Linux网络服务之firewalld防火墙

Linux网络服务之firewalld防火墙

1.前言

? 上一篇文章中(Linux防火墙)我们主要介绍了防火墙的概念,主要针对软件防火墙(Linux防火墙)进行详细介绍。本文主要将对Centos7系统中的firewalld防火墙进行相关阐述。

2.firewalld防火墙与iptables防火墙联系与区别

? firewalld防火墙是Centos7版本系统默认的防火墙管理工具,取代了iptables防火墙,与iptables防火墙一样也属于典型的包过滤防火墙或称之为网络层防火墙,都属于用户态(又称用户空间(User Space)),内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态),用以实现包过滤防火墙的功能。

主要区别如下:

Firewalld iptables
配置文件 /etc/firewalld/、/usr/lib/firewalld/ /etc/sysconfig/iptables
对规则的修改 不需要全部刷新策略,不丢失现行连接 需要全部刷新策略,丢失连接
防火墙类型 动态 静态

? firewalld的优点在于支持动态更新以及加入了防火墙的“zone”概念,firewalld防火墙同时支持ipv4和ipv6地址。

? 本文将分别从字符管理工具和图形化管理工具介绍firewalld防火墙。

3.区域的概念

?

区域 描述
drop(丢失) 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络练连接
block(限制) 任何接收的网络连接都被IPv4的icmp-host-prohibited信息和icmp6-adm-prohibited信息所拒绝
public (公共) 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接
external (外部) 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接
dmz (非军事区) 用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接
work (工作) 用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接用于家庭网络。
home (家庭) 您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接
internal (内部) 用于内部网络。您可以基本上信任网络内的其他计算机不会危害您的计算机。仅仅接受经过选择的连接
trusted (信任) 可接受所有的网络连接

4.Firewalld网络区域

区域介绍

(1)区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
(2)可以使用一个人或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
(3)默认情况下,public区域是默认区域,包含所有接口(网卡)

Firewalld数据处理流程

检查数据来源的源地址
(1)若源地址关联到特定的区域,则执行该区域所指定的规则
(2)若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则。
(3)若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

5.Firewalld防火墙的配置方法

运行时配置

(1)实时生效,并持续至Firewalld重新启动或重新加载配置
(2)不中断现有连接
(3)不能修改服务配置

永久配置

(1)不立即生效。除非Firewalld重新启动或重新加载配置
(2)中断现有连接
(3)可以修改服务配置

6.具体操作实例

Firewall-config图形工具与Firewall-cmd命令行工具都可以对其进行设置
/etc/firewalld/中的配置文件

Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件则使用/usr/lib/firewalld/ 中的配置

  • /etc/firewalld/ :用户自定义配置文件,需要时可通过从/usr/ib/firewalld/中拷贝
  • /usr/lib/firewalldl: 默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置
[[email protected] ~]# cd /etc/firewalld/
[[email protected] firewalld]# ls
firewalld.conf  icmptypes  lockdown-whitelist.xml  zones
helpers         ipsets     services
[[email protected] firewalld]# cd /usr/lib/firewalld/
[[email protected] firewalld]# ls
helpers  icmptypes  ipsets  services  xmlschema  zones

1)防火墙的启动停止查看命令

[[email protected] ~]# systemctl stop firewalld
[[email protected] ~]# systemctl start firewalld
[[email protected] ~]# systemctl enable firewalld  //开机自启动
[[email protected] ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since 二 2019-12-10 18:40:56 CST; 32s ago
     Docs: man:firewalld(1)
 Main PID: 53010 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─53010 /usr/bin/python -Es /usr/sbin/firewalld --nofork --no...

