centos防火墙firewalld

时间 2020-01-02

原文原文链接

防火墙安全

http://hongge.blog.51cto.com/服务器

Redhat Enterprise Linux7已经默认使用firewalld做为防火墙，其使用方式已经变化。网络

基于iptables的防火墙被默认不启动，但仍然能够继续使用。ssh

RHEL7中有几种防火墙共存：firewalld、iptables、ebtables等，默认使用firewalld做为防火墙，管理工具是firewall-cmd。RHEL7的内核版本是3.10，在此版本的内核里防火墙的包过滤机制是firewalld，使用firewalld来管理netfilter,不过底层调用的命令仍然是iptables等。由于这几种daemon是冲突的，因此建议禁用其余几种服务tcp

例如若要禁用iptables、ip6tables、ebtables防火墙，方法以下图ide

或工具

查看这几种服务是否正在运行命令行

或3d

RHEL7虽然有iptables可是不建议使用了，使用新的firewalld服务。日志

查看firewalld软件包是否安装

Firewalld提供了支持网络/防火墙区域(zone)定义网络连接以及接口安全等级的防火墙管理工具。拥有运行时配置和永久配置选项。它也支持容许服务或者应用程序直接添加防火墙规则的接口。之前的 system-config-firewall防火墙模型是静态的，每次修改都要求防火墙彻底重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。相反，firewall daemon 动态管理防火墙，不须要重启整个防火墙即可应用更改。于是也就没有必要重载全部内核防火墙模块了。

什么是区域：网络区域定义了网络链接的可信等级。

数据包要进入到内核必需要经过这些zone中的一个，而不一样的zone里定义的规则不同（即信任度不同，过滤的强度也不同）。能够根据网卡所链接的网络的安全性来判断，这张网卡的流量到底使用哪一个zone，好比上图来自eth0的流量所有使用zone1的过滤规则，eth1的流量使用zone2。一张网卡同时只能绑定到一个zone

预约义的服务：服务是端口和/或协议入口的组合。

端口和协议：定义了 tcp 或 udp 端口，端口能够是一个端口或者端口范围。

ICMP 阻塞：能够选择 Internet 控制报文协议的报文。这些报文能够是信息请求亦但是对信息请求或错误条件建立的响应。

假装：私有网络地址能够被映射到公开的IP地址。这是一次正规的地址转换。

端口转发：端口能够映射到另外一个端口以及/或者其余主机。

在进行firewalld配置以前，我想来讨论一下区域（zones）这个概念。默认状况就有一些有效的区域。由firewalld 提供的区域按照从不信任到信任的顺序排序。

?丢弃区域（Drop Zone）：若是使用丢弃区域，任何进入的数据包将被丢弃。这个相似与咱们以前使用iptables -j drop。使用丢弃规则意味着将不存在响应。

?阻塞区域（Block Zone）：阻塞区域会拒绝进入的网络链接，返回icmp-host-prohibited，只有服务器已经创建的链接会被经过即只容许由该系统初始化的网络链接。

?公共区域（Public Zone）：只接受那些被选中的链接，默认只容许 ssh 和 dhcpv6-client。这个 zone 是缺省 zone

?外部区域（External Zone）：这个区域至关于路由器的启用假装（masquerading）选项。只有指定的链接会被接受，即ssh，而其它的链接将被丢弃或者不被接受。

?隔离区域（DMZ Zone）：若是想要只容许给部分服务能被外部访问，能够在DMZ区域中定义。它也拥有只经过被选中链接的特性，即ssh。

?工做区域（Work Zone）：在这个区域，咱们只能定义内部网络。好比私有网络通讯才被容许，只容许ssh，ipp-client和 dhcpv6-client。

?家庭区域（Home Zone）：这个区域专门用于家庭环境。它一样只容许被选中的链接，即ssh，ipp-client，mdns，samba-client和 dhcpv6-client。

?内部区域（Internal Zone）：这个区域和工做区域（Work Zone）相似，只有经过被选中的链接，和home区域同样。

?信任区域（Trusted Zone）：信任区域容许全部网络通讯经过。记住：由于trusted是最被信任的，即便没有设置任何的服务，那么也是被容许的，由于trusted是容许全部链接的

