systemctlrestartsshd（3）添加防火墻規(guī)則，允許來自/24網(wǎng)段的設(shè)備通過2220端口連接服務(wù)器。6．查看防火墻日志

使用客戶端登錄服務(wù)器，查看/var/log/secure文件，檢查sshd服務(wù)的日志。[root@server～]#tail-f/var/log/secureMay2205:08:55openstacksshd[58785]:Disconnectedfromport64575[preauth]May2205:09:38openstacksshd[58910]:reprocessconfigline57:DeprecatedoptionRSAAuthenticationMay2205:09:42openstacksshd[58910]:Acceptedpublickeyforanyunofromport64605ssh2:RSASHA256:LFdT6E/5vGQ0+a7HWWBHGD8LBBTZS7eJwKkpHKSERa0May2205:09:43openstacksshd[58910]:pam_unix(sshd:session):sessionopenedforuseranyunoby(uid=0)配置富規(guī)則和端口轉(zhuǎn)發(fā)7．使用DNAT轉(zhuǎn)發(fā)傳入的HTTP流量使用DNAT（DestinationNetworkAddressTranslation，目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換）將傳入的流量從一個目標(biāo)地址和端口定向到另一個目標(biāo)地址和端口。通常，這對于將來自外部網(wǎng)絡(luò)接口的請求重定向到特定的內(nèi)部服務(wù)器或服務(wù)非常有用。（1）創(chuàng)建/etc/sysctl.d/90-enable-IP-forwarding.conf文件。在內(nèi)核中啟用IP轉(zhuǎn)發(fā)功能，它能使內(nèi)部Linux服務(wù)器充當(dāng)路由器，并將數(shù)據(jù)包從網(wǎng)絡(luò)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。（2）從/etc/sysctl.d/90-enable-IP-forwarding.conf文件中載入設(shè)置。[root@server～]#vi/etc/sysctl.d/90-enable-IP-forwarding.confnet.ipv4.ip_forward=1[root@server～]#sysctl-p/etc/sysctl.d/90-enable-IP-forwarding.conf配置富規(guī)則和端口轉(zhuǎn)發(fā)（3）轉(zhuǎn)發(fā)傳入的HTTP流量，--zone=public用來配置DNAT規(guī)則的防火墻區(qū)域，也可以將其設(shè)置為需要的任何區(qū)域。[root@server～]#firewall-cmd--zone=public--add-forward-port=port=80:proto=tcp:toaddr=0:toport=8080--permanent上述命令中，--add-forward-port表示添加端口轉(zhuǎn)發(fā)規(guī)則，--zone=public表示規(guī)則應(yīng)用于public區(qū)域，port=80表示外部請求的目標(biāo)端口為80，proto=tcp表示轉(zhuǎn)發(fā)TCP流量的協(xié)議，toaddr=0表示目標(biāo)IP地址為0，toport=8080表示內(nèi)部服務(wù)器的目標(biāo)端口為8080，--permanent表示DNA