firewalld 转发端口并且可以限制IP

最新推荐文章于 2025-02-13 17:08:25 发布
原创 最新推荐文章于 2025-02-13 17:08:25 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #服务器 #网络 #linux

本文介绍了如何在CentOS7.6系统中使用firewalld防火墙进行端口转发,以实现远程访问另一台服务器,并详细说明了如何设置IP限制,仅允许特定IP或IP段进行访问。步骤包括开启IP伪装、添加和删除端口转发规则以及重启防火墙。同时提供了两种不同的端口转发规则添加方法。

firewalld防火墙转发端口;

系统环境:centOS7.6系统;

原来设置好了端口转发,只是为了远程访问另一台服务器节省IP费用;奈何攻击不断;只好限制IP访问了,只允许某个IP可以远程;也可以是某个ip段;

注意:端口转发不允许添加accept和reject

第一步开启伪装IP:
firewall-cmd --permanent --add-masquerade --不限制IP
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=121.24.166.2 masquerade'          --限制IP,只允许本地某个IP或IP段访问

第二步添加转发规则,访问33389实际上是访问到了192.168.1.18的3389;只是为了远程windows服务器;

方法一
添加端口转发规则
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 forward-port port=33389 protocol=tcp to-port=3389 to-addr=192.168.1.18'

删除端口转发规则【删除时使用,添加时不用执行】
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 forward-port port=33389 protocol=tcp to-port=3389 to-addr=192.168.1.18'


方法二
添加端口转发规则
firewall-cmd --add-forward-port=port=33389:proto=tcp:toaddr=192.168.1.18:toport=3389 --permanent

删除端口转发规则【删除时使用,添加时不用执行】
firewall-cmd --remove-forward-port=port=33389:proto=tcp:toaddr=192.168.1.18:toport=3389 --permanent