12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
Hint: Some lines were ellipsized, use -l to show in full.
[[email protected] ~]# firewall-cmd --state   //cmd设置
running
[email protected] ~]# systemctl stop firewalld //停止 firewalld
[[email protected] ~]#systemctl disable firewalld //设置 firewalld 开机不自启动 

2)下面我们结合图形化界面管理工具(firewall-config)来对照验证使用命令行操作(firewall-cmd)

首先,我们在命令行输入firewall-config将会弹出如下的窗口界面:

1.获取预定义信息

firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞类型,具体的查看命令如下所示。

[[email protected] ~]# firewall-cmd --get-zones //显示预定义的区域
work drop internal external trusted home dmz public block
[[email protected] ~]# firewall-cmd --get-service //显示预定义的服务
RH-Satellite-6 amanda-client amanda-k5-client baculabacula-client cephceph
mondhcp dhcpv6 dhcpv6-client dnsdocker-registry dropbox-lansyncfreeipa-ldap
freeipa-ldapsfreeipa-replication ftp high-availability http https imapimaps
ippipp-clientipseciscsi-target kadminkerberoskpasswdldapldapslibvirt
libvirt-tlsmdns mosh mountdms-wbtmysqlnfsntpopen***pmcdpmproxypmwebapi
pmwebapis pop3 pop3s postgresqlprivoxy proxy-dhcpptppulseaudiopuppetmaster
radiusrpc-bindrsyncd samba samba-client sane smtpsmtpssnmpsnmptrap squid ssh
synergy syslog syslog-tls telnet tftptftp-client tinc tor-socks transmission
clientvdsmvnc-serverwbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
[[email protected] ~]# firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型
destination-unreachable echo-reply echo-request parameter-problem redirect router
-advertisement router-solicitation source-quench time-exceeded timestamp-reply
timestamp-request 

firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。
? destination-unreachable:目的地址不可达。
? echo-reply:应答回应(pong)。
? parameter-problem:参数问题。
? redirect:重新定向。
? router-advertisement:路由器通告。
? router-solicitation:路由器征寻。
? source-quench:源端抑制。
? time-exceeded:超时。
? timestamp-reply:时间戳应答回应。
? timestamp-request:时间戳请求。

2.区域管理

--get-default-zone 显示网络连接或接口的默认区域

--set-default-zone=<zone> 设置网络连接或接口的默认区域

--get-active-zones 显示已激活的所有区域

--get-zone-of-interface=<interface> 显示指定接口绑定的区域

--zone=<zone> --add-interface=<interface> 为指定接口绑定区域

--zone=<zone>

--change-interface=<interface>

为指定的区域更改绑定的网络接口

--zone=<zone>

--remove-interface=<interface>

为指定的区域删除绑定的网络接口

--list-all-zones 显示所有区域及其规则

[--zone=<zone>] --list-all 显示所有指定区域的所有规则,省略--zone=<zone>时表示仅

对默认区域操作

具体操作如下所示。

(1)显示当前系统中的默认区域。

[[email protected] ~]# firewall-cmd --get-default-zone

public

(2)显示默认区域的所有规则。

[[email protected] ~]# firewall-cmd --list-all

public (active)

target: default

icmp-block-inversion: no

interfaces: ens33

sources:

services: dhcpv6-client ssh

ports:

protocols:

masquerade: no

forward-ports:

sourceports:

icmp-blocks:

rich rules:

(3)显示网络接口 ens33 对应区域。

[[email protected] ~]# firewall-cmd --get-zone-of-interface=ens33

public

(4)将网络接口 ens33 对应区域更改为 internal 区域。

[[email protected] ~]# firewall-cmd --zone=internal --change-interface=ens33

The interface is under control of NetworkManager, setting zone to ‘internal‘.

