CentOS防火墙开启masquerade后即开启包转发功能

最新推荐文章于 2024-12-24 08:44:38 发布
最新推荐文章于 2024-12-24 08:44:38 发布
阅读量8.9k 收藏 13
点赞数 1
文章标签: centos 运维 iptables linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/w1010b/article/details/105051980
版权

centos系统安装好后运行于主机模式,并没有开启包转发功能。即系统只处理目的地为本机的数据包,不会转发发往其他地址的数据包。在内核中有相应配置选项net.ipv4.ip_forward默认设置为0。可以通过命令sysctl net.ipv4.ip_forward=1手动开启包转发功能。
防火墙的masquerade功能进行地址伪装(NAT),私网访问公网或公网访问私网都需要开启此功能来进行地址转换,否则无法正常互访。通过命令firewall-cmd --add-masquerade 开启此功能,开启之后net.ipv4.ip_forward的值自动被设置为1,即centos启用包转发。当然,如果启用了masquerade而不启用包转发的设置是没有意义的,相当于只有本机的数据能进出网络接口,那么NAT就没有意义了。下面以下图拓扑和配置在VM上做测试。网络拓扑图1.S1 上防火墙开启.ip地址192.168.214.2 ,200.200.200.2
2.C1 IP 192.168.214.200 网关192.168.214.2
3.C2 IP 200.200.200.200 网关200.200.200.2

S1上防火墙的默认设置:

[root@s1 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33 ens37
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

查看包转发设置为0:
查看包转发功能
此时C1上ping200.200.200.2是通的,但是ping200.200.200.200无响应(因为此时S1不会为C1转发数据包)测试如下图:
ping测试执行firewall-cmd --add-masquerade开启masquerade功能,查看包转发选项已经自动被设置为1了。
开启masquerade
从C1上已经可以ping通C2
在这里插入图片描述

