伪装IP
防火墙可以实现伪装IP的功能,下面的端口转发就会用到这个功能。
firewall-cmd –query-masquerade # 检查是否允许伪装IP firewall-cmd –add-masquerade # 允许防火墙伪装IP firewall-cmd –remove-masquerade# 禁止防火墙伪装IP
端口转发
端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定ip的话就默认为本机,如果指定了ip却没指定端口,则默认使用来源端口。
如果配置好端口转发之后不能用,可以检查下面两个问题:
比如我将80端口转发至8080端口,首先检查本地的80端口和目标的8080端口是否开放监听了 其次检查是否允许伪装IP,没允许的话要开启伪装IP
# 将80端口的流量转发至8080
firewall-cmd –add-forward-port=port=80:proto=tcp:toport=8080
# 将80端口的流量转发至
firewall-cmd –add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1192.168.0.1
# 将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd –add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=80
ip限制
firewall-cmd –permanent –add-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'
