Linux防火墙启用IP伪装及端口转发添加/移除教程
gudong366 2025-06-07 15:40 10 浏览
添加端口转发
#开启端口伪装
firewall-cmd --add-masquerade --permanent
firewall-cmd --permanent --add-forward-port=port=xxx:proto=tcp:toaddr=XXX.XXX.XXX.XXX:toport=xxx
firewall-cmd --reload
移除端口转发
执行命令,显示成功,但转发规则并未移除
解决方案
在 Linux 中使用 firewall-cmd 移除端口转发规则时,若命令未生效,可能是由于 规则匹配不精确 或 配置未持久化 导致。以下是分步解决方案:
1. 确认现有转发规则
首先检查当前生效的端口转发规则,确保移除命令参数与添加时的规则完全一致:
# 查看所有端口转发规则
sudo firewall-cmd --list-forward-ports
# 或检查富规则(Rich Rules)
sudo firewall-cmd --list-rich-rules
若输出中包含类似以下条目,则表明规则存在:
forward-port port=80 proto=tcp toport=80 to-addr=XXX.XXX.XXX.XXX
2. 确保命令参数完全匹配
--remove-forward-port 必须与原始添加命令的参数 完全一致,包括 port、proto、toport 和 toaddr。
检查原添加命令是否包含以下细节:
- 是否使用了 --permanent 参数?
- toaddr 是否为 IPv4 地址且格式正确?
- 协议(proto)是否为 tcp 或 udp?
修正后的移除命令:
# 若原规则是临时添加的(未用 --permanent)
sudo firewall-cmd --remove-forward-port=port=80:proto=tcp:toport=80:toaddr=XXX.XXX.XXX.XXX
# 若原规则是永久添加的(用了 --permanent)
sudo firewall-cmd --permanent --remove-forward-port=port=80:proto=tcp:toport=80:toaddr=XXX.XXX.XXX.XXX
# 重新加载防火墙配置
sudo firewall-cmd --reload
3. 直接删除富规则(替代方案)
如果通过 --add-rich-rule 添加了转发规则,需使用 --remove-rich-rule 删除:
# 查看现有富规则
sudo firewall-cmd --list-rich-rules
# 删除匹配的富规则(示例)
sudo firewall-cmd --remove-rich-rule='rule family="ipv4" forward-port port="80" protocol="tcp" to-port="80" to-addr="XXX.XXX.XXX.XXX"'
# 永久删除需加 --permanent
sudo firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" forward-port port="80" protocol="tcp" to-port="80" to-addr="XXX.XXX.XXX.XXX"'
# 重新加载配置
sudo firewall-cmd --reload
4. 检查防火墙状态与配置
(1) 确认防火墙服务运行正常:
sudo firewall-cmd --list-all
(2) 查看完整防火墙配置:
sudo firewall-cmd --list-all
(3) 检查是否其他规则覆盖:
某些情况下,direct 规则或 iptables 可能直接修改了链(如 nat 表),需同步清理:
# 查看 NAT 表中的端口转发规则
sudo iptables -t nat -L -n --line-numbers
# 删除对应的 iptables 规则(示例)
sudo iptables -t nat -D PREROUTING 1 # 删除编号为 1 的规则
5. 验证配置持久化
若使用 --permanent 参数,需确保配置已写入 /etc/firewalld/zones/*.xml 文件。手动检查配置文件:
sudo cat /etc/firewalld/zones/public.xml
若文件中仍包含旧的转发规则,手动编辑后重新加载:
sudo vi /etc/firewalld/zones/public.xml
sudo firewall-cmd --reload
6. 最终验证
- 测试端口转发是否移除:
curl -I http://<服务器IP>:80 # 应无法访问到 10.254.144.33:32080 的服务 telnet <服务器IP> 80 # 连接应被拒绝或超时
- 抓包验证(可选):
sudo tcpdump -i any port 80 -nn
总结
步骤 | 命令/操作 |
1. 确认规则存在 | sudo firewall-cmd --list-forward-ports |
2. 精确匹配移除 | sudo firewall-cmd --remove-forward-port=port=80:proto=tcp:toport=32080:toaddr=10.254.144.33 |
3. 清理 iptables | sudo iptables -t nat -L -n --line-numbers + 删除对应规则 |
4. 重载配置 | sudo firewall-cmd --reload |
5. 验证结果 | curl 或 telnet 测试 |
若问题仍未解决,检查 SELinux 是否阻止端口转发:
sudo ausearch -m avc -ts recent # 查看 SELinux 拒绝日志
sudo setsebool -P httpd_can_network_connect 1 # 允许 HTTP 网络连接(如有必要)
相关推荐
- 由浅入深学shell,70页shell脚本编程入门,满满干货建议收藏
-
不会Linux的程序员不是好程序员,不会shell编程就不能说自己会Linux。shell作为Unix第一个脚本语言,结合了延展性和高效的优点,保持独有的编程特色,并不断地优化,使得它能与其他脚本语言...
- 小白7天掌握Shell编程:脚本的创建和执行
-
一、课前声明1、本分享仅做学习交流,请自觉遵守法律法规!2、搜索:Kali与编程,学习更多网络攻防干货!二、知识点详解Shell脚本的格式要求:脚本要以!#/bin/bash开头,其中bash可以替换...
- 飞牛fnNAS搭建Web版Linux系统(飞牛网改版升级说明)
-
飞牛NAS本身就是Linux内核(Debian发行版),那为何还要安装一个Linux呢?因为飞牛的Linux是特殊版本,并不能运行PC端的带UI的程序,比如我需要登录微信,需要使用wps打字……,这是...
