Centos7-----firewalld详解

Centos7-----firewalld详解

概述：
Filewalld（动态防火墙）做为redhat7系统中变动对于netfilter内核模块的管理工具；
iptables service 管理防火墙规则的模式（静态）：用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中，
再执行命令 /etc/init.d/iptables reload 使变动的规则生效。在这整个过程的背后，iptables service 首先对旧的防火墙规则进行了清空，
而后从新完整地加载全部新的防火墙规则，若是加载了防火墙的模块，须要在从新加载后进行手动加载防火墙的模块；
firewalld 管理防火墙规则的模式（动态）:任何规则的变动都不须要对整个防火墙规则列表进行从新加载，只须要将变动部分保存并更新到运行中的 iptables 便可。
还有命令行和图形界面配置工具，它仅仅是替代了 iptables service 部分，其底层仍是使用 iptables 做为防火墙规则管理入口。
firewalld 使用 python 语言开发，在新版本中已经计划使用 c++ 重写 daemon 部分。

便于理解：
相较于传统的防火墙管理配置工具，firewalld支持动态更新技术并加入了区域（zone）的概念。
简单来讲，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户能够根据生产场景的不一样而选择合适的策略集合，
从而实现防火墙策略之间的快速切换。例如，咱们有一台笔记本电脑，天天都要在办公室、咖啡厅和家里使用。
按常理来说，这三者的安全性按照由高到低的顺序来排列，应该是家庭、公司办公室、咖啡厅。
当前，咱们但愿为这台笔记本电脑指定以下防火墙策略规则：在家中容许访问全部服务；
在办公室内仅容许访问文件共享服务；在咖啡厅仅容许上网浏览。
在以往，咱们须要频繁地手动设置防火墙策略规则，而如今只须要预设好区域集合，
而后只需轻点鼠标就能够自动切换了，从而极大地提高了防火墙策略的应用效率。
firewalld中常见的区域名称（默认为public）；

区域：
firewalld将网卡对应到不一样的区域（zone），zone 默认共有9个：block（拒绝）
block（拒绝） dmz（非军事化） drop（丢弃） external（外部） home（家庭） internal（内部） public（公开） trusted（信任） work（工做区）.
不一样的区域之间的差别是其对待数据包的默认行为不一样，firewalld的默认区域为public；

文件：
/usr/lib/firewalld/services/ ：firewalld服务默认在此目录下定义了70+种服务供咱们使用，格式：服务名.xml；
/etc/firewalld/zones/ : 默认区域配置文件，配置文件中指定了编写完成的规则（规则中的服务名必须与上述文件名一致）；
分为多个文件的优势 :
第一，经过服务名字来管理规则更加人性化，
第二，经过服务来组织端口分组的模式更加高效，若是一个服务使用了若干个网络端口，则服务的配置文件就至关于提供了到这些端口的规则管理的批量操做快捷方式；

命令语法：firewall-cmd [--zone=zone] 动做 [--permanent]
注：若是不指定--zone选项，则为当前所在的默认区域，--permanent选项为是否将改动写入到区域配置文件中

firewall的状态：
--state ##查看防火墙的状态
--reload ##从新加载防火墙，中断用户的链接，将临时配置清掉，加载配置文件中的永久配置
--complete-reload ##从新加载防火墙，不中断用户的链接（防火墙出严重故障时使用）
--panic-on ##紧急模式，强制关闭全部网络链接,--panic-off是关闭紧急模式

动做中查看操做：
--get-icmptypes ##查看支持的全部ICMP类型
--get-zones ##查看全部区域
--get-default-zone ##查看当前的默认区域
--get-active-zones ##查看当前正在使用的区域
--get-services ##查看当前区域支持的服务
--list-services ##查看当前区域开放的服务列表
--list-all ##查看此区域内的全部配置，相似与iptables -L -n

更改区域操做：
--set-default-zone=work ##更改默认的区域

新建--add或删除--remove规则：
--add-interface=eth0 ##将网络接口添加到默认的区域内
--add-port=12222/tcp --permanent ##添加端口到区域开放列表中
--add-port=5000-10000/tcp --permanent ##将端口范围添加到开放列表中；
--add-service=ftp --permanent ##添加服务到区域开放列表中（注意服务的名称须要与此区域支持的服务列表中的名称一致）
--add-source=192.168.1.1 ##添加源地址的流量到指定区域
--remove-source=192.168.1.1 ##删除源地址的流量到指定区域
--change-interface=eth1 ##改变指定的接口到其余区域
--remove-service=http ##在home区域内将http服务删除在开放列表中删除
--add-masquerade ##开启SNAT（源地址转换）
--query-masquerade ##查询SNAT的状态
--remove-interface=eth0 ##将网络接口在默认的区域内删除
--query-interface=eth0 ##肯定该网卡接口是否存在于此区域
--add-forward-port=port=513:proto=tcp:toport=22:toaddr=192.168.100.101 ##端口转发

Rich规则：
当基本firewalld语法规则不能知足要求时，可使用如下更复杂的规则
.rich-rules 富规则，功能强,表达性语言,查看帮助：man 5 firewalld.richlanguage
.rich规则比基本的firewalld语法实现更强的功能，不只实现容许/拒绝，还能够实现日志syslog和auditd，也能够实现端口转发，假装和限制速率
rich规则实施顺序有如下四点
a.该区域的端口转发，伪造规则
b.该区域的日志规则
c.该区域的容许规则
d.该区域的拒绝规则
每一个匹配的规则都生效，全部规则都不匹配，该区域默认规则生效；

Rich规则语法：

Rich规则选项：
--add-rich-rule=’rule’ ##新建rich规则
--remove-rich-rule=’rule’ ##删除rich规则
--query-rich-rule=’rule’ ##查看单条rich规则
--list-rich-rules ##查看rich规则列表

Rich规则示例：#拒绝从192.168.0.11的全部流量firewall-cmd --permanent --zone=cla***oom --add-rich-rule=‘rule family=ipv4 source address=192.168.0.11/32 reject‘#限制每分钟只有两个链接到ftp服务firewall-cmd --add-rich-rule=’rule service name=ftp limitvalue=2/m accept’#抛弃esp协议的全部数据包firewall-cmd --permanent --add-rich-rule=‘rule protocol value=esp drop‘#接受全部192.168.1.0/24子网端口范置7900-7905的TCP流量firewall-cmd --permanent --zone=vnc --add-rich-rule=‘rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept‘##开启SNATfirewall-cmd --permanent --add-rich-rule=‘rule family=ipv4 source address=192.168.0.0/24 masquerade‘##使用rule规则实现端口转发，to-addr选项若是不指定默认转发到本机firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.100.0/24 forward-port port=80 protocol=tcp to-port=8080 to-addr=192.168.100.100'