以上是系统定义的全部的 zone，可是这些 zone 并非都在使用。只有活跃的 zone 才有实际操做意义。

Firewalld的原则：

若是一个客户端访问服务器，服务器根据如下原则决定使用哪一个 zone 的策略去匹配

1.若是一个客户端数据包的源 IP 地址匹配 zone 的 sources，那么该 zone 的规则就适

用这个客户端；一个源只能属于一个zone，不能同时属于多个zone。

2.若是一个客户端数据包进入服务器的某一个接口（如eth0）区配zone的interfaces，

则么该 zone 的规则就适用这个客户端；一个接口只能属于一个zone，不能同时属于多个zone。

3.若是上述两个原则都不知足，那么缺省的 zone 将被应用

你可使用任何一种 firewalld 配置工具来配置或者增长区域，以及修改配置。工具备例如firewall-config 这样的图形界面工具， firewall-cmd 这样的命令行工具，或者你也能够在配置文件目录中建立或者拷贝区域文件，/usr/lib/firewalld/zones 被用于默认和备用配置，/etc/firewalld/zones 被用于用户建立和自定义配置文件。

命令行工具firewall-cmd支持所有防火墙特性，基本应用以下：

通常应用：

一、获取firewalld状态

二、在不改变状态的条件下从新加载防火墙：

若是你使用--complete-reload，状态信息将会丢失。

三、获取支持的区域列表

这条命令输出用空格分隔的列表

四、获取全部支持的服务

这条命令输出用空格分隔的列表。

服务是firewalld所使用的有关端口和选项的规则集合。被启动的服务会在firewalld服务开启或者运行时自动加载。默认状况下，不少服务是有效的。使用下面命令可列出有效的服务。

想要列出默认有效的服务，也能够进入下面的目录也可以取得。

# cd /usr/lib/firewalld/services/

想要建立本身的服务，须要在下面的目录下定义它。好比，如今我想添加一个rhmp服务，端口号1935。首先，任选一个服务复制过来。

接下来把复制过来的文件重命名为“rtmp.xml”，

接下来打开并编辑文件的头部、描述、协议和端口号，以供RTMP服务使用，以下图所示。

重启firewalld服务或者从新加载设置，以激活这些设置。

# firewall-cmd --reload

为确认服务是否已经启动，运行下面的命令获取有效的服务列表。

# firewall-cmd --get-services

五、获取全部支持的ICMP类型

这条命令输出用空格分隔的列表。

六、列出所有启用的区域的特性（即查询当前防火墙策略）

解释：特性能够是定义的防火墙策略，如：服务、端口和协议的组合、端口/数据报转发、假装、ICMP 拦截或自定义规则等

上面的命令将会列出每种区域如block、dmz、drop、external、home、internal、public、trusted以及work。若是区域还有其它详细规则（rich-rules）、启用的服务或者端口，这些区域信息也会分别被罗列出来

