Linux on HiDa

firewalld 配置 internal 到 public 区域的流量转发

Mon, 18 May 2026 19:22:32 +0800

firewalld 支持通过 Policy 对象实现跨区域流量转发。本文介绍如何配置策略，允许 internal 区域的流量转发到 public 区域，使内网主机可以通过防火墙访问外部网络。

前提条件

firewalld 已安装并运行（systemctl status firewalld）
有 root 或 sudo 权限
了解 firewalld 的 Zone 和 Policy 概念

创建转发策略

firewalld 的 Zone 控制接口上的流量方向，而 Policy 用于定义跨区域的流量转发规则。我们需要创建一个 Policy，将 internal 作为入口区域，public 作为出口区域。

# 创建新策略
sudo firewall-cmd --permanent --new-policy allow-internal-to-public

# 设置入口区域（源）为 internal，出口区域（目标）为 public
sudo firewall-cmd --permanent --policy allow-internal-to-public --add-ingress-zone internal
sudo firewall-cmd --permanent --policy allow-internal-to-public --add-egress-zone public

# 设置动作为 ACCEPT，并给予高优先级（确保不被其他策略覆盖）
sudo firewall-cmd --permanent --policy allow-internal-to-public --set-target ACCEPT
sudo firewall-cmd --permanent --policy allow-internal-to-public --set-priority -100

关键参数说明：

参数	说明
`--add-ingress-zone`	流量进入的区域（源区域）
`--add-egress-zone`	流量出去的区域（目标区域）
`--set-target ACCEPT`	匹配该策略的流量默认放行
`--set-priority -100`	优先级数值越小越优先，负数确保优先于默认策略

开启伪装（MASQUERADE）

为了让内网 IP 的流量通过 public 区域的出口 IP 访问外部网络，需要为 public 区域开启源地址伪装（SNAT）：

sudo firewall-cmd --permanent --zone=public --add-masquerade

启用 IP 转发

Linux 内核默认关闭 IP 转发功能，需要手动开启：

# 临时启用（重启后失效）
sudo sysctl -w net.ipv4.ip_forward=1

# 永久启用
echo net.ipv4.ip_forward=1 | sudo tee -a /etc/sysctl.d/99-ipforward.conf

重载防火墙

以上所有 --permanent 操作需要重载后才会生效：

sudo firewall-cmd --reload

验证配置

# 查看策略列表
sudo firewall-cmd --get-policies

# 查看策略详情
sudo firewall-cmd --info-policy allow-internal-to-public

# 查看 public 区域是否开启伪装
sudo firewall-cmd --zone=public --query-masquerade

# 查看 IP 转发状态
sysctl net.ipv4.ip_forward

常见问题

内网主机无法访问外部？ 检查以下几点：

确认 net.ipv4.ip_forward 已设为 1
确认 public 区域的伪装已开启
确认 internal 区域的接口绑定正确：sudo firewall-cmd --zone=internal --list-all
确认内网主机的默认网关指向防火墙的 internal 接口 IP

策略优先级被覆盖？ 使用更小的优先级数值（如 -200），firewalld 优先级范围是 -32768 到 32767，数值越小越优先。

参考

使用 resolvectl 临时指定 DNS 服务器

Thu, 08 May 2025 10:16:00 +0800

在日常运维中，我们经常需要临时切换 DNS 服务器来排查域名解析问题。传统做法是修改 /etc/resolv.conf，但在使用 systemd-resolved 的现代 Linux 发行版中，resolvectl 提供了更优雅的解决方案。

为什么用 resolvectl

传统的修改 /etc/resolv.conf 方式有几个痛点：

systemd-resolved 管理下会被覆盖：直接编辑 /etc/resolv.conf 可能无效，因为该文件是一个指向 /run/systemd/resolve/stub-resolv.conf 的符号链接
需要 root 权限：编辑系统文件必须 sudo
容易忘记还原：排查完问题后忘记改回来，可能影响业务

而 resolvectl 的优势：

特性	传统方式	resolvectl
修改配置文件	✅	❌
需要 root	✅	❌（per-link）
重启后恢复	需手动还原	✅ 自动恢复
影响范围	全局	可按网卡控制

查看当前 DNS 状态

# 查看全局 DNS 配置
resolvectl status

# 查看指定网卡
resolvectl status eth0

# 查看当前生效的 DNS 服务器
resolvectl dns

输出示例：

Global
 Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
Resolving DNS Servers: 192.168.1.1
Fallback DNS Servers: 8.8.8.8

Link 2 (eth0)
 Current Scopes: DNS
 Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
Resolving DNS Servers: 192.168.1.1
 DNS Domain: lan