重启防火墙
firewall-cmd --reload

查看
firewall-cmd --list-all

Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
冰恋云的专栏
03-13 9418
查看防火墙策略。
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 7021
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
centos7中通过firewalld配置端口转发
Jepson的博客
10-14 3845
一、需求 将linux服务器 A(192.168.149.150)的tcp 8888端口转发服务器 B(192.168.149.153)的tcp 7777端口,即可实现通过192.168.149.150:8888 访问到192.168.149.153:7777 的服务,也可将192.168.149.150:8888 接收到的流量转给192.168.149.153:7777 二、在服务器A上做以下配置 1. 开启防火墙 systemctl start firewalld 2. 开启防火墙伪装 firewa
防火墙限制IP访问
疏笃
08-23 1799
配置好后重启一下防火墙使生效。启动防火墙并限制IP访问。
利用FirewalldIptables实现IP端口限制与开放
Mr_Wanter
02-13 2101
服务器管理中,梳理清楚当前服务器有哪些需要对外访问的服务非常重要。类似1.3中查看连接IP并不全面,因此需要结合实际情况进行规则配置。通过firewalldiptables,我们可以灵活地控制IP端口的访问权限,从而提升服务器的安全性。
Firewalld端口转发:原理和用法
Firewalld端口转发结合使用,可以更方便地实现网络服务的访问控制和数据包转发。 ## 1.2 目的 本文旨在介绍Firewalld端口转发的原理和用法,帮助读者理解Firewalld的基本概念和工作原理,以及如何使用Firewalld...
利用firewalld实现端口转发与反向代理配置
Firewalld采用了D-Bus接口进行通信,可以在运行时动态地更改防火墙规则,而无需重新加载iptables。它利用zones、services和interfaces等概念进行配置管理,可以根据连接的接口类型自动调整防火墙规则。 ### 1.3 fir
利用firewalld实现端口转发网络地址转换(NAT)
Firewalld是一个动态守护进程,提供了管理iptables规则的系统,它允许您配置网络连接的规则,包括防火墙端口、NAT转发等。 ## 1.2 Firewalld的作用和特点 Firewalld主要用于保护服务器免受来自不信任网络的威胁,...
centos 7的firewalld防火墙配置IP伪装端口转发(内附配置案例)
看清所以看轻
07-21 842
IP地址伪装端口转发都属于NAT(网络地址转换)。 地址伪装端口转发的区别如下: IP地址伪装: 通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包 源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时,会将目的地址修改 为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。 类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支...
使用Linux-firewalld实现端口转发网络地址转换(NAT)
通过端口转发,可以实现将外部网络请求转发到内部网络中的特定服务。 **网络地址转换(NAT)**是一种将私有IP地址转换为公共IP地址,并在私有网络和公共网络之间建立连接的过程。它允许多个设备在内部私有网络上...
firewalld封禁IPIP
beck_li的博客
09-19 2260
前面只是创建了名为blacklist的ipset,而且也往里面增加了内容,最后一步即防火墙封禁该ipset即可,这样的好处是防火墙只是一条规则就封禁了文件里管理的大量ip。创建一个名为blacklist的库,执行完命令可在/etc/firewalld/ipsets路径下看到生成的blacklist.xml文件。firewall-cmd --reload生效,如果不加该参数,则立即生效,内容不会写入blacklist.xml文件,服务重启则规则失效。封禁名为blacklist的ipset。
Firewalld禁止IP端口访问命令
热门推荐
weixin_43976607的博客
08-18 1万+
Firewalld禁止IP端口访问命令 Linux7一般情况下默认已安装Firewall,防火墙默认配置是只打开SSH端口的,也就是22端口, 如果SSH的端口已更改成别的端口了,请切记一定在启动firewall前先修改对应服务策略中SSH的端口为你的SSH端口, 文件路径:/usr/lib/firewalld/services/ssh.xml 把22改成你的远程端口号,然后再启动firewall防火墙, 如果防火墙已经启动,你再想更改自己的SSH端口号,那么请先把自己要修改SSH端口号,先添加进防火墙放
如何使用FirewallD限制网络访问
yuyuyuliang00的博客
07-30 7226
linux firewalld
firewalld 设置规则只允许指定ip访问指定端口 —— 筑梦之路
筑梦之路
03-01 8926
需要让192.168.100.102可以访问101机器的80端口,192.168.100.100不允许访问101的80端口。192.168.100.101 开启防火墙firewalld,上面有web服务nginx,监听80端口。2.配置防火墙规则,限制指定ip-192.168.100.102访问指定端口80。现有三台机器,系统都是centos7。1.查看101上当前防火墙规则。3.防火墙规则设置扩展内容。关键点:移除现有的规则。如何设置防火墙规则?
firewall-cmd限制和放行某个IP访问本机端口
qyq88888的专栏
04-29 2779
linux 系统 禁止192.168.5.101 访问本机的18080端口和1521端口linux 系统 只允许192.168.5.101 访问本机的3306端口
firewalld 端口转发
yaoshixian的博客
01-26 1097
