准备
打开 VMware  ---> 编辑 ---> 虚拟网络编辑器

点击 NAT 设置





记住NAT设置中的子网IP、子网掩码、网关IP三项，接下来配置文件主要是这三项
2、编辑linux 中的网络配置文件
vi /etc/sysconfig/network-scripts/ifcfg-ens33

#注 网络配置文件名可能会有不同，在输入到ifcfg时，可以连续按两下tab键，获取提示
TYPE=Ethernet
PROXY_METHOD=static   #静态连接
BROWSER_ONLY=no
BOOTPROTO=dhcp 
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=90d052a5-906d-419b-9cd0-121d90b0d7ee
DEVICE=ens33
ONBOOT=yes  #网络设备开机启动 
IPADDR=192.168.136.128 #192.168.136.x, x为3~255. 
NETMASK=255.255.255.0 #子网掩码 
GATEWAY=192.168.136.2 #网关IP
DNS1=114.114.114.114
DNS2=8.8.8.8


3、查看网络配置
[root@localhost ~]# ip addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:58:f7:fd brd ff:ff:ff:ff:ff:ff
    inet 192.168.136.137/24 brd 192.168.136.255 scope global noprefixroute dynamic ens33
       valid_lft 1195sec preferred_lft 1195sec
    inet 192.168.136.128/24 brd 192.168.136.255 scope global secondary noprefixroute ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::6d:a5c9:d554:d76d/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:55:8b:d2:f1 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 scope global docker0
       valid_lft forever preferred_lft forever


4、重启网络服务
　　service network restart

5、测试

ok 搞定 Net 模式共享主机ip
端口转发
NET 设置   -->点击添加 即可 完成后如下


我这里配置了 三个 8888、8889、8887

注意点：
1、NGINX 是否配置好
使用 lsof -i:端口查看

2、虚拟机防火墙必须关闭 或者允许你的端口开放

在主机上浏览器 打 127.0.0.1:8888   自动会转发到 虚拟机的 80端口上

IP地址伪装和端口转发都属于NAT（网络地址转换）。
地址伪装和端口转发的区别如下：
IP地址伪装：
1、通过地址伪装，NAT设备将经过设备的包转发到指定的接收方，同时将通过的数据包
2、源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时，会将目的地址修改
3、为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。
4、类似于NAT技术中的端口多路复用（PAT）。IP地址伪装仅支持ipv4，不支持ipv6。
端口转发：
也可以称之为目的地址转换或端口映射。通过端口转发，将指定IP地址及端口的流量转发到相同计算机上的不同端口，或不同计算机上的端口。一般公司内网的服务器都采用私网地址，然后通过端口转发将使用私网地址的服务器发布到公网上。
在firewalld中，有一个富语言的概念，firewalld的富语言提供了一种不需要了解iptables语法的通过高级语言配置复杂的防火墙规则的机制，通过这种语言，可以表达firewalld的基本语法中不能实现的自定义防火墙规则。
富规则可用于表达基本的允许/拒绝规则，也可以用于配置记录（面向syslog和auditd），以及端口转发、伪装和速率限制。
在firewalld防火墙配置中有一个超时的工具，当包含超时的规则添加到防火墙时，计时器便针对该规则开始倒计时，一旦倒计时达到0秒，便从运行时配置中删除该规则。
在测试更复杂的规则集时，如果规则有效，那么我们可以再次添加该规则，如果规则没有实现我们预期的效果，甚至可能将我们管理员锁定而使其无法进入系统，那么规则将被自动删除，以便我们运维人员继续进行测试工作。
在使用firewall-cmd进行配置规则时，在命令的结尾追加选项--timeout=<timeval> 即可，--help中关于该选项的参考如下（单位可以是秒、分、时）：
 Enable an option for timeval time, where timeval is
                       a number followed by one of letters 's' or 'm' or 'h'
                       Usable for options marked with [T]
firewall-cmd有四个选项可以用于处理富规则，所有这些选项都可以和常规的--permanent或--zone=<ZONE>选项组合使用，具体如下：

在任何已配置的富规则都会显示在firewall-cmd --list-all 和 firewall-cmd --list-all-zone的输出结果中。具有语法解释如下所示：

