Firewalld CentOS 7 伪装

要在外部区域上设置伪装，请键入：

# firewall-cmd --zone=external --add-masquerade

external：用于启用伪装的外部网络，尤其是路由器。您不相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。

internal：用于内部网络。您主要相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。

以供参考：

http://www.certdepot.net/rhel7-get-started-firewalld/

或者，您可以将规则添加到您的：/etc/firewalld/direct.xml文件中，例如。

<?xml version="1.0" encoding="utf-8"?>
<direct>
...
  <rule priority="0" table="filter" ipv="ipv4" chain="POSTROUTING">-table nat -jump MASQUERADE --source 10.8.0.0/24 --out-interface eth0</rule>  
</direct>

然后：

firewall-cmd --reload

你不直接使用这样的规则。您只需将您的接口 (eth0) 放入外部区域，该区域已在 RHEL7/CentOS7 中预先配置并且它已打开伪装，或者您可以在您的接口所在的区域上启用伪装。默认情况下它是公共的。所以正确的答案是：

# firewall-cmd --zone=public --add-masquerade

或者

# firewall-cmd --change-zone=eth0 --zone=external

这就是你需要做的所有事情。要仅为特定子网或范围启用 NAT，您需要丰富规则或直接规则。这有点复杂。您也可以简单地拒绝其他人的数据包，这似乎也是一种选择。