消防化妆舞会控制

Question

由于各种原因，我不得不采用CentOS 7作为一个面向公众的防火墙机器，实现NAT和其他几个部分。

看起来很简单。

我的基本策略是将外部接口分配到最大安全性的" Drop“区域，并将内部接口分配到firewalld中的”内部“区域，然后向Drop区域添加伪装，NAT从内部->外部(内部->Drop)开始工作。

但是，我还没有找到一种方法来阻止某些端口从in->out，或者换句话说；我找不到一种优雅的(甚至工作方式)来阻止firewalld基于可信网络的目的端口进行翻译。因此，我的目标是，不要伪装出站端口100/tcp (例如)。

有办法这样做吗？还是我搞错了？

Answer 1

firewalld当前的伪装支持是比较基础的。对于您想要实现的目标，您需要使用direct rules或rich rules。这个论点相当复杂，我不知道一个单一的答案是否可以涵盖所有个案。

让我指出正确的方向:看看这里，这里和这里