1. 为什么需要理解firewalld富规则第一次接触firewalld的富规则(Rich Rule)时我也被它复杂的语法搞得一头雾水。直到有次在生产环境配置端口转发时踩了坑才真正明白理解这些规则的重要性。当时我负责搭建一个跳板机环境需要将外部请求转发到内网服务器结果发现连接总是莫名其妙失败。折腾了大半天才发现原来是漏掉了masquerade配置。firewalld作为Linux系统的主流防火墙解决方案其富规则提供了比基础规则更精细的控制能力。特别是在处理端口转发时能否正确区分内部转发和外部转发直接关系到网络连通性。很多新手容易忽略masquerade的作用导致请求能发出去却收不到响应这就是典型的路径不一致问题。2. 内部端口转发实战2.1 基本配置方法内部端口转发指的是在本机不同端口之间或者同网段服务器之间的转发。这种情况最简单配置也最直接。比如我们要把本机的22002端口请求转发到22端口firewall-cmd --permanent --add-rich-rulerule familyipv4 forward-port port22002 protocoltcp to-port22或者明确指定目标IP即使是本机IPfirewall-cmd --permanent --add-rich-rulerule familyipv4 forward-port port22001 protocoltcp to-port22 to-addr192.168.10.151配置完成后记得重载规则firewall-cmd --reload2.2 关键注意事项这里有个容易踩坑的地方是否指定to-address会影响访问控制的效果。如果规则中带to-address参数那么to-port上的访问限制会生效如果不带则访问限制不会生效。举个例子假设我们配置了以下访问限制firewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.10.0/24 port protocoltcp port22001 accept这时如果转发规则带to-address22001端口的访问就会被限制如果不带任何IP都能访问22001端口。这个细节在实际运维中非常重要特别是需要做IP白名单控制时。另外要注意富规则的语法非常严格每个字段之间只能有一个空格。多一个空格就会导致规则解析失败# 错误示例port前多了一个空格 firewall-cmd --permanent --add-rich-rulerule familyipv4 forward-port port22002 protocoltcp to-port223. 外部端口转发与masquerade3.1 外部转发配置示例外部端口转发指的是跨网段的转发比如从DMZ区服务器转发请求到内网服务器。这种情况下必须启用masquerade地址伪装否则会出现请求能发出但收不到响应的问题。典型配置如下# 添加转发规则 firewall-cmd --permanent --add-rich-rulerule familyipv4 forward-port port22003 protocoltcp to-port22 to-addr192.168.188.29 # 启用masquerade firewall-cmd --permanent --add-masquerade # 也可以限制只对特定源地址启用masquerade firewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.14.0/23 masquerade firewall-cmd --reload3.2 masquerade的关键作用为什么外部转发必须启用masquerade让我们看看不启用时会发生什么客户端C发送请求到转发服务器F的22003端口F将请求转发到目标服务器D的22端口未做SNAT源IP仍是C的地址D收到请求后直接响应给C因为源IP是CC原本是向F:22003发送请求却收到了D的直接响应导致会话无法建立启用masquerade后F会在转发时修改源IP为自己的地址这样D就会把响应返回给F再由F返回给C形成完整的请求-响应路径。4. 常见问题排查技巧4.1 规则验证方法配置完规则后建议按以下步骤验证检查规则是否生效firewall-cmd --list-rich-rules检查masquerade是否启用firewall-cmd --query-masquerade测试端口连通性telnet 转发服务器IP 转发端口4.2 典型错误排查如果转发不工作可以按这个流程排查确认firewalld服务正常运行systemctl status firewalld检查是否有语法错误journalctl -u firewalld -f临时关闭防火墙测试firewall-cmd --runtime-to-permanent firewall-cmd --reload检查网络路由是否可达5. 高级配置技巧5.1 基于服务的转发firewalld内置了许多服务定义可以基于服务名而不是端口号来配置规则# 查看预定义服务 firewall-cmd --get-services # 使用服务名配置转发 firewall-cmd --permanent --add-rich-rulerule familyipv4 forward-port port8080 protocoltcp to-porthttp5.2 多网卡环境配置在多网卡服务器上可能需要指定转发接口firewall-cmd --permanent --add-rich-rulerule familyipv4 forward-port port3306 protocoltcp to-port3306 to-addr10.0.0.2 firewall-cmd --permanent --zonepublic --add-masquerade5.3 临时规则与永久规则生产环境中建议先添加临时规则测试确认无误后再转为永久规则# 添加临时规则 firewall-cmd --add-rich-rulerule familyipv4 forward-port port22002 protocoltcp to-port22 # 测试通过后转为永久规则 firewall-cmd --runtime-to-permanent在实际运维中我遇到过多次因为忘记添加--permanent参数导致重启后规则丢失的情况。现在养成了习惯先用临时规则测试确认没问题后立即转为永久规则最后再reload一次确保万无一失。