富规则配置举例：
 为认证报头协议AH使用新的ipv4和ipv6连接
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
允许新的ipv4和ipv6连接ftp，并使用审核每分钟记录一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
允许来自192.168.1.0/24地址的TFTP协议的ipv4连接，并且使用系统日志每分钟记录一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'
为RADIUS协议拒绝所有来自1:2:3:4:6：：的新ipv6连接，日志前缀为“dns”，级别为“info”，并每分钟最多记录3次。接受来自其他发起端新的ipv6连接：
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
将源192.168.2.2地址加入白名单，以允许来自这个源地址的所有连接：
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
拒绝来自public区域中IP地址192.168.0.11的所有流量：
[root@localhost /]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包：
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
在192.168.1.0/24子网的DMZ区域中，接收端口7900~7905的所有TCP包：
[root@localhost /]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'
接收从work区域到SSH的新连接，以notice级别且每分钟最多三条消息的方式将新连接记录到syslog：
[root@localhost /]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
在接下来的5min内（通过--timeout=300配置项实现），拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接，并且拒绝的连接将记录到audit系统，且每小时最多一条消息。

[root@localhost /]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
配置firewall防火墙的地址伪装和端口转发的配置实例：https://blog.51cto.com/14227204/2434539

IP地址伪装和端口转发都属于NAT（网络地址转换）。
地址伪装和端口转发的区别如下：

IP地址伪装：
通过地址伪装，NAT设备将经过设备的包转发到指定的接收方，同时将通过的数据包
源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时，会将目的地址修改
为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。
类似于NAT技术中的端口多路复用（PAT）。IP地址伪装仅支持ipv4，不支持ipv6。


端口转发：
也可以称之为目的地址转换或端口映射。通过端口转发，将指定IP地址及端口的流量转发到相同计算机上的不同端口，或不同计算机上的端口。一般公司内网的服务器都采用私网地址，然后通过端口转发将使用私网地址的服务器发布到公网上。

在firewalld中，有一个富语言的概念，firewalld的富语言提供了一种不需要了解iptables语法的通过高级语言配置复杂的防火墙规则的机制，通过这种语言，可以表达firewalld的基本语法中不能实现的自定义防火墙规则。
富规则可用于表达基本的允许/拒绝规则，也可以用于配置记录（面向syslog和auditd），以及端口转发、伪装和速率限制。
在firewalld防火墙配置中有一个超时的工具，当包含超时的规则添加到防火墙时，计时器便针对该规则开始倒计时，一旦倒计时达到0秒，便从运行时配置中删除该规则。
在测试更复杂的规则集时，如果规则有效，那么我们可以再次添加该规则，如果规则没有实现我们预期的效果，甚至可能将我们管理员锁定而使其无法进入系统，那么规则将被自动删除，以便我们运维人员继续进行测试工作。
在使用firewall-cmd进行配置规则时，在命令的结尾追加选项--timeout=<timeval> 即可，--help中关于该选项的参考如下（单位可以是秒、分、时）：
 Enable an option for timeval time, where timeval is
                       a number followed by one of letters 's' or 'm' or 'h'
                       Usable for options marked with [T]
firewall-cmd有四个选项可以用于处理富规则，所有这些选项都可以和常规的--permanent或--zone=<ZONE>选项组合使用，具体如下：

在任何已配置的富规则都会显示在firewall-cmd   --list-all  和 firewall-cmd --list-all-zone的输出结果中。具有语法解释如下所示：

富规则配置举例：
① 为认证报头协议AH使用新的ipv4和ipv6连接
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
②允许新的ipv4和ipv6连接ftp，并使用审核每分钟记录一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
③允许来自192.168.1.0/24地址的TFTP协议的ipv4连接，并且使用系统日志每分钟记录一次
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'
④为RADIUS协议拒绝所有来自1:2:3:4:6：：的新ipv6连接，日志前缀为“dns”，级别为“info”，并每分钟最多记录3次。接受来自其他发起端新的ipv6连接：
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
⑤将源192.168.2.2地址加入白名单，以允许来自这个源地址的所有连接：
[root@localhost /]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
⑥拒绝来自public区域中IP地址192.168.0.11的所有流量：
[root@localhost /]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'

