linux中的防火墙管理之firewall

一、firewall管理

1、相关概念：

防火墙守护firewalld服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持ipv4与ipv6，并支持网桥，采用firewall-cmd(command)或firewall-config(gui)来动态的管理kernelnetfilter的临时或永久的接口规则，并实时生效而无需重启服务。iptablesservice在/etc/sysconfig/iptables中储存配置,而firewalld将配置储存在/usr/lib/firewalld/和/etc/firewalld/中的各种XML文件里.使用iptablesservice每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。

Firewall能将不同的网络连接归类到不同的信任级别，Zone提供了以下几个级别：

drop:丢弃所有进入的包，而不给出任何响应

block:拒绝所有外部发起的连接，允许内部发起的连接

public:允许指定的进入连接

external:同上，对伪装的进入连接，一般用于路由转发

dmz:允许受限制的进入连接

work:允许受信任的计算机被限制的进入连接，类似workgroup

home:同上，类似homegroup

internal:同上，范围针对所有互联网用户

trusted:信任所有连接

2、安装管理工具

yuminstall firewalld firewall-config -y

3、图形界面：firewall-config

runtime临时更改，即改即生效

permanent ,永久更改，需要重新加载火墙，并重启

4、相关命令

systemctlstart firewalld ---启动防火墙

systemctlstop firewalld ---关闭防火墙

firewall-cmd--state ---查看火墙状态

firewall-cmd--get-active-zones ---获取当前生效的工作域

firewall-cmd--get-default-zone ---默认域

firewall-cmd--get-zones ---获得所有域

firewall-cmd--zone=public --list-all ---显示指定域的所策略

firewall-cmd--get-services ---获取支持的服务

firewall-cmd--list-all-zones ---列出所有域策略

firewall-cmd--list-all-zones ---列出所有域策略

firewall-cmd--set-default-zone=xxx ---设定默认域

(--permanent参数表示永久生效设置,设置后需要要重新加载防火墙策略或重启防火墙使它生效。如果没有指定--zone=xxx参数,那么会加入默认区域,需要指定区域

firewall-cmd--zone=internal --add-source=172.25.254.139/24 ---允许来自139的访问

firewall-cmd--zone=internal --remove-source=172.25.254.139/24 ---移除策略

firewall-cmd--zone=internal --add-interface=eth0 ---添加网卡

firewall-cmd--zone=internal --change-interface=eth0

firewall-cmd--zone=internal --remove-interface=eth0 ---删除网卡

firewall-cmd--zone=public --add-port=80/tcp ---添加端口

firewall-cmd--zone=public --add-service=http ---添加服务

firewall-cmd--zone=public --remove-port=80/tcp ---删除端口

firewall-cmd--zone=public --remove-service=http ---删除服务

firewall-cmd--reload ---重新加载策略

firewall-cmd--complete-reload ---重新加载策略

f注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到配置防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认模板。

5、DirectRules

通过 firewall-cmd工具,可以使用--direct选项在运行时间里增加或者移除链。如果不熟悉iptables,使用直接接口非常危险,因为您可能无意间导致防火墙被入侵。直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用。

参数：filter（本地数据限制）:（-s源地址，-d目的地址，-p协议，--dport端口，-j行为/REJECT拒绝/ACCEPT同意/DROP丢弃）

firewall-cmd--direct --add-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80-jACCEPT ---添加规则

firewall-cmd--direct --get-all-rules ---列出规则

firewall-cmd--direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport80 -jACCEPT ---删除规则

6、RichRules

通过该方法，可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外，还能永久保留保留设置，这种语法使用关键词值。

主要参数：source源地址，destination目的地址，service服务名称，port端口，protocol协议名

地址伪装示例：

firewall-cmd --add-masquerade ---开启地址伪装

firewall-cmd--add-rich-rule='rule family=ipv4 source address=172.25.254.100masquerade' ---设定伪装的地址策略

端口转发示例：

firewall-cmd–add-forward-port=port=80:proto=tcp:toport=8080:toaddr=172.25.50.100