RHCE 学习笔记（31) - 防火墙 （下）

这个是防火墙的最后一部分，继续学习端口转发，伪装和SELinux端口上下文

首先看看端口转发

直接访问当前的http服务器，默认是80端口

我可以设置本地转发，从8080访问，自动转到80端口

测试成功

也可以转发到其他服务器的端口，比如ssh的转发

他会自动伪装

测试，我连接的是172.0.10.223，但是他给我自动转发连接到172.0.10.206了

接下来看看伪装，其实就是我们平常说的NAT（端口映射）

我的ESXI上面设置了2个port group，VM_VLAN是公司的生产环境网络，可以上网；VM_VLAN0002是我自己实验用的局域网；

我给rhel7test 服务器设置了2个网卡，分别放在不同的VLAN中

firewalld里面勾选 Masquerade Zone 就行了，这个时候我的服务器会自动把两个子网的IP做NAT映射

随便找了台实验的windows 服务器，把网关地址指向我的rheltest 地址

已经可以成功的ping 到外网了

最后，看看 SELinux 端口的上下文。之前我们说了文件有上下文，端口其实也有。

比如，修改 httpd.conf文件，把 Listen 80 注释掉，新加个Listen 801

然后防火墙加上801端口

重启，会报错，还会弹出一个SELinux的警告

警告如下，需要修改上下文

查看一下80端口的上下文

把他分配给801端口，然后重启

这次就可以访问了