这一期我们只介绍一些最简单的操作,比如开放端口让别人访问,关闭端口不让别人访问等 。我们直接拿一个案例来进行说明 。假设我们的NAS软路由一体机,有2张网卡 。连接外网的网卡是pppoe-eno1,获取到了公网IP;连接内网的网卡是br-lan,在局域网中 。服务器上开启了一些服务:http服务 , 对应80/tcp端口;transmission服务,管理页面对应9091/tcp端口,下载监听端口为51413/tcp和51413/udp端口;ssh服务对应22/tcp端口 。外网和内网都是ipv4/ipv6双栈的 。
文章插图
我们的要求是,ssh以及transmission的下载监听端口对内和对外同时开放 , 方便进行管理和远程访问以及下载加速;http和transmission的管理页面仅对内网用户开放,仅供内部人员使用 。
文章插图
首先 , 我们使用ssh登陆服务器 。我们可以先使用firewalld的zone的规则,将public zone设置为默认zone,命令为firewall-cmd --set-default-zOne=public 。这样所有的数据默认遵循public的规则 。包括wan口和lan口 。Public zone默认对于除了ssh/dhcpv6-client之外的数据都reject 。这样关于ssh的规则就设置好了 。
文章插图
接下来,因为某些服务需要内网访问,所以我们将lan口网卡加入trusted zone,命令为firewall-cmd --zOne=trusted --change-zOne=br-lan 。Trusted zone当中所有的数据默认都是accept 。那么现在内网的用户都可以正常访问http,transmission等管理页面了 。
文章插图
接下来 , transmission服务还有两个端口需要暴露在公网当中,51413的tcp和udp端口 。
文章插图
我们需要在public zone中单独添加规则,将这两个端口的规则修改为允许 。我们需要使用firewall-cmd --add-port=51413/tcp和firewall-cmd --add-port=51413/udp命令进行添加 , 就OK了 。
文章插图
上面所有的命令都是运行后立即生效的,但是路由器重启后有些命令会失效,如果想要进行永久设置,我们需要在命令中添加—permanent的参数 。所以我们需要像刚才一样运行一遍立即生效命令,再运行一次永久保存命令就可以了 。
文章插图
关于路由器的防火墙我们暂时先讲这么多吧,通过这一期视频,将服务器放到公网之前,基本已经能做到自保了 。
文章插图
下一期开始接着讲解软路由相关的内容,后面再讲防火墙的高级内容 。希望大家多多支持 。
旋律果子: 网络Geek/Linux开发者/中国科学院大学在读博士/科技数码博主/国家水利水电二级建造师/优质科技领域创作者
推荐阅读
![[辅助训练]分清主次,辅助训练只能是辅助!](http://ttbs.guangsuss.com/image/a9e56a600a9c6f896d0b8d5345ff816b)
![[走私]警方突袭走私仓库,发现10架共轴旋翼直升机,居然是纯手工打造](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/2020/c8ccb32baca45ed2b7fdedb939dbab14.jpg)
- 明着吃软饭?结婚27年被拿捏死,17次上春晚竟全是老婆的功劳!
- 与郭晋安离婚后,欧倩怡首次接受采访,笑容灿烂称有在玩交友软件
- 电脑怎么关闭软件开机自动启动,电脑开机自动启动的软件怎么关闭
- 软式飞镖距离是多少,如何练好软式飞镖视频
- 某些手机软件连不上网怎么办,为什么手机有些软件连不上网络
- 煮玉米时在水里加点它,味道香甜软糯,比外面卖的还好吃
- 目前什么软件可以买基金
- 苹果8p怎么清理内存空间,苹果8p怎么清除软件数据
- 软考中级考几个科目
- 微软放弃windows10,微软发布关于windows10的消息