Linux----------防火墙

目录

• 1、防火墙概念
  • 1.1 安全技术
  • 1.2 防火墙
    • 1.2.1 网络层防火墙
    • 1.2.2 应用层防火墙
  • 1.3 防火墙工具
• 2、iptables
  • 2.1 iptables的组件
  • 2.2 iptables组成
    • 2.2.1四个表t
    • 2.2.2 五个内置链chain
    • 2.2.3 iptables规则
  • 2.3 iptables工做原理
  • 2.4 iptables命令
    • 2.4.1 iptables语法格式
  • 2.5 iptables命令之匹配条件
  • 2.6 iptables命令处理动做
  • 2.7 iptables命令之开放被动模式的ftp服务
  • 2.8 iptables命令之target
  • 2.9 注意事项
• 3、网络防火墙
  • 3.1 NAT
    • 3.1.1 SNAT
    • 3.1.2 DNAT
  • 3.2 转发
• 4、firewalld服务
  • 4.1 zone分类
  • 4.2 firewalld配置
    • 4.2.1 firewall-cmd命令
    • 4.2.2 其余规则
    • 4.2.3 rich规则
    • 4.2.4 rich日志规则
    • 4.2.5 假装和端口转发

1、防火墙概念

1.1 安全技术

安全技术分为三个方面：

• 入侵检测与管理系统（Intrusion Detection Systems）：特色是不阻断任何网络访问，量化、定位来自内外网络的威胁状况，主要以提供报告和过后监督为主，提供有针对性的指导措施和安全决策依据。通常采用旁路部署方式

• 入侵防护系统（Intrusion Prevention System）：以透明模式工做，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在断定为攻击行为后当即予以阻断，主动而有效的保护网络的安全，通常采用在线部署方式

• 防火墙（ FireWall ）：隔离功能，工做在网络或主机边缘，对进出网络或主机的数据包基于必定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认状况下关闭全部的经过型访问，只开放容许访问的策略

1.2 防火墙

防火墙分类：

• 主机防火墙：服务范围为当前主机

• 网络防火墙：服务范围为防火墙一侧的局域网

• 硬件防火墙：在专用硬件级别实现部分功能的防火墙；另外一个部分功能基于软件实现，Checkpoint,NetScreen

• 软件防火墙：运行于通用硬件平台之上的防火墙的应用软件

• 网络层防火墙：OSI下面第三层

• 应用层防火墙/代理服务器：代理网关，OSI七层

1.2.1 网络层防火墙

• 包过滤防火墙
• 网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（ACL），经过检查数据流中每一个数据的源地址，目的地址，所用端口号和协议状态等因素，或他们的组合来肯定是否容许该数据包经过
• 优势：对用户来讲透明，处理速度快且易于维护
• 缺点：没法检查应用层数据，如病毒等

1.2.2 应用层防火墙

• 应用层防火墙/代理服务型防火墙（Proxy Service）
• 将全部跨越防火墙的网络通讯链路分为两段
• 内外网用户的访问都是经过代理服务器上的“连接”来实现
• 优势：在应用层对数据进行检查，比较安全

• 缺点：增长防火墙的负载

• 现实生产环境中所使用的防火墙通常都是两者结合体：
  即先检查网络数据，经过以后再送到应用层去检查

1.3 防火墙工具

经常使用防火墙软件有：
iptables、firewalld、ebtables

2、iptables

2.1 iptables的组件

Netfilter组件：

• 内核空间，集成在linux内核中

• 扩展各类网络服务的结构化底层框架

• 内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)，而这五个hook function向用户开放，用户能够经过一个命令工具（iptables）向其写入规则

• 由信息过滤表（table）组成，包含控制IP包处理的规则集（rules），规则被分组放在链（chain）上

• 三种报文流向：
  流入本机：PREROUTING --> INPUT-->用户空间进程
  流出本机：用户空间进程 -->OUTPUT--> POSTROUTING
  转发：PREROUTING --> FORWARD --> POSTROUTING

