由于各种原因,我不得不采用 CentOS 7 作为面向公众的防火墙机器,实现 NAT 和一些其他功能。
看上去相当简单。
我的基本策略是将外部接口分配给“Drop”区域以实现最大安全性,将内部接口分配给firewalld中的“Internal”区域,然后我将伪装添加到Drop区域,这样NAT似乎就可以从内部->外部(内部->Drop)正常工作。
但是,我还没有找到一种方法来阻止某些端口从 in->out 转换,换句话说,我找不到一种优雅的(甚至是可行的)方法来阻止防火墙根据受信任网络的目标端口进行转换。所以我的目标是不要伪装出站端口 100/tcp(示例)。
有办法吗?还是我的做法完全错误?