七、输出区域所有启用的特性。若是省略区域，将显示默认区域的信息。

firewall-cmd [--zone=] --list-all

输出指定区域启动的特性

八、查看默认区域

public区域是默认区域。

在文件/etc/firewalld/firewalld.conf中定义成DefaultZone=public。

九、设置默认区域

firewall-cmd --set-default-zone=区域名

流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的链接将不受影响。

十、获取活动的区域

这条命令将用如下格式输出每一个区域所含接口：

区域名

interfaces : 接口名

十一、根据接口获取区域即须要查看哪一个区域和这个接口绑定即查看某个接口是属于哪一个zone的：

firewall-cmd --get-zone-of-interface=接口名

这条命令将输出接口所属的区域名称。

十二、将接口（网卡）增长到区域

firewall-cmd [--zone=] --add-interface=接口名

若是接口不属于区域，接口将被增长到区域。若是区域被省略了，将使用默认区域。接口在从新加载后将从新应用。

1三、修改接口所属区域

firewall-cmd [--zone=] --change-interface=接口名

这个选项与 --add-interface 选项类似，可是当接口已经存在于另外一个区域的时候，该接口将被添加到新的区域。

1四、从区域中删除一个接口

firewall-cmd [--zone=] --remove-interface=接口名

注：若是某个接口不属于任何Zone，那么这个接口的全部数据包使用默认的Zone的规则

1五、查询区域中是否包含某接口

firewall-cmd [--zone=] --query-interface=接口名

若是区域被省略了，将使用默认区域

1六、列举区域中启用的服务

firewall-cmd [ --zone= ] --list-services

若是区域被省略了，将使用默认区域

查看home区域中启用服务

1七、启用应急模式阻断全部网络链接，以防出现紧急情况

1八、禁用应急模式

firewall-cmd --panic-off

1九、查询应急模式

firewall-cmd --query-panic

其余相关的配置项能够查看firewall-cmd的手册页：#man firewall-cmd

处理运行时区域：

运行时模式下对区域进行的修改不是永久有效的。从新加载或者重启后修改将失效。

一、启用区域中的一种服务即给某个区域开启某个服务

firewall-cmd [--zone=区域] --add-service=服务 [--timeout=秒数]

此操做启用区域中的一种服务。若是未指定区域，将使用默认区域。若是设定了超时时间，服务将只启用特定秒数。

使区域中的 ipp-client 服务生效60秒:

启用默认区域中的http服务:firewall-cmd --add-service=http

二、禁用区域中的某种服务即关闭某个服务

firewall-cmd [--zone=区域] --remove-service=服务

此举禁用区域中的某种服务。若是未指定区域，将使用默认区域。

例:禁止默认区域中的 http 服务:

三、查询区域中是否启用了特定服务

firewall-cmd [--zone=区域] --query-service=服务

Yes表示服务启用，no表示服务关掉了。

四、启用区域端口和协议组合

firewall-cmd [--zone=区域] --add-port=portid[-portid]/protocol [--timeout=seconds]

此操做将启用端口和协议的组合。端口能够是一个单独的端口或者是一个端口范围 - 。协议能够是tcp或udp。

五、禁用端口和协议组合

firewall-cmd [--zone=区域] --remove-port=portid[-portid]/protocol

六、查询区域中是否启用了端口和协议组合

firewall-cmd [--zone=区域] --query-port=portid[-portid]/protocol

七、启用区域中的 IP 假装功能

firewall-cmd [--zone=区域] --add-masquerade

此操做启用区域的假装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式，经常使用于路由。因为内核的限制，假装功能仅可用于IPv4。

八、禁用区域中的 IP 假装

firewall-cmd [--zone=区域] --remove-masquerade

九、查询区域的假装状态

firewall-cmd [--zone=区域] --query-masquerade

注意：启用假装功能的主机同时也须要开启转发服务：

# echo 1 > /proc/sys/net/ipv4/ip_forward

或

#vi /etc/sysctl.conf 添加以下内容

net.ipv4.ip_forward = 1

保存退出并执行#sysctl -p使修改生效

十、启用区域的 ICMP 阻塞功能

firewall-cmd [--zone=区域] --add-icmp-block=icmp类型

此操做将启用选中的 Internet 控制报文协议（ICMP）报文进行阻塞。 ICMP 报文能够是请求信息或者建立的应答报文，以及错误应答。

十一、禁止区域的 ICMP 阻塞功能

firewall-cmd [--zone=区域] --remove-icmp-block=icmp类型

十二、查询区域的 ICMP 阻塞功能

firewall-cmd [--zone=区域] --query-icmp-block=icmp类型

1三、在区域中启用端口转发或映射

firewall-cmd [--zone=区域] --add-forward-port=port=portid[-portid]:proto=protocol[ :toport=portid[-portid]][ :toaddr=address [/mask]]

端口能够映射到另外一台主机的同一端口，也能够是同一主机或另外一主机的不一样端口。端口号能够是一个单独的端口或者是端口范围 - 。协议能够为tcp或udp。目标端口能够是端口号或者是端口范围 - 。目标地址能够是 IPv4 地址。受内核限制，端口转发功能仅可用于IPv4。