2.2 iptables组成

• iptables由四个表和五个链以及一些规则组成

2.2.1四个表t

able：filter、nat、mangle、raw
filter表:过滤规则表，根据预约义的规则过滤符合条件的数据包
nat表:network address translation 地址转换规则表
mangle:修改数据标记位规则表
Raw:关闭NAT表上启用的链接跟踪机制，加快封包穿越防火墙速度
优先级由高到低的顺序为:raw-->mangle-->nat-->filter

2.2.2 五个内置链chain

INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING

2.2.3 iptables规则

规则rule：根据规则的匹配条件尝试匹配报文，对匹配成功的报文根据规则定义的处理动做做出处理

• 匹配条件：默认为与条件，同时知足
  基本匹配：IP,端口,TCP的Flags（SYN,ACK等）
  扩展匹配：经过复杂高级功能匹配

• 处理动做：称为target，跳转目标
  内建处理动做：ACCEPT,DROP,REJECT,SNAT,DNAT MASQUERADE,MARK,LOG...
  自定义处理动做：自定义chain，利用分类管理复杂情形

• 规则要添加在链上，才生效；添加在自定义上不会自动生效

• 链chain：
  内置链：每一个内置链对应于一个钩子函数
  自定义链：用于对内置链进行扩展或补充，可实现更灵活的规则组织管理机制；只有Hook钩子调用自定义链时，才生效

• iptables规则添加时考量点
  要实现哪一种功能：判断添加在哪张表上
  报文流经的路径：判断添加在哪一个链上
  报文的流向：判断源和目的
  匹配规则：业务须要

• 链上规则的次序，即为检查的次序，所以隐含必定的法则
  同类规则(访问同一应用)，匹配范围小的放上面
  不一样类规则(访问不一样应用)，匹配到报文频率较大的放上面
  将那些可由一条规则描述的多个规则合并为一个
  设置默认策略

2.3 iptables工做原理

• 内核中数据包的传输过程：
• 当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否须要转送出去
• 若是数据包就是进入本机的，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序能够发送数据包，这些数据包通过OUTPUT链，而后到达POSTROUTING链输出
• 若是数据包是要转发出去的，且内核容许转发，数据包就会向右移动，通过FORWARD链，而后到达POSTROUTING链输出

2.4 iptables命令

iptables：

• 命令行工具，工做在用户空间

• 用来编写规则，写好的规则被送往netfilter，告诉内核如何去处理信息包

• iptables命令：
  man 8 iptables
   iptables [-t table] {-A|-C|-D} chain rule-specification
   iptables [-t table] -I chain [rulenum] rule-specification
   iptables [-t table] -R chain rulenum rule-specification
   iptables [-t table] -D chain rulenum
   iptables [-t table] -S [chain [rulenum]]
   iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
   iptables [-t table] -N chain
   iptables [-t table] -X [chain]
   iptables [-t table] -P chain target
   iptables [-t table] -E old-chain-name new-chain-name
   rule-specification = [matches...] [target]
   match = -m matchname [per-match-options]
   target = -j targetname [per-target-options]

• 示例：
  

2.4.1 iptables语法格式

规则格式：iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]

• -t table：
  raw, mangle, nat, [filter]默认

• SUBCOMMAND：
  一、链管理：
  -N：new, 自定义一条新的规则链
  -X：delete，删除自定义的空的规则链
  -P：Policy，设置默认策略；对filter表中的链而言，其默认策略有：
  ACCEPT：接受
  DROP：丢弃
  -E：重命名自定义链；引用计数不为0的自定义链不可以被重命名，也不能被删除

二、查看：
-L：list, 列出指定鏈上的全部规则，本选项须置后
-n：numberic，以数字格式显示地址和端口号
-v：verbose，详细信息
-vv 更详细
-x：exactly，显示计数器结果的精确值,而非单位转换后的易读值
--line-numbers：显示规则的序号
经常使用组合：
--vnL
--vvnxL --line-numbers
-S selected,以iptables-save 命令格式显示链上规则