firewall-cmd --add-masquerade firewall-cmd --add-forward-port=port=10053:proto=tcp:toport=3389:toaddr=10.0.13.53 firewall-cmd --add-forward-port=port=10054:proto=tcp:toport=3389:toaddr=10.0.13.54
linux 配置防火墙 firewalld 屏蔽海外国外IP访问(服务器受到外网未知用户攻击,通过设置防火墙隔绝) 仅允许中国国内ip访问自己在公网上的服务器
weixin_45673197的博客
12-22 7306
屏蔽海外国外IP访问。仅允许中国国内ip访问自己在公网上的服务器
麒麟系统firewalld限制指定的ip访问指定的端口
weixin_59489713的博客
05-27 1840
accecpt 接受 reject 拒绝。然后第三个限制会把第四个第五个拦住。so 这个是错误案例。
centos防火墙firewall-cmd限定特定的ip访问
gsl371的专栏
03-15 5589
firewall-cmd是centos防火墙的命令行管理客户端,提供了接口来管理运行时和持久的防火墙配置。 在firewalld中,运行时配置与永久配置是分开的。这意味着您可以在运行时配置或永久配置中进行更改。
firewalld把本机端口转发到另外的服务器的ssh端口
最新发布
04-12
<think>好的,我现在需要帮助用户解决如何使用firewalld配置本地端口转发到另一台服务器的SSH端口22的问题。首先,我得回顾一下用户提供的引用内容,看看有没有相关的配置方法。 用户提到了几个引用,其中引用[3]提到端口转发可以将流量从指定IP端口转发到不同计算机的端口,这正是用户需要的。引用[5]提到了使用rich rule配置DNAT,将50022端口转发到目标IP的22端口,这应该就是关键步骤了。另外,引用[4]提到需要开启IP伪装端口转发,所以需要先检查这些设置是否已配置。 首先,我需要确保IP转发已经开启。根据引用[4],需要修改sysctl.conf并启用ip_forward,然后使用firewall-cmd开启masquerade。用户可能已经做过这一步,但最好在步骤中包括这些,避免遗漏。 接下来,配置端口转发的具体命令。根据引用[5],使用rich rule的forward-port参数,指定本机端口、协议和目标地址及端口。例如,用户想将本地的50022转发到192.168.2.10的22端口,命令应该是添加一条富规则,端口为50022,协议tcp,目标地址192.168.2.10,目标端口22。同时需要永久生效并重新加载防火墙。 另外,引用[1]和[2]提到了不同的方法,比如使用--zone=external和--direct规则,但根据用户的问题,使用富规则可能更直接和容易管理,如引用[5]所示。 还需要提醒用户检查SELinux是否允许端口转发,以及防火墙是否开放了转发端口。例如,如果本机50022端口被防火墙阻止,即使转发规则正确,连接也会失败。所以可能需要添加对应的端口开放规则,或者确保所在区域允许该端口。 总结步骤应该是:1. 开启IP转发IP伪装;2. 添加富规则进行端口转发;3. 重新加载防火墙;4. 验证配置和测试连接。同时,给出示例命令,并解释每个参数的作用,比如--permanent表示永久生效,--reload使配置立即应用。 可能还需要注意用户的实际环境,比如目标服务器IP是否正确,本机是否有其他防火墙规则冲突,以及测试时的SSH命令是否正确使用转发后的端口。 最后,生成相关问题,比如如何测试端口转发是否成功,或者如何移除规则,以及处理可能出现的常见错误,如连接被拒绝或超时等。</think>### 使用 firewalld 配置本地端口转发到其他服务器的 SSH 端口 #### **步骤说明** 1. **开启 IP 转发伪装** firewalld 需启用 IP 伪装(masquerade)并确保系统内核允许 IP 转发: ```bash # 启用内核IP转发 echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf sysctl -p # 启用firewalldIP伪装 firewall-cmd --add-masquerade --permanent firewall-cmd --reload ``` [^4] 2. **添加端口转发规则** 使用富规则(rich rule)配置 DNAT 转发,例如将本机 `50022` 端口转发至目标服务器 `192.168.2.10` 的 `22` 端口: ```bash firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" forward-port port="50022" protocol="tcp" to-port="22" to-addr="192.168.2.10" ' firewall-cmd --reload ``` [^5] 3. **验证规则** ```bash firewall-cmd --list-all --zone=public # 查看是否包含forward-port规则 ``` 4. **测试连接** ```bash ssh -p 50022 user@本机IP # 实际连接到目标服务器的22端口 ``` --- #### **关键参数解释** - `forward-port`: 指定转发端口(`port="50022"`)。 - `protocol="tcp"`: 仅转发 TCP 流量(SSH 使用 TCP)。 - `to-addr` 和 `to-port`: 目标服务器IP端口- `--permanent`: 永久生效,否则重启后规则丢失。 --- #### **注意事项** 1. **SELinux 配置** 若系统启用 SELinux,需确保允许端口转发: ```bash semanage port -a -t ssh_port_t -p tcp 50022 ``` 2. **防火墙区域选择** 规则需添加到接收流量的区域(如 `public` 或 `external`),需根据实际网络环境调整[^3]。 3. **端口开放** 若本机防火墙限制 `50022` 端口,需额外开放: ```bash firewall-cmd --permanent --add-port=50022/tcp firewall-cmd --reload ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

文痞

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值