⑦丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包：
[root@localhost /]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
⑧在192.168.1.0/24子网的DMZ区域中，接收端口7900~7905的所有TCP包：
[root@localhost /]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'
⑨接收从work区域到SSH的新连接，以notice级别且每分钟最多三条消息的方式将新连接记录到syslog：
[root@localhost /]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
⑩在接下来的5min内（通过--timeout=300配置项实现），拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接，并且拒绝的连接将记录到audit系统，且每小时最多一条消息。

[root@localhost /]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
这篇文章写的有点多了，为了避免杂乱，所以就将配置firewall防火墙的地址伪装和端口转发的配置实例写到另一篇博文里吧！博文链接：  https://blog.51cto.com/14154700/2410203
转载于:https://blog.51cto.com/14154700/2410250

Firewalld支持两种类型的网络地址转换

1）地址伪装（masquerade）

   通过地址伪装，NAT设备将经过设备的数据包转发到指定接收方，同时将通过的数据包的源地址更改为其本身的接口地址。当返回的数据包到达时，会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个IP地址共享单一公网地址上网。类似于NAT技术中的端口多路复用（PAT），IP地址伪装仅支持IPV4，不支持IPV6。

可以实现局域网多个地址共享单一公网地址上网 
	
IP地址伪装仅支持IPv4，不支持IPv6
2）端口转发（Forward-port）

   也称为目的地址转换或端口映射。通过端口转发，将指定IP地址及端口的流量转发到相同计算机上的不同端口。或不同计算机上的端口，企业内部的服务器一般使用私网地址，可以通过端口转发将使用私网地址的服务器发布到公网上，供互联网用户进行访问。类似于NAT技术中的静态NAT。

也称为目的地址转换或端口映射
	
通过端口转发，指定IP地址及端口的流量将被转发到相同计算机上的不同端口，或者转发到不同计算机上的端口。
 

firewalld中理解直接规则

直接规则（direct interface）

允许管理员手动编写的iptables、ip6tables和ebtables 规则插入到Firewalld管理的区域中
	
通过firewall-cmd命令中的--direct选项实现 
	
除显示插入方式之外，优先匹配直接规则
使用直接规则麻烦命令繁琐

 

使用富语言

富语言（rich language）

表达性配置语言，无需了解iptables语法
	
用于表达基本的允许/拒绝规则、配置记录（面向syslog和auditd）、端口转发、伪装和速率限制
1.基本语法：

rule [family="<rule family>"]
    [ source address="<address>" [invert="True"] ]
    [ destination address="<address>" [invert="True"] ]
    [ <element> ]
    [ log [prefix="<prefix text>"] [level="<log level>"] [limit value="rate/duration"] ]
    [ audit ]
    [ accept|reject|drop ]

2.理解富规则命令

1）常用规则选项



 



3.规则配置举例

1）为认证包头协议AH使用IPV4和IPV6连接。

[root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
success

2）允许新的IPV4和IPV6连接FTP，并使用审核每分钟记录一次。

[root@localhost ~]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
success

3）允许来自192.168.0.0/24地址的TFTP协议的IPV4连接，并且使用系统日志每分钟记录一次

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'
success


4）为RADIUS协议拒绝所有来自1:2:3:4:6：：的新ipv6连接，日志前缀为“dns”，级别为“info”，并每分钟最多记录3次。接受来自其他发起端新的ipv6连接

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
success
[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
success


5）将源192.168.2.2地址加入白名单，以允许来自这个源地址的所有连接

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
success

6）拒绝来自public区域中IP地址192.168.0.11的所有流量

[root@localhost ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
success

7）丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包

[root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
success

8）在192.168.1.0/24子网的DMZ区域中，接收端口7900~7905的所有TCP包

[root@localhost ~]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'
success


9）接收从work区域到SSH的新连接，以notice级别且每分钟最多三条消息的方式将新连接记录到syslog

[root@localhost ~]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
success


10）在接下来的5min内（通过--timeout=300配置项实现），拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接，并且拒绝的连接将记录到audit系统，且每小时最多一条消息

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
success