三、规则管理：
-A：append，追加
-I：insert, 插入，要指明插入至的规则编号，默认为第一条
-D：delete，删除

(1) 指明规则序号

(2) 指明规则自己
-R：replace，替换指定链上的指定规则编号
-F：flush，清空指定的规则链
-Z：zero，置零
iptables的每条规则都有两个计数器

(1) 匹配到的报文的个数

(2) 匹配到的全部报文的大小之和
chain： PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTIN

2.5 iptables命令之匹配条件

匹配条件：
基本：通用的，PARAMETERS
扩展：需加载模块，MATCH EXTENTIONS

• 一、基本匹配条件：无需加载模块，由iptables/netfilter自行提供
  [!] -s, --source address[/mask][,...]：源IP地址或范围
  [!] -d, --destination address[/mask][,...]：目标IP地址或范围
  [!] -p, --protocol protocol：指定协议，可以使用数字如0（all）
  protocol: tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp,mh or “all“ 参看：/etc/protocols
  [!] -i, --in-interface name：报文流入的接口；只能应用于数据报文流入环节，只应用于 INPUT、FORWARD、PREROUTING 链
  [!] -o, --out-interface name：报文流出的接口；只能应用于数据报文流出的环节，只应用于 FORWARD、OUTPUT 、 POSTROUTING 链

• 2 扩展匹配条件：须要加载扩展模块（/usr/lib64/xtables/*.so），方可生效
  查看帮助 man iptables-extensions
  (1)隐式扩展：在使用-p选项指明了特定的协议时，无需再用-m选项指明扩展模块的扩展机制，不须要手动加载扩展模块

• tcp协议的扩展选项
  [!] --source-port, --sport port[:port]：匹配报文源端口,可为端口范围
  [!] --destination-port,--dport port[:port]：匹配报文目标端口,可为范围
  [!] --tcp-flags mask comp //mask 需检查的标志位列表，用,分隔
  例如 SYN,ACK,FIN,RST
  comp 在mask列表中必须为1的标志位列表，无指定则必须为0，用,分隔

• 示例：
  --tcp-flags SYN,ACK,FIN,RST SYN 表示要检查的标志位为SYN,ACK,FIN,RST四个，其中SYN必须为1，余下的必须为0
  --tcp-flags SYN,ACK,FIN,RST SYN,ACK
  --tcp-flags ALL ALL
  --tcp_flags ALL NONE
  [!] --syn：用于匹配第一次握手
  至关于：--tcp-flags SYN,ACK,FIN,RST SYN

• udp协议
  [!] --source-port, --sport port[:port]：匹配报文的源端口；能够是端口范围
  [!] --destination-port,--dport port[:port]：匹配报文的目标端口；能够是端口范围

• icmp
  [!] --icmp-type {type[/code]|typename}
  type/code
  0/0 echo-reply icmp应答
  8/0 echo-request icmp请求

(2)显式扩展：必须使用-m选项指明要调用的扩展模块的扩展机制，要手动加载扩展模块
[-m matchname [per-match-options]]

2.6 iptables命令处理动做

-j targetname [per-target-options]
简单： ACCEPT，DROP
扩展： REJECT：--reject-with:icmp-port-unreachable默认
RETURN：返回调用链
REDIRECT：端口重定向
LOG：记录日志，dmesg
MARK：作防火墙标记
DNAT：目标地址转换
SNAT：源地址转换
MASQUERADE：地址假装
...
自定义链：

• 显式扩展：必须显式地指明使用的扩展模块进行的扩展

• 使用帮助：
  CentOS 6: man iptables
  CentOS 7: man iptables-extensions

• 一、multiport扩展
  以离散方式定义多端口匹配,最多指定15个端口
  [!] --source-ports,--sports port[,port|,port:port]... 指定多个源端口
  [!] --destination-ports,--dports port[,port|,port:port]... 指定多个目标端口
  [!] --ports port[,port|,port:port]...多个源或目标端口

• 示例：
  iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT

• 二、iprange扩展
  指明连续的（但通常不是整个网络）ip地址范围
  [!] --src-range from[-to] 源IP地址范围
  [!] --dst-range from[-to] 目标IP地址范围

