firewalld高级配置

一. IP伪装与端口转发
在互联网发展初期，设计者们并没有想到互联网会发展到现在这个空前繁荣的阶段,所以,设计的lPv4地址空间只有32位。但是随着互联网的发展, IP地址变得严重缺乏,并且地址分配不均匀,所以就在原有IPv4 地址空间的基础上划分出来三段私网地址空间: 10.0.0.0/8. 172.16.0.0/12和192.168.0.0/16。 这些地址可以在企业或者公司内部被重复使用，但是不能用于互联网，因为上述三个范围内的地址无法在Internet,上被路由。
于是NAT (网络地址转换)技术便产生了，当用户数据包经过NAT 设备时, NAT设备将源地址替换为公网IP地址，而返回的数据包就可以被路由。NAT技术一般都是在企业边界路由器或者防火墙上来配置。Firewalld支持两种类型的NAT:IP地址伪装和端口转发。

1. IP地址伪装（解决了内网访问外网）
   地址伪装(masquerade): 通过地址伪装, NAT设备将经过设备的包转发到指定接收方，同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时，会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单-公网地址上网。类似于NAT技 术中的端口多路复用（PAT）。IP地址伪装仅支持IPv4,不支持IPv6.
   2.端口转发（解决了内网服务器发布问题）
   端口转发(Forward-port):也称为目的地址转换或端口映射。通过端口转发，将指定IP地址及端口的流量转发到相同计算机上的不同端口，或不同计算机.上的端口。企业内网的服务器-般都采用私网地址，可以通过端口转发将使用私网地址的服务器发布到公网，以便让互联网用户访问。例如，当接收互联网用户的HTTP请求时，网关服务器判断数据包的目标地址与目标端口，一旦匹配指定规则，则将其目标地址修改为内网真正的服务器地址,从而建立有效连接.
   总结：