Linux网络服务之firewalld防火墙
1.前言
? 上一篇文章中(Linux防火墙)我们主要介绍了防火墙的概念,主要针对软件防火墙(Linux防火墙)进行详细介绍。本文主要将对Centos7系统中的firewalld防火墙进行相关阐述。
2.firewalld防火墙与iptables防火墙联系与区别
? firewalld防火墙是Centos7版本系统默认的防火墙管理工具,取代了iptables防火墙,与iptables防火墙一样也属于典型的包过滤防火墙或称之为网络层防火墙,都属于用户态(又称用户空间(User Space)),内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态),用以实现包过滤防火墙的功能。
主要区别如下:
| Firewalld | iptables | |
|---|---|---|
| 配置文件 | /etc/firewalld/、/usr/lib/firewalld/ | /etc/sysconfig/iptables |
| 对规则的修改 | 不需要全部刷新策略,不丢失现行连接 | 需要全部刷新策略,丢失连接 |
| 防火墙类型 | 动态 | 静态 |
? firewalld的优点在于支持动态更新以及加入了防火墙的“zone”概念,firewalld防火墙同时支持ipv4和ipv6地址。
? 本文将分别从字符管理工具和图形化管理工具介绍firewalld防火墙。
3.区域的概念
?
| 区域 | 描述 |
|---|---|
| drop(丢失) | 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络练连接 |
| block(限制) | 任何接收的网络连接都被IPv4的icmp-host-prohibited信息和icmp6-adm-prohibited信息所拒绝 |
| public (公共) | 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接 |
| external (外部) | 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接 |
| dmz (非军事区) | 用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接 |
| work (工作) | 用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接用于家庭网络。 |
| home (家庭) | 您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接 |
| internal (内部) | 用于内部网络。您可以基本上信任网络内的其他计算机不会危害您的计算机。仅仅接受经过选择的连接 |
| trusted (信任) | 可接受所有的网络连接 |
4.Firewalld网络区域
区域介绍
(1)区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
(2)可以使用一个人或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
(3)默认情况下,public区域是默认区域,包含所有接口(网卡)
Firewalld数据处理流程
检查数据来源的源地址
(1)若源地址关联到特定的区域,则执行该区域所指定的规则
(2)若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则。
(3)若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
5.Firewalld防火墙的配置方法
运行时配置
(1)实时生效,并持续至Firewalld重新启动或重新加载配置
(2)不中断现有连接
(3)不能修改服务配置
永久配置
(1)不立即生效。除非Firewalld重新启动或重新加载配置
(2)中断现有连接
(3)可以修改服务配置
6.具体操作实例
Firewall-config图形工具与Firewall-cmd命令行工具都可以对其进行设置
/etc/firewalld/中的配置文件
Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件则使用/usr/lib/firewalld/ 中的配置
- /etc/firewalld/ :用户自定义配置文件,需要时可通过从/usr/ib/firewalld/中拷贝
- /usr/lib/firewalldl: 默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置
[[email protected] ~]# cd /etc/firewalld/
[[email protected] firewalld]# ls
firewalld.conf icmptypes lockdown-whitelist.xml zones
helpers ipsets services
[[email protected] firewalld]# cd /usr/lib/firewalld/
[[email protected] firewalld]# ls
helpers icmptypes ipsets services xmlschema zones1)防火墙的启动停止查看命令
[[email protected] ~]# systemctl stop firewalld
[[email protected] ~]# systemctl start firewalld
[[email protected] ~]# systemctl enable firewalld //开机自启动
[[email protected] ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since 二 2019-12-10 18:40:56 CST; 32s ago
Docs: man:firewalld(1)
Main PID: 53010 (firewalld)
CGroup: /system.slice/firewalld.service
└─53010 /usr/bin/python -Es /usr/sbin/firewalld --nofork --no...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
Hint: Some lines were ellipsized, use -l to show in full.