临时指定 DNS（per-link）

指定单网卡 DNS

# 将 eth0 的 DNS 指定为 Google DNS
sudo resolvectl dns eth0 8.8.8.8

# 指定多个 DNS（主备）
sudo resolvectl dns eth0 8.8.8.8 1.1.1.1

# 指定国内 DNS
sudo resolvectl dns eth0 223.5.5.5 119.29.29.29

验证生效

# 查看当前 DNS
resolvectl dns eth0

# 测试解析
resolvectl query example.com

# 使用指定 DNS 解析
resolvectl query example.com --interface=eth0

恢复默认 DNS

# 恢复为空（回退到全局配置）
sudo resolvectl dns eth0

# 恢复为 DHCP 下发的 DNS
sudo resolvectl revert eth0

全局临时指定 DNS

如果需要全局修改（影响所有网卡）：

# 设置全局 DNS
sudo resolvectl dns 8.8.8.8 1.1.1.1

# 恢复全局 DNS
sudo resolvectl dns

⚠️ 全局修改同样会在重启后恢复，但会影响所有网卡的 DNS 解析。

常用国内公共 DNS

DNS 服务商	地址	说明
阿里	223.5.5.5 / 223.6.6.6	稳定快速
腾讯	119.29.29.29	DNSPod
百度	180.76.76.76	-
114 DNS	114.114.114.114	老牌公共 DNS
Google	8.8.8.8 / 8.8.4.4	海外推荐
Cloudflare	1.1.1.1 / 1.0.0.1	海外

实战场景

场景一：排查域名解析故障

# 1. 查看当前 DNS
resolvectl dns

# 2. 临时切换到公共 DNS 验证
sudo resolvectl dns eth0 223.5.5.5

# 3. 测试解析
resolvectl query api.example.com

# 4. 如果公共 DNS 正常，说明内网 DNS 有问题
# 5. 恢复原配置
sudo resolvectl revert eth0

场景二：测试 DoH/DoT

# 查看是否支持 DNS over TLS
resolvectl status | grep -i tls

# 开启 DNS over TLS（需要 DNS 服务器支持）
sudo resolvectl dns-over-tls eth0 yes
sudo resolvectl dns eth0 tls://dns.google

场景三：多网卡环境指定 DNS

# eth0 走内网 DNS
sudo resolvectl dns eth0 192.168.1.1

# eth1 走公共 DNS
sudo resolvectl dns eth1 223.5.5.5

# 查询时指定网卡
resolvectl query internal.example.com --interface=eth0
resolvectl query www.0niu.cn --interface=eth1

注意事项

临时性：resolvectl 的修改在系统重启后会自动恢复为配置文件中的默认值
与 NetworkManager 冲突：如果使用 NetworkManager 管理 DNS，可能会被 NM 覆盖，可以设置 NM_CONTROLLED=no 或在 NM 配置中指定 DNS
systemd-resolved 必须运行：确认服务状态 systemctl status systemd-resolved
域名搜索后缀：可以使用 resolvectl domain eth0 example.com 临时添加搜索域

