Linux7命令怎么通过防火墙富规则配置方式，将内网192.168.1.10:8800的web服务端口映射到外网口？

一、什么是防火墙？

防火墙，也称防护墙（Firewall）由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）。

所谓防火墙是有软件和硬件设备组合而成、在内部网和外部网之间、专用网和公共网之间边界上构造的保护屏障，是一种获取安全性方法的形象说法。他是一种计算机硬件和软件的结合，使internet和intranet之间建立一个安全网关（Security Gateway），从而保护内网免受非法用户侵入。防火墙主要有、服务访问规则、验证工具、包过滤和应用网关4个部分组成。计算机流入流出的所有网络通信和数据包均要经过此防火墙。

二、防火墙的种类有哪些？

从逻辑上讲。防火墙大体可以分为主机防火墙和网络防火墙。

主机防火墙：针对单个主机进行防护。

网络防火墙：往往对于网络入口或边缘，针对于网络入口进行防护，服务于防火墙背后的本地局域网。

从物理上将，防火墙可以分为硬件防火墙和软件防火墙。

硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高。

软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低。

（1）包过滤防火墙

数据包过滤（package Filtering）技术是在网络层数据包进行选择，选择的依据是系统内过滤的设计逻辑，成文访问控制表（access control lable ，ACL）。通过检查数据流中每个数据包的源地址和目的地址，所用的端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过。

包过滤防火墙的优点：他对用户来说是透明的，处理速度快切易维护。缺点是，非法用户一旦攻破防火墙，即可对主机的软件和配置漏洞进行攻击。数据包的源地址、目的地址和IP端口号都在数据包的头部，可以轻易的伪造。“IP地址欺骗”是黑客针对该类型防火墙比较常用的攻击手段。

（2）代理服务型防火墙

代理服务（proxy service）也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段 。当代理服务器接收到用户对某个站点的访问请求后就会检查请求是否符合控制规则。如果规则允许用户访问该站点，代理服务器就会替用户去对应站点取回所需信息，再转发给用户。，内外网用户的访问都是通过代理服务器上的“链接”来实现的，从而起到隔离防火墙内外计算机系统的作用。此外，代理服务器对过往的数据包进行分析和注册登记，并形成报告，同当当发现有被攻击迹象时，会向网络管理员发出警告并保留攻击记录。

在出口设备上做就行，就是在出口设备端口映射上把内网设备的IP：192168xx填上，出口端口号8443，公网IP：222xxx，端口号：可以填8443，也可以填其他的，前提是没被占用。上面说的是web配置，不知道你的出口设备品牌所以无法给你命令行配置。

首先到network→Services里，点击添加新建一个端口。名称：TCP8000，类型TCP，端口范围8000-8000

然后在SonicWALL右上角你可以看到一个三角形的按钮，叫Wizards ，点击那个按钮。

在弹出的页面中选择Public Server Wizard ，点击next，Server Type选择other，Services 就选择你刚才建立的TCP8000，点击下一步，Server Name就是你在防火墙上看到服务器的名字（以后可以在防火墙规则以及NAT规则里看到这个），随便起个自己认识的就行，Server Private IP Address就是你服务器的内网IP（19216835），点击下一步之后，会出现Server Public IP Address，这个如果你是ADSL拨号的就不用管（如果是固定IP的话就填你的外网IP，不过这里一般防火墙会帮你自动填入），直接点击下一步，之后就会出来确认信息，点击apply应用设置即可。

等向导弹出结束按钮，按close退出即可。至此，完成服务器19216835的8000端口发布。

1、依次打开控制面板---系统和安全---Windows防火墙---高级设置。进入站规则—新建规则。

2、在新建入站规则向导窗口选择 “端口” ，点击下一步。

3、在特定本地端口输入框里输入 需要远程的端口号如“80” 点击下一步。

4、在名称备注一下点击完成。

internet

|

firewall-----(在防火墙上为服务器设置静态nat，pc设置为动态nat，允许放行内网的ip 地址)

| |

router server

|

pc