• 示例：
  iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --src-range 172.16.1.5-172.16.1.10 -j DROP

• 三、mac扩展
  指明源MAC地址
  适用于：PREROUTING, FORWARD，INPUT chains
  [!] --mac-source XX:XX:XX:XX:XX:XX

• 示例：
  iptables -A INPUT -s 172.16.0.100 -m mac --mac-source 00:50:56:12:34:56 -j ACCEPT
  iptables -A INPUT -s 172.16.0.100 -j REJECT

• 四、string扩展
  对报文中的应用层数据作字符串模式匹配检测
  --algo {bm|kmp}：字符串匹配检测算法
  bm：Boyer-Moore
  kmp：Knuth-Pratt-Morris
  --from offset 开始偏移
  --to offset 结束偏移
  [!] --string pattern：要检测的字符串模式
  [!] --hex-string pattern：要检测字符串模式，16进制格式

• 示例：
  iptables -A OUTPUT -s 172.16.100.10 -d 0/0 -p tcp --sport 80 -m string --algo bm --string “google" -j REJECT

• 五、time扩展
  根据将报文到达的时间与指定的时间范围进行匹配
  --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
  --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
  --timestart hh:mm[:ss] 时间
  --timestop hh:mm[:ss]
  [!] --monthdays day[,day...] 每月的几号
  [!] --weekdays day[,day...] 星期几
  --kerneltz：内核时区，不建议使用，CentOS7系统默认为UTC
  注意： centos6 不支持kerneltz ，--localtz指定本地时区(默认)

• 示例：
  iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp --dport 80 -m time --timestart 14:30 --timestop 18:30 --weekdays Sat,Sun --kerneltz -j DROP

• 六、connlimit扩展
  根据每客户端IP作并发链接数数量匹配可防止CC(Challenge Collapsar挑战黑洞)攻击
  --connlimit-upto n：链接的数量小于等于n时匹配
  --connlimit-above n：链接的数量大于n时匹配
  一般分别与默认的拒绝或容许策略配合使用

• 示例：
  iptables -A INPUT -d 172.16.100.10 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT

• 七、limit扩展
  基于收发报文的速率作匹配
  令牌桶过滤器
  --limit rate[/second|/minute|/hour|/day]
  --limit-burst number
  示例：
  iptables -I INPUT -d 172.16.100.10 -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 5 -j ACCEPT
  iptables -I INPUT 2 -p icmp -j REJECT

• 八、state扩展

• 根据”链接追踪机制“去检查链接的状态，较耗资源

• conntrack机制：追踪本机上的请求和响应之间的关系

• 状态有以下几种：
  NEW：新发出请求；链接追踪信息库中不存在此链接的相关信息条目，所以，将其识别为第一次发出的请求
  ESTABLISHED：NEW状态以后，链接追踪信息库中为其创建的条目失效以前期间内所进行的通讯状态
  RELATED：新发起的但与已有链接相关联的链接，如：
  ftp协议中的数据链接与命令链接之间的关系
  INVALID：无效的链接，如flag标记不正确
  UNTRACKED：未进行追踪的链接，如raw表中关闭追踪

[!] --state state

• 示例：
  iptables -A INPUT -d 172.16.1.10 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
  iptables -A OUTPUT -s 172.16.1.10 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT

• 已经追踪到的并记录下来的链接信息库
  /proc/net/nf_conntrack
• 调整链接追踪功能所可以容纳的最大链接数量
  /proc/sys/net/nf_conntrack_max
• 不一样的协议的链接追踪时长
  /proc/sys/net/netfilter/

• 注意：CentOS7 须要加载模块： modprobe nf_conntrack

• iptables的连接跟踪表最大容量为/proc/sys/net/nf_conntrack_max，各类状态的超时连接会从表中删除；当模板满载时，后续链接可能会超时
• 解决方法两个：

(1) 加大nf_conntrack_max 值
vi /etc/sysctl.conf
net.nf_conntrack_max = 393216
net.netfilter.nf_conntrack_max = 393216

