######################
########firewalld#####
######################
一 Firewalld概述
1. 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。
2. 系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户端firewall-cmd,用于配置 firewalld永久性或非永久性运行时间改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。
3. firewalld和iptables service 之间最本质的不同是:
iptables service 在 /etc/sysconfig/iptables 中储存配置,而firewalld将配置储存在/usr/lib/firewalld/和 /etc/firewalld/ 中的各种XML文件里.
使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。
4.基于用户对网络中设备和交通所给与的信任程度,防火墙可以用来将网络分割成不同的区域。NetworkManager通知firewalld一个接口归属某个区域,新加入的接口被分配到默认区域。
网络区名称 默认配置
trusted( 信任 ) 可接受所有的网络连接
home( 家庭 ) 用于家庭网络,仅接受ssh、mdns、ipp-client、samba-client、或dhcpv6-client服务连接
internal( 内部 ) 用于内部网络,仅接受ssh、mdns、ipp-client、samba-client、dhcpv6-client服务连接
work( 工作 ) 用于工作区,仅接受ssh、ipp-client或dhcpv6-client服务连接
public( 公共 ) 在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
external( 外部 ) 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接
dmz( 非军事区 ) 仅接受ssh服务接连
block( 限制 ) 拒绝所有网络连接
drop( 丢弃 ) 任何接收的网络数据包都被丢弃,没有任何回复
二 管理防火墙 (主要讲firewalld)
安装防火墙软件:
# yum install -y firewalld firewall-config
启动和禁用防火墙:
# systemctl start firewalld ; systemctl enable firewalld
# systemctl disable firewalld ; systemctl stop firewalld
使用iptables服务:
# yum install -y iptables-services
# systemctl start iptables ; systemctl start ip6tables
# systemctl enable iptables ; systemctl enable ip6tables
三 配置防火墙
环境:配置网络截图:
1. 图像化的配置工具
firewall-config、system-config-firewall
截图:
2. 命令行客户端firewall-cmd
(1)开启服务
1 systemctl status firewalld
2 systemctl stop iptables
3 systemctl mask iptables.service
4 systemctl start firewalld
5 systemctl enable firewalld
截图:
(2)firewall-cmd 基本命令
2 firewall-cmd --state ####火墙的状态
3 firewall-cmd --get-active-zones ###查看当前活动的区域,并附带一个目前分配给它们的接口列表:
4 firewall-cmd --get-zones ###查看所有可用区域
5 firewall-cmd --zone=public --list-all ####列出指定域的所有设置
6 firewall-cmd --get-services ###列出所有预设服务
截图:
(3)配置yum源,开启http服务
12 vim /etc/yum.repos.d/rhel_dvd.repo
13 yum clean all
14 yum install httpd -y
15 systemctl start httpd
(4)设置默认区域:
firewall-cmd --set-default-zone=网络区名称
[[email protected] ~]# firewall-cmd --get-default-zone
public ####查看默认区域
[[email protected] ~]# firewall-cmd --set-default-zone=trusted
success ######设置默认区域
[[email protected] ~]# firewall-cmd --get-default-zone
trusted ####查看默认区域
[[email protected] ~]# firewall-cmd --set-default-zone=public
success ######设置默认区域
[[email protected] ~]# firewall-cmd --get-default-zone
public ####查看默认区域
(5)设置网络地址到指定的区域:
firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24
(--permanent参数表示永久生效设置,如果没有指定--zone参数,那么会加入默认区域)
29 firewall-cmd --permanent --add-source=172.25.254.44
###设置网络地址到指定的区域
30 firewall-cmd --reload ####重载防火墙
31 firewall-cmd --list-all ####列出所有区域的设置
截图:
在44主机上测试
如果没有指定--zone参数,那么会加入默认区域;public( 公共 ) 在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域。所以访问不到。
截图:
32 firewall-cmd --permanent --remove-source=172.25.254.44
####删除指定区域中的网路地址
33 firewall-cmd --permanent --zone=trusted --add-source=172.25.254.44 ###设置网络地址到指定的区域
34 firewall-cmd --reload ####重载防火墙
35 firewall-cmd --list-all ####列出所有区域的设置
截图:
在44主机上测试
截图:
(6)添加、改变、删除网络接口:
# firewall-cmd --permanent --zone=internal --add-interface=eth0
# firewall-cmd --permanent --zone=internal --change-interface=eth0
# firewall-cmd --permanent --zone=internal --remove-interface=eth0
添加网卡并配置网络:
截图:
49 firewall-cmd --list-all ####列出所有区域的设置
50 firewall-cmd --remove-interface=eth1 --zone=public
51 firewall-cmd --add-interface=eth1 --zone=trusted
52 firewall-cmd --list-all ####列出所有区域的设置
53 firewall-cmd --list-all --zone=trusted ####列出trusted区域的设置
截图:
在44主机上测试
截图:
(6)添加、删除服务:
# firewall-cmd --permanent --zone=public --add-service=smtp
# firewall-cmd --permanent --zone=public --remove-service=smtp
5 firewall-cmd --list-all ####列出所有区域的设置
6 firewall-cmd --permanent --zone=public --add-service=http
7 firewall-cmd --reload ####重载防火墙
8 firewall-cmd --list-all####列出所有区域的设置