success

[[email protected] ~]# firewall-cmd --zone=internal --list-interfaces

ens33

[[email protected] ~]# firewall-cmd --get-zone-of-interface=ens33

internal

(5)显示所有激活区域。

[[email protected] ~]# firewall-cmd --get-active-zones

internal

interfaces: ens33

4)服务管理

为 了 方 便 管 理 , firewalld 预 先 定 义 了 很 多 服 务 , 存 放 在

/usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如 ssh 服

务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的

firewalld 中默认已经定义了 70 多种服务供我们使用,对于每个网络区域,均可以配置允

许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将

service 配置文件放置在 /etc/firewalld/services/ 目录中。service 配置具有以下优点。

? 通过服务名字来管理规则更加人性化。

? 通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服

务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。

表 1-3 列出了 firewall-cmd 命令区域中服务管理的常用选项说明。

表 1-3 firewall-cmd 命令区域中服务管理的常用选项说明

选项 说明

[--zone=<zone>] --list-services 显示指定区域内允许访问的所有服务

[--zone=<zone>] --add-service=<service> 为指定区域设置允许访问的某项服务

[--zone=<zone>] --remove-service=<service> 删除指定区域已设置的允许访问的某项服务

[--zone=<zone>] --list-ports 显示指定区域内允许访问的所有端口号

[--zone=<zone>]

--add-port=<portid>[-<portid>]/<protocol>

为指定区域设置允许访问的某个/某段端口号

(包括协议名)

[--zone=<zone>]

--remove-port=<portid>[-<portid>]/<protocol>

删除指定区域已设置的允许访问的端口号(包括

协议名)

[--zone=<zone>] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型

[--zone=<zone>] --add-icmp-block=<icmptype> 为指定区域设置拒绝访问的某项 ICMP 类型

[--zone=<zone>] --remove-icmp-block=<icmptype> 删除指定区域已设置的拒绝访问的某项 ICMP 类

型,省略--zone=<zone>时表示对默认区域操作

具体操作如下所示。

(1)为默认区域设置允许访问的服务。

[[email protected] ~]# firewall-cmd --list-services

ssh dhcpv6-client //显示默认区域内允许访问的所有服务

[[email protected] ~]# firewall-cmd --add-service=http

//设置默认区域允许访问 http 服务success 在图形化界面中会发现public中HTTP服务打上了√了。

[[email protected] ~]#firewall-cmd --add-service=https

//设置默认区域允许访问 https 服务

success

[[email protected] ~]# firewall-cmd --list-services

dhcpv6-clientssh https http

(2)为 internal 区域设置允许访问的服务。

[[email protected] ~]# firewall-cmd --zone=internal --add-service=mysql

//设置 internal 区域允许访问 mysql 服务

success

[[email protected]~]#firewall-cmd --zone=internal --remove-service=samba-client

//设置 internal 区域不允许访问 samba-client 服务

success

[[email protected] ~]# firewall-cmd --zone=internal --list-services

//显示 internal 区域内允许访问的所有服务

sshmdns dhcpv6-client mysql

5)端口管理

在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自

动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作

即可实现在 internal 区域打开 443/TCP 端口。

[[email protected] ~]# firewall-cmd --zone=internal --add-port=443/tcp

success

若想实现在 internal 区域禁止 443/TCP 端口访问,可执行以下命令。

[[email protected] ~]#firewall-cmd --zone=internal --remove-port=443/tcp

success

6)两种配置模式

前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示

当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效;永久模

式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置

文件中的。

firewall-cmd 命令工具与配置模式相关的选项有三个。

? --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。

? --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动

firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时

规则。

--runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性

7.总结

本文主要讲述了firewalld的相关概念与具体的配置设置,环境为Centos7。

原文地址:https://blog.51cto.com/14557673/2457544

时间: 2024-10-13 15:11:59

Linux网络服务之firewalld防火墙的相关文章

Linux网络服务04——FTP文件传输服务

Linux网络服务04--FTP文件传输服务 一.FTP连接及传输模式 1.控制连接:TCP 21,用于发送FTP命令信息 2.数据连接:TCP 20,用于上传.下载数据 3.数据连接的建立类型: (1)主动模式:服务器主动发起数据连接 首先由客户端向服务端的21端口建立FTP控制连接.当需要传输数据时,客户端以PORT命令告知服务器"我打开了某端口,你过来连接我",预算服务器从20端口向客户端的该端口发送请求并建立数据连接. (2)被动模式:服务器被动等待数据连接 如果客户端所在网络

Linux网络服务02——DHCP原理与配置

Linux网络服务02--DHCP原理与配置 一.DHCP服务概述 1.DHCP(Dynamic Host Configuration Protocol)动态主机配置协议 DHCP是由Internet工作任务小组设计开发的,专门用于为TCP/IP网络中的计算机自动分配TCP/IP参数的协议. 使用DHCP可以减少管理员的工作量,避免IP地址冲突,当网络更改IP地址网段时不需要再重新配置每个用户的IP地址,提高了IP地址的利用率,方便客户端的配置. 2.可分配的地址信息主要包括: 网卡的IP地址.

