3-unit10 firewalld

#######网络端口安全###########

本单元涵盖的主题：

**管理防火墙

**管理防火墙规则

**防火墙端口伪装和转发

**管理Selinux端口标签

Firewalld概述

**　动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

** 系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。

**firewalld和iptables service 之间最本质的不同是:

iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.

使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。

基于用户对网络中设备和交通所给与的信任程度,防火墙可以用来将网络分割成不同的区域。NetworkManager通知firewalld一个接口归属某个区域，新加入的接口被分配到默认区域。

１.配置防火墙

## firewall-cmd --state    ##查看firewalld状态

## firewall-cmd --get-active-zones    ##查看当前活动的区域,并附带一个目前分配给它们的接口列表　
## firewall-cmd --get-default-zone   ##查看默认区域 
## firewall-cmd --get-zones    ##查看所有可用区域

## firewall-cmd --zone=public --list-all    ##列出指定域public的所有设置

## firewall-cmd --get-services    ##列出所有预设服务

## firewall-cmd --list-all-zones    ##列出所有区域的设置

## firewall-cmd --set-default-zone=trusted    ##设置默认区域

## firewall-cmd --permanent --zone=trusted --add-source=172.25.254.36    ##设置网络地址到指定的区域

## firewall-cmd --reload   ##重载防火墙
## firewall-cmd --remove-interface=eth0 --zone=public    ##从public区域移除eth0端口

## firewall-cmd --add-interface=eth0 --zone=trusted    ##添加eth0端口到trusted

## firewall-cmd --add-service=http --zone=public    ##添加http服务

## firewall-cmd --list-ports    ##列出端口

## firewall-cmd --add=port=53/tcp    ##添加53端口

## firewall-cmd --permanent --remove-service=ssh    ##永久删除ssh服务

## firewall-cmd --complete-reload    ##重新加载服务，中断服务

## firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.36.11 -p tcp--dport 22 -j ACCEPT    ##设置除了172.25.36.11主机22端口不可访问，其他主机22端口都可以访问

端口转发：
##　firewall-cmd --zone=public--add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.62    ##端口转发    
##　firewall-cmd --add-masquerade        ##添加masquerade

测试：

伪装：

## firewall-cmd --permanent --add-masquerade

## firewall-cmd --permanent  --add-rich-rule=‘rule family=ipv4 source　addres=172.25.0.0/24 masquerade‘