[[email protected] ~]# firewall-cmd --state //cmd设置
running
[email protected] ~]# systemctl stop firewalld //停止 firewalld
[[email protected] ~]#systemctl disable firewalld //设置 firewalld 开机不自启动 2)下面我们结合图形化界面管理工具(firewall-config)来对照验证使用命令行操作(firewall-cmd)
首先,我们在命令行输入firewall-config将会弹出如下的窗口界面:
1.获取预定义信息
firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞类型,具体的查看命令如下所示。
[[email protected] ~]# firewall-cmd --get-zones //显示预定义的区域
work drop internal external trusted home dmz public block
[[email protected] ~]# firewall-cmd --get-service //显示预定义的服务
RH-Satellite-6 amanda-client amanda-k5-client baculabacula-client cephceph
mondhcp dhcpv6 dhcpv6-client dnsdocker-registry dropbox-lansyncfreeipa-ldap
freeipa-ldapsfreeipa-replication ftp high-availability http https imapimaps
ippipp-clientipseciscsi-target kadminkerberoskpasswdldapldapslibvirt
libvirt-tlsmdns mosh mountdms-wbtmysqlnfsntpopen***pmcdpmproxypmwebapi
pmwebapis pop3 pop3s postgresqlprivoxy proxy-dhcpptppulseaudiopuppetmaster
radiusrpc-bindrsyncd samba samba-client sane smtpsmtpssnmpsnmptrap squid ssh
synergy syslog syslog-tls telnet tftptftp-client tinc tor-socks transmission
clientvdsmvnc-serverwbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
[[email protected] ~]# firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型
destination-unreachable echo-reply echo-request parameter-problem redirect router
-advertisement router-solicitation source-quench time-exceeded timestamp-reply
timestamp-request firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。
? destination-unreachable:目的地址不可达。
? echo-reply:应答回应(pong)。
? parameter-problem:参数问题。
? redirect:重新定向。
? router-advertisement:路由器通告。
? router-solicitation:路由器征寻。
? source-quench:源端抑制。
? time-exceeded:超时。
? timestamp-reply:时间戳应答回应。
? timestamp-request:时间戳请求。
2.区域管理
--get-default-zone 显示网络连接或接口的默认区域
--set-default-zone=<zone> 设置网络连接或接口的默认区域
--get-active-zones 显示已激活的所有区域
--get-zone-of-interface=<interface> 显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> 为指定接口绑定区域
--zone=<zone>
--change-interface=<interface>
为指定的区域更改绑定的网络接口
--zone=<zone>
--remove-interface=<interface>
为指定的区域删除绑定的网络接口
--list-all-zones 显示所有区域及其规则
[--zone=<zone>] --list-all 显示所有指定区域的所有规则,省略--zone=<zone>时表示仅
对默认区域操作
具体操作如下所示。
(1)显示当前系统中的默认区域。
[[email protected] ~]# firewall-cmd --get-default-zone
public
(2)显示默认区域的所有规则。
[[email protected] ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
(3)显示网络接口 ens33 对应区域。
[[email protected] ~]# firewall-cmd --get-zone-of-interface=ens33
public
(4)将网络接口 ens33 对应区域更改为 internal 区域。
[[email protected] ~]# firewall-cmd --zone=internal --change-interface=ens33
The interface is under control of NetworkManager, setting zone to ‘internal‘.
success
[[email protected] ~]# firewall-cmd --zone=internal --list-interfaces
ens33
[[email protected] ~]# firewall-cmd --get-zone-of-interface=ens33
internal
(5)显示所有激活区域。
[[email protected] ~]# firewall-cmd --get-active-zones
internal
interfaces: ens33
4)服务管理
为 了 方 便 管 理 , firewalld 预 先 定 义 了 很 多 服 务 , 存 放 在
/usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如 ssh 服
务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的
firewalld 中默认已经定义了 70 多种服务供我们使用,对于每个网络区域,均可以配置允
许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将
service 配置文件放置在 /etc/firewalld/services/ 目录中。service 配置具有以下优点。
? 通过服务名字来管理规则更加人性化。
? 通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服
务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
表 1-3 列出了 firewall-cmd 命令区域中服务管理的常用选项说明。
表 1-3 firewall-cmd 命令区域中服务管理的常用选项说明
选项 说明
[--zone=<zone>] --list-services 显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> 为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> 删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports 显示指定区域内允许访问的所有端口号
[--zone=<zone>]
--add-port=<portid>[-<portid>]/<protocol>
为指定区域设置允许访问的某个/某段端口号
(包括协议名)
[--zone=<zone>]
--remove-port=<portid>[-<portid>]/<protocol>
删除指定区域已设置的允许访问的端口号(包括
协议名)
[--zone=<zone>] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型
[--zone=<zone>] --add-icmp-block=<icmptype> 为指定区域设置拒绝访问的某项 ICMP 类型
[--zone=<zone>] --remove-icmp-block=<icmptype> 删除指定区域已设置的拒绝访问的某项 ICMP 类
型,省略--zone=<zone>时表示对默认区域操作
具体操作如下所示。
(1)为默认区域设置允许访问的服务。
[[email protected] ~]# firewall-cmd --list-services
ssh dhcpv6-client //显示默认区域内允许访问的所有服务
[[email protected] ~]# firewall-cmd --add-service=http
//设置默认区域允许访问 http 服务success 在图形化界面中会发现public中HTTP服务打上了√了。
[[email protected] ~]#firewall-cmd --add-service=https
//设置默认区域允许访问 https 服务
success
[[email protected] ~]# firewall-cmd --list-services
dhcpv6-clientssh https http
(2)为 internal 区域设置允许访问的服务。
[[email protected] ~]# firewall-cmd --zone=internal --add-service=mysql
//设置 internal 区域允许访问 mysql 服务
success
[[email protected]~]#firewall-cmd --zone=internal --remove-service=samba-client
//设置 internal 区域不允许访问 samba-client 服务
success
[[email protected] ~]# firewall-cmd --zone=internal --list-services
//显示 internal 区域内允许访问的所有服务
sshmdns dhcpv6-client mysql
5)端口管理
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自
动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作
即可实现在 internal 区域打开 443/TCP 端口。
[[email protected] ~]# firewall-cmd --zone=internal --add-port=443/tcp
success
若想实现在 internal 区域禁止 443/TCP 端口访问,可执行以下命令。
[[email protected] ~]#firewall-cmd --zone=internal --remove-port=443/tcp
success
6)两种配置模式
前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示
当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效;永久模
式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置
文件中的。
firewall-cmd 命令工具与配置模式相关的选项有三个。
? --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。
? --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动
firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时
规则。
--runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性
7.总结
本文主要讲述了firewalld的相关概念与具体的配置设置,环境为Centos7。
原文地址:https://blog.51cto.com/14557673/2457544