(2) 下降 nf_conntrack timeout时间
vi /etc/sysctl.conf
net.netfilter.nf_conntrack_tcp_timeout_established = 300
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
iptables -t nat -L -n

2.7 iptables命令之开放被动模式的ftp服务

开放被动模式的ftp服务

(1) 装载ftp链接追踪的专用模块：
跟踪模块路径：/lib/modules/kernelversion/kernel/net/netfilter
vim /etc/sysconfig/iptables-config 配置文件
IPTABLES_MODULES=" nf_conntrack_ftp "
modproble nf_conntrack_ftp

(2) 放行请求报文：
命令链接：NEW, ESTABLISHED
数据链接：RELATED, ESTABLISHED
iptables –I INPUT -d LocalIP -p tcp -m state --state ESTABLISH,EDRELATED -j ACCEPT
iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state -- state NEW -j ACCEPT

(3) 放行响应报文：
iptables -I OUTPUT -s LocalIP -p tcp -m state --state ESTABLISHED -j ACCEPT

• 示例：
  yum install vsftpd
   systemctl start vsftpd
   modprobe nf_conntrack_ftp
   iptables -F
   iptables -A INPUT -m state --stateESTABLISHED,RELATED -j ACCEPT
   iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
   iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -vnL

2.8 iptables命令之target

Target：
ACCEPT， DROP， REJECT， RETURN
LOG， SNAT， DNAT， REDIRECT， MASQUERADE，..
LOG: 非中断target,自己不拒绝和容许,放在拒绝和容许规则前并将日志记录在/var/log/messages系统日志中
--log-level level 级别： emerg, alert, crit, error,warning, notice, info or debug
--log-prefix prefix 日志前缀，用于区别不一样的日志，最多29个字符

• 示例：
  iptables -I INPUT -s 10.0.1.0/24 -p tcp -m multiport --dports 80,21,22,23 -m state --state NEW -j LOG --log-prefix "new connections: "

2.9 注意事项

• 任何不容许的访问，应该在请求到达时给予拒绝
• 规则在连接上的次序即为其检查时的生效次序

• 基于上述，规则优化
  1 安全放行全部入站和出站的状态为ESTABLISHED状态链接
  2 谨慎放行入站的新请求
  3 有特殊目的限制访问功能，要在放行规则以前加以拒绝
  4 同类规则（访问同一应用），匹配范围小的放在前面，用于特殊处理
  5 不一样类的规则（访问不一样应用），匹配范围大的放在前面
  6 应该将那些可由一条规则可以描述的多个规则合并为一条
  7 设置默认策略，建议白名单（只放行特定链接）
  1） iptables -P，不建议
  2） 建议在规则的最后定义规则作为默认策略

• 规则有效期限：
  使用iptables命令定义的规则，手动删除以前，其生效期限为kernel存活期限

• 保存规则：
  保存规则至指定的文件
  CentOS 6
  service iptables save
  将规则覆盖保存至/etc/sysconfig/iptables文件中
  CentOS 7 可用下面方法保存规则
  iptables -S > /PATH/TO/SOME_RULES_FILE
  iptables-save > /PATH/TO/SOME_RULES_FILE

3、网络防火墙

• iptables/netfilter网络防火墙：

(1) 充当网关

(2) 使用filter表的FORWARD链

• 注意的问题：

(1) 请求-响应报文均会经由FORWARD链，要注意规则的方向性

(2) 若是要启用conntrack机制，建议将双方向的状态为ESTABLISHED的报文直接放行

3.1 NAT

NAT: network address translation
PREROUTING，INPUT，OUTPUT，POSTROUTING
请求报文：修改源/目标IP，由定义如何修改
响应报文：修改源/目标IP，根据跟踪机制自动实现

• SNAT：source NAT POSTROUTING, INPUT
  让本地网络中的主机经过某一特定地址访问外部网络，实现地址假装请求报文：修改源IP
• DNAT：destination NAT PREROUTING , OUTPUT
  把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射)，但隐藏真实IP请求报文：修改目标IP
• PNAT: port nat，端口和IP都进行修改

