Linux之iptables(5、firewall命令及配置)

firewalld服务

• firewalld是CentOS 7.0新推出的管理netfilter的工具
• firewalld是配置和监控防火墙规则的系统守护进程。能够实现iptables,ip6tables,ebtables的功能
• firewalld服务由firewalld包提供
• firewalld支持划分区域zone,每一个zone能够设置独立的防火墙规则
• 纳入zone顺序：
• 先根据数据包中源地址，将其纳为某个zone
• 纳为网络接口所属zone
• 归入默认zone，默认为public zone,管理员能够改成其它zone
• 网卡默认属于public zone,lo网络接口属于trusted zone

firewalld zone分类

预约义服务

 

firewalld配置

• firewall-cmd --get-services 查看预约义服务列表
• /usr/lib/firewalld/services/*.xml预约义服务的配置
• 三种配置方法
• firewall-config （firewall-config包）图形工具
• firewall-cmd （firewalld包）命令行工具
• /etc/firewalld 配置文件，通常不建议

firewall-cmd 命令选项

• --get-zones 列出全部可用区域
• --get-default-zone 查询默认区域
• --set-default-zone=<ZONE> 设置默认区域
• --get-active-zones 列出当前正使用的区域
• --add-source=<CIDR>[--zone=<ZONE>]添加源地址的流量到指定区域果无--zone= 选项，使用默认区域
• --remove-source=<CIDR> [--zone=<ZONE>] 从指定区域中删除源地址的流量，如无--zone= 选项，使用默认区域
• --add-interface=<INTERFACE>[--zone=<ZONE>] 添加来自于指定接口的流量到特定区域，若是无--zone= 选项，使用默认区域
• --change-interface=<INTERFACE>[--zone=<ZONE>] 改变指定接口至新的区域，若是无--zone= 选项，使用默认区域
• --add-service=<SERVICE> [--zone=<ZONE>] 容许服务的流量经过，若是无--zone= 选项，使用默认区域
• --add-port=<PORT/PROTOCOL>[--zone=<ZONE>] 容许指定端口和协议的流量，若是无--zone= 选项，使用默认区域
• --remove-service=<SERVICE> [--zone=<ZONE>] 从区域中删除指定服务，禁止该服务流量，若是无--zone= 选项，使用默认区域
• --remove-port=<PORT/PROTOCOL>[--zone=<ZONE>] 从区域中删除指定端口和协议，禁止该端口的流量，若是无--zone= 选项，使用默认区域--reload 删除当前运行时配置，应用加载永久配置
• --list-services 查看开放的服务
• --list-ports 查看开放的端口
• --list-all [--zone=<ZONE>] 列出指定区域的全部配置信息，包括接口，源地址，端口，服务等，若是无--zone= 选项，使用默认区域

firewall-cmd 命令示例

• 查看默认zone

firewall-cmd --get-default-zone

• 默认zone设为dmz

firewall-cmd --set-default-zone=dmz

• 在internal zone中增长源地址192.168.0.0/24的永久规则

　　firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24

• 在internal zone中增长协议mysql的永久规则

　　firewall-cmd --permanent –zone=internal --add-service=mysql

• 加载新规则以生效

　　firewall-cmd --reload

 

实验：配置firewalld

systemctl mask iptablessystemctl mask ip6tablessystemctl status firewalldsystemctl enable firewalldsystemctl start firewalldfirewall-cmd --get-default-zonefirewall-cmd --set-default-zone=publicfirewall-cmd --permanent --zone=public --list-allfirewall-cmd --permanent --zone=public --add-port 8080/tcpfirewall-cmd ---reload