firewalld防火墙策略相关问题

引自免费微信小程序：皆我百晓生

为了解决提出的网络访问控制需求，可以通过firewalld在设备A上设置相应的规则。以下是详细的步骤和命令，用于实现B设备可以访问全网，而PC设备仅能访问B设备的58080端口。

步骤 1: 确认当前firewalld状态

首先，确认设备A上的firewalld服务是否正在运行：

sudo systemctl status firewalld

步骤 2: 配置转发链

为了允许B设备访问全网，需要在设备A上启用NAT转发。编辑/etc/sysctl.conf文件，添加以下行：

sudo nano /etc/sysctl.conf
# 在文件末尾添加：
net.ipv4.ip_forward=1

然后应用更改：

sudo sysctl -p

步骤 3: 配置firewalld规则

允许B设备访问全网

在设备A上，创建一个新的firewalld区域，允许所有流量从B设备的网段进入，并将流量转发到相应的接口：

sudo firewall-cmd --permanent --new-zone=trusted80
sudo firewall-cmd --permanent --zone=trusted80 --add-source=192.168.80.0/24
sudo firewall-cmd --permanent --zone=trusted80 --add-interface=eth1 # 假设eth1是连接到192.168.80.0/24的接口
sudo firewall-cmd --reload

配置SNAT（源地址转换）

确保B设备的流量看起来像是从设备A发出的，以便全网可以回应到设备A：

sudo iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o eth0 -j SNAT --to-source 192.168.11.3
sudo iptables-save > /etc/sysconfig/iptables

允许PC设备访问B设备的特定端口

在设备A上，允许PC设备访问B设备的58080端口：

sudo firewall-cman --permanent --add-port=58080/tcp --source=192.168.11.0/24
sudo firewall-cmd --permanent --add-port=58080/tcp --source=192.168.10.0/24
sudo firewall-cmd --reload

步骤 4: 测试配置

测试从PC设备访问B设备的58080端口是否成功，以及B设备是否可以访问全网的资源。

以上步骤应该能够满足提出的需求，即B设备可以访问全网，而PC设备只能访问B设备的特定端口58080。如果遇到任何问题，检查每个步骤中的命令执行结果，并确保所有的网络接口名称正确无误。