- 如何在 Linux 中使用 Sysctl 命令?
-
sysctl是一个用于配置和查询Linux内核参数的命令行工具。它通过与/proc/sys虚拟文件系统交互,允许用户在运行时动态修改内核参数。这些参数控制着系统的各种行为,包括网络设置、文件...
- Apple尝试使用轻量级Linux虚拟机实现容器化
-
Apple于本周一发布了一个开源的容器化框架,用于在Mac上创建和运行Linux容器镜像。软件容器将应用程序及其依赖项组合成一个单元,在主机上运行于隔离环境中。由于它们基于符合OCI标准...
- Docker 安全与权限控制:别让你的容器变成“漏洞盒子”
-
在享受容器带来的轻量与灵活的同时,我们也必须面对一个现实问题:安全隐患。容器并不是天然安全,错误配置甚至可能让攻击者“越狱”入侵主机!本篇将带你从多个层面强化Docker的安全防护,构建真正可放心...
- 网络安全必备!Linux firewalld 防火墙原理 + 配置实战(放行http)
-
5.1了解firewall防火墙基础概念与原理5.1.1Linux防火墙概述在网络安全领域,防火墙是保障网络安全的关键屏障,Linux系统中的firewall防火墙(firewalld服...
- 从零开始搭建 Linux PXE 无盘启动服务器
-
在企业环境或实验室中,PXE(PrebootExecutionEnvironment,无盘启动)被广泛用于大规模批量部署操作系统。通过PXE,无需U盘或CD,就能远程启动和安装Linux...
- [250417] Fedora 42 正式发布,搭载 Linux 6.14 内核和 GNOME 48 桌面环境
-
Fedora42正式发布FedoraLinux42现已正式发布!此版本基于最新的Linux内核6.14构建,带来了众多激动人心的新特性和改进,旨在提供更现代化、更强大、更易用的Li...
- Linux Kernel学习003——内核源码
-
Linux学习笔记:老版本内核的坑,新工具救场,代码门道藏着啥秘密.最近想学Linux内核,网上查资料发现现在的稳定版本都已经到5.x了,但我跟着教程选的是2.6.34。官网下载链接卡着老卡,后来用清...
- Linux:实现Hadoop集群Master无密码登录
-
以下所介绍的安装方式都是在线安装方式,如果你需要连网请参考:Linux:宿主机通过桥接方式连接的VMware内部Linux14.04虚拟机(静态IP)实现上网方案环境:OS:LinuxUbuntu1...
- 除了Win10,微软还发布了一套“专业版Linux”系统
-
IT之家讯9月21消息,不知道大家是否还记得,微软CEO纳德拉曾在去年的一次活动中公开宣称“微软爱Linux”,其实那个时候的微软就已经在服务器方面拥抱Linux了。而最近,除了最新Windows1...
- Linux系统匿名上网小技巧(linux匿名文件)
-
Tails可以做什么+优点Tails所有数据连接通过Tor网络传输,可以为个人用户提供最好的匿名性和安全性,并且它是一个Linux系统,不会感染Windows系统的病毒,它可以存储在闪存盘上运行。-...
- Linux环境中DeepSeek AI大模型使用与管理之七:安装Cherry Studio
-
简介:在Linux系统中成功通过Ollama部署DeepSeek-R1大模型后,用户通常需要一个直观且易于操作的客户端来访问和交互。为了满足这一需求,本文将详细介绍如何在Linux环境中安装和配置Ch...
- Linux系统部署Go编程环境(一)使用Go语言编写简单web服务器
-
摘要:Go语言是一个开源的编程语言,Go语言被称为“互联网时代的C语言”。Go语言的风格类似于C语言。其语法在C语言的基础上进行了大幅的简化,去掉了不需要的表达式括号,循环也只有for一种表示...
- 一周热门
- 最近发表
-
- 由浅入深学shell,70页shell脚本编程入门,满满干货建议收藏
- 小白7天掌握Shell编程:脚本的创建和执行
- 飞牛fnNAS搭建Web版Linux系统(飞牛网改版升级说明)
- 如何在 Linux 中使用 Sysctl 命令?
- Apple尝试使用轻量级Linux虚拟机实现容器化
- Docker 安全与权限控制:别让你的容器变成“漏洞盒子”
- 网络安全必备!Linux firewalld 防火墙原理 + 配置实战(放行http)
- 从零开始搭建 Linux PXE 无盘启动服务器
- [250417] Fedora 42 正式发布,搭载 Linux 6.14 内核和 GNOME 48 桌面环境
- Linux Kernel学习003——内核源码
- 标签列表
-
- linux一键安装 (31)
- linux运行java (33)
- ln linux (27)
- linux 磁盘管理 (31)
- linux 内核升级 (30)
- linux 运行python (28)
- linux 备份文件 (30)
- linux 网络测试 (30)
- linux 网关配置 (31)
- linux jre (32)
- linux 杀毒软件 (32)
- linux语法 (33)
- linux博客 (33)
- linux 压缩目录 (37)
- linux 查看任务 (32)
- 制作linux启动u盘 (35)
- linux 查看存储 (29)
- linux乌班图 (31)
- linux挂载镜像 (31)
- linux 软件源 (28)
- linux题目 (30)
- linux 定时脚本 (30)
- linux 网站搭建 (28)
- linux 远程控制 (34)
- linux bind (31)