w1010b
关注
CentOS7系列之Firewalld防火墙常用命令操作
liyuanjie的博客
03-10 1637
CentOS7 Linux系统firewall防火墙firewall-cmd常用命令操作详解
防火墙
yiyougogogo的博客
05-09 235
一、防火墙 1.概述   动态防火墙后台程序 FireWalld提供了一个动态管理的防火墙,用以支持网络的zones,以分配对一个网络及相关连接和界面一定程度的信任;它支持以太网桥,并有分离运行时间和永久行配置选择。 2.域  home(家庭):用于家庭网络,仅接受dhcpv6-client、ipp-client、mdns、samba-client、ssh服务  internal(内部):用于内部...
Linux系统安全防火墙篇之 Firewall(CentOS 7)
热门推荐
高飞的博客
12-20 31万+
Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具.。iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables serv...
练习使用firewalld的masquerade和nat功能
weixin_42145772的博客
01-16 4717
目的是练习使用firewalld的masquerade和nat功能,物理连接如下图: 手机开启便携式热点,台式机有两个网卡,一个是USB无线网卡wlan0连接手机便携式热点可以上网使用外网,动态IP地址为192.168.43.XXX同手机便携式热点分配,台式机的另一网卡eth0通过网线连接无线路由器TP-LINK,固定IP地址为192.168.8.102由路由器TP-LINK分配,笔记本电脑内置无线网卡wlan0通过WIFI连接到无线路由器TP-LINK,固定IP地址为192.168.8.101由路由器T
firewall
vhkgcf的博客
08-18 829
firewall-cmd --state    ##状态 firewall-cmd --get-active-zones    ##正在活动的域 firewall-cmd --get-default-zone    ##默认的域 firewall-cmd --get-zones    ##所有的域 firewall-cmd --zone=public --list-all    ##列出p...
CentOS7 Firewall防火墙常用命令
贾小黑的博客
02-23 3128
开启防火墙 systemctl start firewalld.service 关闭防火墙 systemctl stop firewalld.service 查看防火墙状态 systemctl status firewalld.service 开启开机启动防火墙 systemctl enable firewalld.service 关闭开机启动防火墙...
centos 防火墙(firewalld、iptables、DNAT、SNAT)
最新发布
小白的博客
12-24 1038
multiport :多端口模块​#根据IP范围设置封锁规则​#iprange模块:ip范围模块#--src-range:源IP所有iptables规则都是临时规则,如果需要永久保留规则需要执行如下命令。
Centos 7防火墙端口转发
阿里木客
08-30 655
关闭防火墙: systemctl stop firewalld 开启防火墙: systemctl start firewalld 查看配置结果: firewall-cmd --list-all 重新载入: 修改防火墙规则后需要重新载入方能生效 firewall-cmd --reload 向指定ip开放指定端口: firewall-cmd --permanent --add-rich-rule=“r...
CentOS系统利用自带防火墙搭建端口代理服务
rqaz123的博客
03-01 979
在日常配置,常常只有一台主机可以提供公网服务,其他主机只有内网IP,无法直接对外提供服务,这时候就可以用到Linux中自带防火墙的转发能力,将对应的端口转发到内网IP主机提供服务。 ​在CentOS6系列中,使用了iptables这一工具来实现端口代理的​ 操作系统:CentOS 6.9 64bit 工具:Iptables 1、端口代理服务准备 删除所有NAT规则: iptables -t nat -F POSTROUTING iptables -t nat -F PREROUTING 1. 2
centos 7配置firewall防火墙的地址伪装和端口转发实例
看清所以看轻
07-21 2142
环境如下图所示,网关服务器和网站服务器都采用centos 7操作系统,网关服务器安装3块千兆网卡,分别连接Internet、企业内网、网站服务器。 网关服务器连接互联网卡ens33配置为公网IP地址,分配到firewall的external区域;连接内网网卡ens37地址为192.168.1.1,分配到firewall的trusted区域;连接服务器网卡ens38地址为192.168.2.1,分配...
Redhat7(centos7)及以上防火墙完整介绍
2401_84153285的博客
05-03 203
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取! 现在去把allow中去掉,就无法连接了(注意:如果配了桥接网络,就需要把桥接网络的ip也添加进去,否则依然可以正常连接):禁掉整个网段:可以加关键词:EXCEPT 除了的意思。如现在拒绝10.233.3.整段,除了10.233.3.226,发现225是可以正常连接的:ALL:全部 ,一般用于deny中,意思就是拒绝所有客户端,如现在我们只想要一台服务器可以连接到该服务器,则在allow中添加允许连接的服务器
Linux firewall-cmd 命令详解
三生万物
09-26 6万+
宽为限 紧用功 功夫到 滞塞通 firewall-cmd Linux上新用的防火墙软件,跟iptables差不多的工具。补充说明firewall-cmd 是 firewalld的字符界面管理工具,firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。firewalld跟iptables比起来至少有两大好处:firewalld
centos7 firewalld ip转发设置
q907811175的博客
12-23 3489
按顺序执行以下命令 #!/bin/bash #开启系统路由模式功能 vim /etc/sysctl.conf #添加下面一行 net.ipv4.ip_forward=1 #运行这个命令会输出上面添加的那一行信息,意思是使内核修改生效 sysctl -p #开启firewalld systemctl start firewalld #开启4650端口监听tcp请求 firewall-cmd --zone=public --add-port=4444/tcp --permanent #设置IP地址伪装 fire
linux命令之firewall-cmd用法
2302_76662992的博客
09-27 876
Linux上新用的防火墙软件,跟iptables差不多的工具
firewall-cmd命令详解
niaooer的博客
06-12 1327
参考:https://www.cnblogs.com/wangshuyang/p/11941547.html。
总结CentOS7下使用firewall防火墙
qq_39871572的博客
07-04 288
文章来源:https://www.linuxidc.com/Linux/2018-03/151218.htm 在CentOS7中,引入了一个显得服务,firewall,下面一张图让大家了解防火墙Firewall和iptables之间的联系与区别。 安装它,只需要 yum -y install firewall 如果需要图形界面的换,则再安装 yum -y install firewall-config 一, 介绍 防火墙守护filewalld服务引入了一个信任级别的概念来管理与之相关联的链接与接口。它
firewall-cmd 使用总结
10-31 6509
firewalld的简要说明:     firewalld 、firewall-cmd 、firewall-offline-cmd它们Python脚本,通过定义的在/usr/lib/firewalld下面的xml配置信息,   在启动时自动载入默认iptables配置,并应用到系统中,当使用firewalld-cmd添加防火墙规则时,它实际是转换成   iptables规则后,在应用到系统中。      firewalld定义了几个概念:     zone: 它是安全域的范围,就类似于Window上的域网
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2108
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值