什么是firewalld防火墙?基于firewalld服务的防火墙阅读每个网络数据包的标题。依据标题中包含的信息,可以配置firewalld规则来过滤每个包。要理解包过滤如何工作,必须先理解如何通过网络发送信息。
消息在通过网络发送之前,会被分解为更小的单元(称为包)。管理信息——包括数据类型、源地址和目标地址,以及被添加给每个包的标题的源端口和目标端口。这些包通过网络到达目的地Linux主机。防火墙检查每个标题中的字段。按照现有规则,防火墙对包会采取下列5个动作之一。
● 允许包进入系统。
● 如果当前系统是网络间的网关或路由器,则将包转发到其他系统。
● 对流量进行限速
● 拒绝包,并给原始IP地址发送一条消息。
● 丢包,并且不发送任何类型的消息。
不管结果如何,决定都会被记录为系统日志或者为已审核的子系统。如果有大量具有重要价值的包被拒绝或丢掉,日志文件就很有用。
RHEL 7提供了将系统配置为防火墙的所有方法,包括用于IPv4和IPv6网络的方法。
NAT可以隐藏连接到外部网络的LAN内计算机的IP地址。NAT用连接到外部网络的防火墙接口的IP地址取代内部源地址。该内部源地址以及其他标识连接的信息存储在防火墙连接表中,以标识是哪台主机发出的请求。
当防火墙接收到响应(如Web页面的内容)时,则倒转该进程。包通过防火墙传输,但在连接表中标识目标主机。在发送包之前,防火墙要相应修改每个包的标题。
这种方法很有用,理由如下:隐藏内部IP地址使黑客很难知道使用哪个IP地址才能侵入内部网络。NAT支持具有私有IP地址的系统与外部网络(如Internet)之间连接,这也是IPv4寻址存在如此长时间的原因。在Linux领域,该进程被称为IP伪装(IP masquerading)。
IP伪装通常是指“源NAT”,但它也指NAT在相反方向上工作的另一种形式,即端口转发或目标NAT。端口转发可以隐藏服务的内部端口和IP地址。
例如,假定有一个内部服务器,IP地址为192.168.122.50,在TCP端口8080上正在运行一个Web服务。通过端口转发,可以让客户端连接到不同的IP地址和端口(如端口80上的公共IP)上,将流量转发给内部网络上的主机和端口。
