背景

一个场外机房有六台机器.
但是只有一个固定IP地址.
公司内向访问六台机器.
想到的最简单的办法就是场外的机器通过防火墙的port-forward进行处理.
但是一开始没有考虑安全问题.
最近进行一次加固, 这里进行一下说明

相关知识

防火墙可以在给定的zone内进行一些端口转发
zone内可以对IP地址,端口进行过滤设置. 

防火墙中的 Zone（区域）是一种逻辑划分，
用于将网络划分为不同的安全区域，
以便根据每个区域的安全需求应用不同的安全策略。
这种划分有助于简化防火墙规则的管理，并提高网络的整体安全性。

相关命令

需要保证防火墙必须是开放的
systemctl enable --now firewalld
需要开启防火墙的IP地址欺骗
firewall-cmd --permanent --add-masquerade
然后需要重新加载防火墙才可以生效
firewall-cmd  --reload
确认参数修改生效
firewall-cmd  --query-masquerade

创建防火墙区域:
firewall-cmd --permanent --new-zone=qilu
firewall-cmd --reload
查看区域是否新增成功: 
firewall-cmd --get-zones
展示区域内的规则: 
firewall-cmd --list-all --zone=qilu
增加授信IP:
firewall-cmd --permanent --zone=qilu --add-source=192.168.1.0/24
增加转发策略: 
firewall-cmd --permanent --zone=qilu  --add-forward-port=port=22335:proto=tcp:toport=22:toaddr=192.168.2.201

注意 通过zone  避免public 区域过多全下过多的情况
firewall-cmd --list-all-zones
设置默认区域, 避免操作失误
firewall-cmd  --set-default-zone=qilu
确认修改是否生效: 
firewall-cmd --reload
firewall-cmd --list-all
返回为:
qilu (active)
  target: default