总结

resolvectl 是 systemd-resolved 提供的 DNS 管理工具，用于临时切换 DNS 非常方便：

✅ 无需修改配置文件
✅ 重启自动恢复
✅ 可按网卡粒度控制
✅ 支持 DNS over TLS

下次排查 DNS 问题时，不妨试试 resolvectl。

修改 SSH 监听端口与 SELinux 配置

Mon, 18 Mar 2024 09:44:00 +0800

概述

出于安全考虑，修改 SSH 默认端口（22）是一个常见的安全加固措施。本文介绍如何修改 SSH 监听端口，并正确配置 SELinux 以允许新端口的访问。

修改 SSH 监听端口

1. 编辑 SSH 配置文件

sudo vi /etc/ssh/sshd_config

找到 #Port 22 这一行，取消注释并修改为需要的端口：

Port 22
Port 2222

建议同时保留默认端口和自定义端口，便于测试。确认新端口正常工作后，再删除默认端口配置。

2. 重启 SSH 服务

sudo systemctl restart sshd

3. 验证新端口

# 检查 SSH 服务监听端口
sudo ss -tlnp | grep sshd

# 或使用 netstat
sudo netstat -tlnp | grep sshd

应该看到新端口（如 2222）已开始监听。

配置 SELinux

如果在启用了 SELinux 的系统上修改 SSH 端口，必须更新 SELinux 策略，否则 SSH 服务无法正常绑定到新端口。

1. 检查当前 SELinux 状态

# 查看 SELinux 状态
sestatus

# 查看 SSH 允许的端口
sudo semanage port -l | grep ssh

默认情况下，SELinux 只允许 SSH 使用端口 22。

2. 添加新端口到 SELinux 策略

# 添加新端口（如 2222）到 SSH 服务
sudo semanage port -a -t ssh_port_t -p tcp 2222

参数说明：

-a：添加
-t ssh_port_t：指定端口类型为 SSH 端口
-p tcp：协议为 TCP
2222：端口号

3. 验证 SELinux 配置

# 再次查看 SSH 允许的端口
sudo semanage port -l | grep ssh

应该可以看到：

ssh_port_t tcp 2222, 22

4. 删除不需要的端口（可选）

如果需要从 SELinux 策略中移除某个端口：

sudo semanage port -d -t ssh_port_t -p tcp 2222

配置防火墙

根据系统使用的防火墙，需要开放新端口。

firewalld（RHEL/CentOS/Fedora）

# 添加新端口到防火墙规则
sudo firewall-cmd --permanent --add-port=2222/tcp

# 重新加载防火墙配置
sudo firewall-cmd --reload

# 查看当前开放的端口
sudo firewall-cmd --list-ports

ufw（Ubuntu/Debian）

# 允许新端口
sudo ufw allow 2222/tcp

# 查看防火墙状态
sudo ufw status

iptables

# 添加规则
sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT

# 保存规则（根据发行版不同，命令可能不同）
sudo service iptables save
# 或
sudo netfilter-persistent save

测试连接

在确认所有配置正确后，测试新端口的连接：

ssh -p 2222 username@server_ip

如果连接成功，可以回到 SSH 配置文件中删除默认端口（22），然后重启 SSH 服务：

Port 2222

sudo systemctl restart sshd

常见问题

问题 1：修改端口后无法连接

可能原因：

SELinux 未配置允许新端口
防火墙未开放新端口
SSH 服务未正确重启

排查步骤：

# 检查 SELinux 日志
sudo ausearch -m avc -ts recent | grep sshd

# 检查 SSH 服务状态
sudo systemctl status sshd

# 检查端口监听
sudo ss -tlnp | grep 2222

问题 2：semanage 命令不存在

解决方法：

# RHEL/CentOS/Fedora
sudo dnf install policycoreutils-python-utils

# Ubuntu/Debian
sudo apt install policycoreutils-python-utils

问题 3：SELinux 阻止 SSH 绑定端口

查看 SELinux 拒绝日志：

sudo ausearch -m avc -ts recent | grep sshd | grep denied

如果看到类似 bind 操作被拒绝，说明 SELinux 策略未正确配置，按照上述步骤添加端口即可。

安全建议

选择非标准端口：避免使用容易被扫描的端口，如 2222、22222 等
定期更换端口：在高安全要求的环境中，定期更换 SSH 端口
结合其他安全措施：
- 启用密钥认证，禁用密码登录
- 配置 fail2ban 防止暴力破解
- 限制允许访问的 IP 地址
保持 SELinux 启用：SELinux 提供了额外的安全防护层，建议保持启用状态

参考资料

Linux 笔记本电脑合上盖子不休眠设置

Sun, 25 Nov 2018 16:13:02 +0800

概述

默认情况下，Linux 笔记本电脑在合上盖子时会进入休眠/挂起状态。但在某些场景下，我们希望合上盖子后系统继续运行，例如：

连接外接显示器使用笔记本作为主机
运行下载任务或服务器服务
合盖后继续编译或渲染任务
作为家庭服务器使用

解决方法

通过修改 systemd-logind 配置文件即可实现合盖不休眠。

步骤

1. 编辑配置文件

sudo vi /etc/systemd/logind.conf

2. 修改配置项

找到以下行：

#HandleLidSwitch=suspend

取消注释并修改为：

HandleLidSwitch=ignore

3. 可选：同时配置其他相关选项

# 合上盖子时忽略（不休眠）
HandleLidSwitch=ignore

# 合上盖子并连接电源时忽略
HandleLidSwitchExternalPower=ignore

# 合上盖子并仅使用电池时忽略
HandleLidSwitchDocked=ignore

4. 重启系统或重启 systemd-logind 服务

# 方法一：重启系统
sudo reboot

# 方法二：重启 systemd-logind 服务（无需重启）
sudo systemctl restart systemd-logind

验证配置

修改完成后，可以使用以下命令验证配置是否生效：

# 查看当前 logind 配置
loginctl show | grep HandleLid

# 查看配置是否已加载
systemctl show systemd-logind | grep HandleLid

预期输出应包含 HandleLidSwitch=ignore。

恢复默认设置

如需恢复合盖休眠的默认行为，将配置改回：

HandleLidSwitch=suspend

然后重启服务或系统即可。

注意事项

⚠️ 重要提醒：

散热问题：合盖后继续运行可能导致散热不良，尤其是高性能任务时
电池消耗：不休眠会持续消耗电池电量
屏幕保护：合盖后屏幕会自动关闭，这是正常现象
外接显示器：如使用外接显示器，建议同时设置 HandleLidSwitchExternalPower=ignore

其他相关配置

配置项	可选值	说明
HandleLidSwitch	ignore/suspend/hibernate/lock	合盖时的行为
HandleLidSwitchExternalPower	ignore/suspend/hibernate/lock	连接电源时合盖的行为
HandleLidSwitchDocked	ignore/suspend/hibernate/lock	对接状态下合盖的行为

故障排查

如果修改后仍然休眠，检查：

配置是否正确保存（无语法错误）
是否重启了 systemd-logind 服务或系统
是否有其他电源管理工具冲突（如 TLP、powertop）
查看系统日志：journalctl -u systemd-logind