3.1.1 SNAT

nat表的target：
SNAT：固定IP
--to-source [ipaddr[-ipaddr]][:port[-port]]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP

• 示例：
  iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT --to-source 172.18.1.6-172.18.1.9

MASQUERADE：动态IP，如拨号网络
--to-ports port[-port]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE

• 示例：
  iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j MASQUERADE

3.1.2 DNAT

DNAT
--to-destination [ipaddr[-ipaddr]][:port[-port]]
iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]

• 示例：
  iptables -t nat -A PREROUTING -s 0/0 -d172.18.100.6 -p tcp --dport 22 -j DNAT --to-destination 10.0.1.22
  iptables -t nat -A PREROUTING -s 0/0 -d172.18.100.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.22:8080

3.2 转发

REDIRECT：
NAT表
可用于：PREROUTING OUTPUT 自定义链
经过改变目标IP和端口，将接受的包转发至不一样端口
--to-ports port[-port]

• 示例：
  iptables -t nat -A PREROUTING -d 172.16.100.10 -p tcp --dport 80 -j REDIRECT --to-ports 8080

4、firewalld服务

firewalld是CentOS 7.0新推出的管理netfilter的工具
firewalld是配置和监控防火墙规则的系统守护进程。能够实现iptables,ip6tables,ebtables的功能
firewalld服务由firewalld包提供
firewalld支持划分区域zone,每一个zone能够设置独立的防火墙规则
纳入zone顺序：
先根据数据包中源地址，将其纳为某个zone
纳为网络接口所属zone
归入默认zone，默认为public zone,管理员能够改成其它zone

网卡默认属于public zone,lo网络接口属于trusted zone

4.1 zone分类

4.2 firewalld配置

firewall-cmd --get-services 查看预约义服务列表
/usr/lib/firewalld/services/*.xml预约义服务的配置

• 三种配置方法
  firewall-config （firewall-config包）图形工具
  firewall-cmd （firewalld包）命令行工具
  /etc/firewalld 配置文件，通常不建议

4.2.1 firewall-cmd命令

firewall-cmd命令选项：

--get-zones 列出全部可用区域
--get-default-zone 查询默认区域
--set-default-zone=<ZONE> 设置默认区域
--get-active-zones 列出当前正使用的区域
--add-source=<CIDR>[--zone=<ZONE>] 添加源地址的流量到指定区域，若是无--zone= 选项，使用默认区域
--remove-source=<CIDR> [--zone=<ZONE>] 从指定区域中删除源地址的流量，若是无--zone= 选项，使用默认区域
--add-interface=<INTERFACE>[--zone=<ZONE>] 添加来自于指定接口的流量到特定区域，若是无--zone= 选项，使用默认区域
--change-interface=<INTERFACE>[--zone=<ZONE>]改变指定接口至新的区域，若是无--zone= 选项，使用默认区域
--add-service=<SERVICE> [--zone=<ZONE>] 容许服务的流量经过，若是无--zone= 选项，使用默认区域
--add-port=<PORT/PROTOCOL>[--zone=<ZONE>] 容许指定端口和协议的流量，若是无--zone= 选项，使用默认区域
--remove-service=<SERVICE> [--zone=<ZONE>] 从区域中删除指定服务，禁止该服务流量，若是无--zone= 选项，使用默认区域
--remove-port=<PORT/PROTOCOL>[--zone=<ZONE>]从区域中删除指定端口和协议，禁止该端口的流量，若是无--zone= 选项，使用默认区域
--reload 删除当前运行时配置，应用加载永久配置
--list-services 查看开放的服务
 --list-ports 查看开放的端口
 --list-all [--zone=<ZONE>] 列出指定区域的全部配置信息，包括接口，源地址，端口，服务等，若是无--zone= 选项，使用默认区域

• 示例:
  查看默认zone
  firewall-cmd --get-default-zone
   默认zone设为dmz
  firewall-cmd --set-default-zone=dmz
   在internal zone中增长源地址192.168.0.0/24的永久规则
  firewall-cmd --permanent --zone=internal --
  add-source=192.168.0.0/24
   在internal zone中增长协议mysql的永久规则
  firewall-cmd --permanent –zone=internal --add-
  service=mysql
   加载新规则以生效
  firewall-cmd --reload