意思是凡是来从external进来的22端口的数据包所有转发到211.106.65.50

firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=211.106.65.50

1四、禁止区域的端口转发或者端口映射

firewall-cmd [--zone=] --remove-forward-port=port=portid[-portid]:proto=protocol[ :toport=portid[-portid]][ :toaddr=address [/mask]]

1五、查询区域的端口转发或者端口映射

firewall-cmd [--zone=]--query-forward-port=port=portid[-portid]:proto=protocol[ :toport=portid[-portid]][ :toaddr=address [/mask]]

处理永久区域：

永久选项不直接影响运行时的状态。这些选项仅在重载或者重启服务时可用。为了使用运行时和永久设置，须要分别设置二者。选项--permanent须要是永久设置的第一个参数。

一、获取永久选项所支持的服务

firewall-cmd --permanent --get-services

二、获取永久选项所支持的ICMP类型列表

firewall-cmd --permanent --get-icmptypes

三、获取支持的永久区域

firewall-cmd --permanent --get-zones

四、配置防火墙在public区域打开http协议，并保存，以至重启有效

firewall-cmd --permanent --zone=public --add-service=http

查看永久模式下public区域是否打开http服务。

firewall-cmd --permanent --zone=public --query-service=http

五、防火墙开放8080端口在public区域

firewall-cmd --permanent --zone=public --add-port=8080/tcp

六、命令行配置富规则：

查看富规则：# firewall-cmd --list-rich-rules

建立富规则：

firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent

firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp log prefix="80" level=info accept' --permanent

firewall-cmd --add-rich-rule rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2"

富规则中使用假装功能能够更精确详细的限制：

firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.10.10.2/24 masquerade'

仅容许部分IP访问本机服务配置

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"

source address="192.168.0.0/24" service name="http" accept"

禁止远程IP访问ssh

firewall-cmd --permanent --zone=public --add-rich-rule=’rule family=ipv4

source address=192.168.0.0/24 service name=ssh reject’

七、删除rich规则

firewall-cmd --permanent --zone=public --remove-rich-rule=’rule family=ipv4

source address=192.168.0.0/24 service name=ssh reject’

八、仅容许部分IP访问本机端口配置

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"

source address="192.168.0.0/24"port protocol="tcp" port="8080" accept"

九、建立rich规则，能够指定日志的前缀和输出级别

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24"port port=8080 protocol="tcp" log prefix=proxy level=warning accept"

能够经过查看/var/log/messages日志文件

十、端口转发。实验环境下，desktop访问server的5423端口，将访问server的80端口。

Server上的操做：（172.25.0.10是desktop的IP地址）

十一、172.25.1.0/24网段内的客户端不能访问主机的SSH

十二、也可经过配置如下XML文件，进行对防火墙的配置修改

#cat /etc/firewalld/zones/public.xml

<?xml version="1.0" encoding="utf-8"?>

<zone>

<short>Public</short>

<description>For use in public areas. You do not trust the other computers on networks

to not harm your computer. Only selected incoming connections are accepted.</description>

</rule>

</zone>

总结

netfilter 防火墙老是容易受到规则顺序的影响，由于一条规则在链中没有固定的位置。在一条规则以前添加或者删除规则都会改变此规则的位置。在静态防火墙模型中，改变防火墙就是重建一个干净和完善的防火墙设置，默认链一般也没有安全的方式添加或删除规则而不影响其余规则。

动态防火墙有附加的防火墙功能链。这些特殊的链按照已定义的顺序进行调用，于是向链中添加规则将不会干扰先前调用的拒绝和丢弃规则。从而利于建立更为合理完善的防火墙配置。

下面是一些由守护进程建立的规则，过滤列表中启用了在公共区域对 ssh , mdns 和 ipp-client 的支持：

总结：

图形化配置工具

firewall daemon 主要的配置工具是firewall-config。它支持防火墙的全部特性。管理员也能够用它来改变系统或用户策略。

命令行客户端

firewall-cmd是命令行下提供大部分图形工具配置特性的工具。

附录：要想了解更多firewall防火墙更多知识能够查看firewall的相关手册页，下图所显示的就是firewall防火墙的相关手册页：

若要查看rich-rule手册页

例如：容许icmp协议的数据包通讯

http://hongge.blog.51cto.com/