Linux网络服务之HTTP(1)

Linux网络服务之HTTP(1) 实验要求: 1.主机名设为:www.zhy.com,默认首页包括:index.html.index.php,开启保持连接,确认默认httpd是否支持php 2.只允许192.168.1.1访问www.zhy.com,允许所有用户访问www.zhy.com/user/index.html 3.客户端访问/var/www/html/admin/需要输入用户名密码验证 4.客户端访问http://www.zhy.com/bbs时可以访问/var/www/html/u

Linux网络服务13——PXE高效能批量网络装机

Linux网络服务13--PXE高效能批量网络装机 一.PXE简介 PXE:Pre-boot Excution Environment,预启动执行环境 PXE是由Intel公司开发的网络引导技术,工作在Client/Server模式,允许客户机通过网络从远程服务器下载引导镜像,并加载安装文件或者整个操作系统. 若要搭建PXE网络体系,必须要满足以下条件: ·客户机的网卡支持PXE协议(集成BOOTROM芯片),且主板支持网络引导. ·网络中有一台DHCP服务器,以便为客户机分配地址.指定引导文件

Linux网络服务11——部署YUM仓库服务

Linux网络服务11--部署YUM仓库服务 一.YUM简介 YUM的前身是YUP(Yellow dog Updater)Yellow dog Linux的软件更新,最初由TSS公司(Terra Soft Solutions,INC.)使用Python语音开发而成,后由杜克大学(Duck University)的Linux开发队伍进行改进,命名为YUM(Yellow dog Updater , Modified) 借助于YUM软件仓库,可以完成安装.卸载.自动升级rpm软件包等任务,能够自动查找

Linux网络服务12——NFS共享服务

Linux网络服务12--NFS共享服务 一.NFS简介 端口号:TCP.UDP 111端口 NFS(Network File System)网络文件系统,是一种基于TCP/IP传输的网络文件系统协议,最初由SUM公司开发.通过使用NFS协议,客户机可以像访问本地目录一样访问远程服务器中的共享资源. NFS没有用户认证机制,而且数据在网络上明文传输,所以安全性很差,一般只能在局域网中使用.NFS服务的实现依赖于RPC(Remote Process Call)远程过程调用机制,以完成远程到本地的映

初学linux网络服务之vsftp服务实验

实验拓扑: Linux Client -----RHEL5.9(vmnet1)----------(vmnet1) Win7 Client 实验一:测试默认安装vsftpd的结果 匿名用户与本地用户都可以登录 匿名用户登录到/var/ftp,只能下载不能上传 本地用户登录到本地用户的家目录,可以上传和下载 服务器端设置 [[email protected] ~]# cd /misc/cd/Server                 //进入RHEL5.9光盘 [[email protected

初学linux网络服务之samba服务实验

实验拓扑: Linux Client -----RHEL5.9(vmnet1)----------(vmnet1) Win7 Client 实验一:Samba匿名共享 工作组为Tarena 将目录 /usr/src 共享给所有人 共享名设为 tools 允许所有人访问.无需密码验证 访问权限为只读 1.安装软件包 [[email protected] ~]# rpm -q samba-client samba samba-common  //查看安装包 package samba-client

初学linux网络服务之HTTP服务实验

实验拓扑: Linux Client -----RHEL5.9(vmnet1)----------(vmnet1) Win7 Client 实验一:查看默认HTTP配置 找到默认红帽欢迎页面 (/etc/httpd/conf/httpd.conf ---->Include ----> /etc/httpd/conf.d  ----> welcome.conf  ----> /var/www/error/noindex.html) 前提条件: 1.配置IP [[email prote