4.2.2 其余规则

当基本firewalld语法规则不能知足要求时，可使用如下更复杂的规则
rich-rules 富规则，功能强,表达性语言
Direct configuration rules 直接规则，灵活性差
帮助：man 5 firewalld.direct

4.2.3 rich规则

rich规则比基本的firewalld语法实现更强的功能，不只实现容许/拒绝，还能够实现日志syslog和auditd，也能够实现端口转发，假装和限制速率

• rich语法：
  rule
  [source]
  [destination]
  service|port|protocol|icmp-block|masquerade|forward-port
  [log]
  [audit]
  [accept|reject|drop]

• man 5 firewalld.richlanguage

• 规则实施顺序：
  该区域的端口转发，假装规则
  该区域的日志规则
  该区域的容许规则
  该区域的拒绝规则
  每一个匹配的规则生效，全部规则都不匹配，该区域默认规则生效

• rich规则选项
  

• 示例：
  拒绝从192.168.0.11的全部流量，当address 选项使用source 或 destination时，必须用family= ipv4 |ipv6.
  firewall-cmd --permanent --zone=classroom --add-rich- rule='rule family=ipv4 source address=192.168.0.11/32 reject‘

限制每分钟只有两个链接到ftp服务
firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/m accept’

抛弃esp（ IPsec 体系中的一种主要协议）协议的全部数据包
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp drop'

接受全部192.168.1.0/24子网端口范置7900-7905的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'

4.2.4 rich日志规则

log [prefix=" " [level= ][limit value=" "]
能够是emerg,alert, crit, error, warning, notice, info, debug.
s：秒, m：分钟, h：小时, d：天
audit [limit value=" "

• 示例：
  接受ssh新链接，记录日志到syslog的notice级别，每分钟最多三条信息
  firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh" log prefix="ssh " level="notice" limit value="3/m" accept

从2001:db8::/64子网的DNS链接在5分钟内被拒绝，并记录到日志到audit,每小时最大记录一条信息
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25. X .10/32 service name="http" log level=notice prefix="NEW HTTP " limit value="3/s" accept'

firewall-cmd --reload //每次增长规则后要从新加载才能生效

tail -f /var/log/messages

4.2.5 假装和端口转发

NAT网络地址转换，firewalld支持假装和端口转发两种NAT方式

• 假装NAT
  firewall-cmd --permanent --zone= --add-masquerade
  firewall-cmd --query-masquerade 检查是否容许假装
  firewall-cmd --add-masquerade 容许防火墙假装IP
  firewall-cmd --remove-masquerade 禁止防火墙假装IP

• 示例：
  firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'

• 端口转发
  端口转发：将发往本机的特定端口的流量转发到本机或不一样机器的另外一个端口。一般要配合地址假装才能实现
  firewall-cmd --permanent --zone= --add-forward-port=port= :proto= [:toport= ][:toaddr= ]
  说明：toport= 和toaddr= 至少要指定一个

• 示例：
  转发传入的链接9527/TCP，到防火墙的80/TCP到public zone的192.168.0.254
  firewall-cmd --add-masquerade 启用假装
  firewall-cmd --permanent --zone=public --add-
  forward-port port=9527 proto=tcp to-port=80 toaddr=192.168.0.254

• rich规则语法
  rich规则语法：
  forward-port port= protocol= tcp|udp [to-port= ] [to-addr=

  ]

• 示例：
  转发从192.168.0.0/24来的，发往80/TCP的流量到防火墙的端口8080/TCP
  firewall-cmd --permanent --zone=work --add-rich-rule 'rule family=ipv4 source address=192.168.0.0/24 forward-port port=80 protocol=tcp to-port=8080'

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25. X .10/32 forward-port port=443 protocol=tcp to-port=22' firewall-cmd --reload ssh -p 443 serverX.example.com