软路由防火墙规则最佳实践( 二 )


这一期我们只介绍一些最简单的操作,比如开放端口让别人访问,关闭端口不让别人访问等 。我们直接拿一个案例来进行说明 。假设我们的NAS软路由一体机,有2张网卡 。连接外网的网卡是pppoe-eno1,获取到了公网IP;连接内网的网卡是br-lan,在局域网中 。服务器上开启了一些服务:http服务 , 对应80/tcp端口;transmission服务,管理页面对应9091/tcp端口,下载监听端口为51413/tcp和51413/udp端口;ssh服务对应22/tcp端口 。外网和内网都是ipv4/ipv6双栈的 。

软路由防火墙规则最佳实践

文章插图


我们的要求是,ssh以及transmission的下载监听端口对内和对外同时开放 , 方便进行管理和远程访问以及下载加速;http和transmission的管理页面仅对内网用户开放,仅供内部人员使用 。
软路由防火墙规则最佳实践

文章插图


首先 , 我们使用ssh登陆服务器 。我们可以先使用firewalld的zone的规则,将public zone设置为默认zone,命令为firewall-cmd --set-default-zOne=public 。这样所有的数据默认遵循public的规则 。包括wan口和lan口 。Public zone默认对于除了ssh/dhcpv6-client之外的数据都reject 。这样关于ssh的规则就设置好了 。
软路由防火墙规则最佳实践

文章插图


接下来,因为某些服务需要内网访问,所以我们将lan口网卡加入trusted zone,命令为firewall-cmd --zOne=trusted --change-zOne=br-lan 。Trusted zone当中所有的数据默认都是accept 。那么现在内网的用户都可以正常访问http,transmission等管理页面了 。
软路由防火墙规则最佳实践

文章插图
接下来 , transmission服务还有两个端口需要暴露在公网当中,51413的tcp和udp端口 。
软路由防火墙规则最佳实践

文章插图
我们需要在public zone中单独添加规则,将这两个端口的规则修改为允许 。我们需要使用firewall-cmd --add-port=51413/tcp和firewall-cmd --add-port=51413/udp命令进行添加 , 就OK了 。
软路由防火墙规则最佳实践

文章插图


上面所有的命令都是运行后立即生效的,但是路由器重启后有些命令会失效,如果想要进行永久设置,我们需要在命令中添加—permanent的参数 。所以我们需要像刚才一样运行一遍立即生效命令,再运行一次永久保存命令就可以了 。
软路由防火墙规则最佳实践

文章插图
关于路由器的防火墙我们暂时先讲这么多吧,通过这一期视频,将服务器放到公网之前,基本已经能做到自保了 。
软路由防火墙规则最佳实践

文章插图
下一期开始接着讲解软路由相关的内容,后面再讲防火墙的高级内容 。希望大家多多支持 。


旋律果子: 网络Geek/Linux开发者/中国科学院大学在读博士/科技数码博主/国家水利水电二级建造师/优质科技领域创作者


推荐阅读