firewall-cmd --state##状态
firewall-cmd --get-active-zones##正在活动的域
文章图片
firewall-cmd --get-default-zone##默认的域
firewall-cmd --get-zones##所有的域
文章图片
firewall-cmd --zone=public --list-all##列出public域
文章图片
firewall-cmd --get-services##所有服务
文章图片
firewall-cmd --list-all-zones##列出所有域
文章图片
firewall-cmd --set-default-zone=dmz##设置默认域
文章图片
firewall-cmd --add-source=172.25.254.5 --zone=trusted
firewall-cmd --remove-source=172.25.254.5 --zone=trusted
firewall-cmd --list-all
文章图片
firewall-cmd --remove-interface=eth1 --zone=public##移除接口
文章图片
文章图片
firewall-cmd --add-interface=eth1 --zone=trusted##添加接口
文章图片
firewall-cmd --get-active-zones
文章图片
firewall-cmd --add-port=8080/tcp##添加8080端口
文章图片
firewall-cmd --remove-port=8080/tcp##移除8080端口
【firewall】
文章图片
firewall-cmd --add-service=ssh##添加服务
文章图片
文章图片
firewall-cmd --remove=service=ssh##移除服务
文章图片
文章图片
firewall-cmd --reload##重新加载
firewall-cmd --complete-reload##断开加载在连接
--permanent##firewall-cmd命令后加上--permanent表示永久生效,否则该命令临时生效
3表5链路
filter(input output forward)
nat(input output prerouting postrouting)
mangle(input output prerouting postrouting forward)
firewall-cmd --direct --add-rule ipv4 filter INPUT 2 -s 172.25.254.5 -p tcp --dport 22 -j ACCEPT
文章图片
firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 -s 172.25.254.5 -p tcp --dport 22 -j ACCEPT
文章图片
firewall-cmd --direct --add-rule ipv4 filter INPUT 2 ! -s 172.25.254.5 -p tcp --dport 22 -j ACCEPT
文章图片
firewall-cmd --direct --get-all-rules
伪装
服务端
设置两个ip,一个为172.25.254.205,另一个为192.25.254.205
firewall-cmd --add-masquerade
firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.254.205/24 masquerade"
文章图片
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
文章图片
客户端
设置ip为192.25.254.1,网关为192.25.254.205
在客户端通过ssh连接172.25.254.5,查看登陆172.25.254.5的用户为172.25.254.205
ssh root@172.25.254.5
文章图片
端口转发
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.5
文章图片
firewall-cmd --add-icmp=block=echo-request
文章图片
文章图片
firewall-cmd --get-icmptypes
文章图片
firewall-cmd --add-icmp=block=echo-request timeout=5
文章图片
文章图片
iptables
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.205
文章图片
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-dest 192.168.0.1
文章图片
文章图片
文章图片
文章图片
iptables -nL##显示策略
iptables -F##清除策略
service iptables save##保存当前策略
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 172.25.254.250 -j ACCEPT##添加
iptables -I INPUT 2 -s 172.25.254.250 -p tcp --dport 22 -j ACCEPT##插入
iptables -R INPUT 2 -s 172.25.254.250 -p tcp --dport 22 -j DROP##修改
iptables -D INPUT 2##删除
iptables -P INPUT DROP##修改默认策略
iptables -P INPUT ACCEPT
文章图片
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##访问过的,正在访问的可以访问
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT ##接受访问本地回环网络
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT##接受访问22端口
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT##接受访问80端口
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT##接受访问53端口
iptables -A INPUT -j REJECT##拒绝其他访问
文章图片
文章图片