9 firewall-cmd --permanent --zone=public --remove-service=http
10 firewall-cmd --reload ####重载防火墙
11 firewall-cmd --list-all####列出所有区域的设置
截图:
(7)列出、添加、删除端口:
# firewall-cmd --zone=public --list-ports
# firewall-cmd --permanent --zone=public --add-port=8080/tcp
# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
13 firewall-cmd --list-ports ####列出端口
15 firewall-cmd --add-port=53/tcp
16 firewall-cmd --list-ports ####列出端口
17 firewall-cmd --list-all####列出所有区域的设置
18 firewall-cmd --remove-port=53/tcp
19 firewall-cmd --list-all####列出所有区域的设置
截图:
(8)重载防火墙:
# firewall-cmd --reload
(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)
firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到
配置防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认
模板。
四 Direct Rules
通过 firewall-cmd 工具,可以使用 --direct 选项在运行时间里增加或者移除链。
如果不熟悉 iptables ,使用直接接口非常危险,因为您可能无意间导致防火墙被入侵。直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用。
添加规则:
# firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -p tcp --dport80 -j ACCEPT
删除规则:
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp--dport 80 -j ACCEPT
列出规则:
# firewall-cmd --direct --get-all-rules
[[email protected] ~]# firewall-cmd --direct --get-all-rules
##列出规则
[[email protected] ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.44 -p tcp --dport 80-j ACCEPT
success ####添加规则
[[email protected] ~]# firewall-cmd --direct --add-rule ipv4 filterIN_public_allow 0 -p tcp --dport 80 -j ACCEPT
success ####添加规则
[[email protected] ~]# firewall-cmd --direct --get-all-rules##列出规则
ipv4 filter INPUT 0 ‘!‘ -s 172.25.254.44 -p tcp --dport 80 -j ACCEPT
ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j ACCEPT
[[email protected] ~]# firewall-cmd --direct --remove-rule ipv4 filterIN_public_allow 0 -p tcp --dport 80 -j ACCEPT
success ###删除规则
[[email protected] ~]# firewall-cmd --direct --get-all-rules##列出规则
ipv4 filter INPUT 0 ‘!‘ -s 172.25.254.44 -p tcp --dport 80 -j ACCEPT
五 Rich Rules
通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规
则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。
这种语言可以用来配置分区,也仍然支持现行的配置方式。
source 指定源地址,可以是一个ipv4/ipv6的地址或网段,不支持使用主机名。
destination 指定目的地址,用法和source相同。
service 服务名称是 firewalld 提供的其中一种服务。要获得被支持的服务的列表,输入以下命令:firewall-cmd --get-services 。命令为以下形式:
service name= service_name
port 端口既可以是一个独立端口数字,又或者端口范围,例如,5060-5062。协议可以指定为 tcp 或 udp 。命令为以下形式:
port port= number_or_range protocol= protocol
protocol 协议值可以是一个协议 ID 数字,或者一个协议名。预知可用协议,请查阅 /
etc/protocols。命令为以下形式:
protocol value= protocol_name_or_ID
icmp-block 用这个命令阻绝一个或多个ICMP类型。ICMP 类型是 firewalld支持的ICMP类型之一。要获得被支持的ICMP类型列表,输入以下命令:firewall-cmd --get-icmptypes icmp-block在内部使用 reject 动作,因此不允许指定动作。命令为以下形式:icmp-block name=icmptype_name
masquerade 打开规则里的 IP 伪装。用源地址而不是目的地址来把伪装限制在这个区域内。不允许指定动作。forward-port从一个带有指定为 tcp 或 udp 协议的本地端口转发数据包到另一个本地端口,或另一台机器,或另一台机器上的另一个端口。port 和 to-port 可以是一个单独的端口数字,或一个端口范围。而目的地址是一个简单的 IP 地址。不允许指定动作,命令使用内部动作accept 。命令为以下形式:
forward-port port= number_or_range protocol= protocol /
to-port= number_or_range to-addr= address
log
注册含有内核记录的新连接请求到规则中,比如系统记录。你可以定义一个前缀文本,
记录等级可以是 emerg、alert、crit、error、warning、notice、info 或者 debug中的一个。命令形式:
log [prefix= prefix text ] [level= log level ] limit value= rate/duration
(等级用正的自然数 [1, ..] 表达,持续时间的单位为 s 、 m 、 h 、 d 。 s 表示秒, m 表示分钟, h表示小时, d 表示天。最大限定值是 1/d ,意为每天最多有一条日志进入。)
audit 审核为发送到 aud i td 服务的审核记录来注册提供了另一种方法。审核类型可以是ACCEPT、REJECT或DROP中的一种,但不能在 audit命令后指定,因为审核类型将会从规则动作中自动收集。审核不包含自身参数,但可以选择性地增加限制。审核的使用是可选择的。选择 accept 所有新的连接请求都会被允许。选择 reject ,连接将被拒绝,连接来源将接到一个拒绝信息。拒绝的类型可以被设定为使用另一种值。选择 drop , 所有数据包会被丢弃,并且不会向来源地发送任何信息。
多语言命令的格式 :
在这个部分,所有命令都必须以 root 用户身份运行。增加一项规则的命令格式如下:
firewall-cmd [--zone=zone] --add -rich-rule=‘rule‘ [--timeout=seconds]
这样将为 zone 分区增加一项多语言规则 rule 。这个选项可以多次指定。如果分区被省略,将使用默认分区。如果出现超时,规则将在指定的秒数内被激活,并在之后被自动移除移除一项规则:
firewall-cmd [--zone=zone] --remove-rich-rule=‘rule‘
检查一项规则是否存在:
firewall-cmd [--zone=zone] --query-rich-rule=‘rule‘
这将复查是否已经为区域增加一个多语言规则 。如果可用,屏幕会显示 yes,退出状态为0; 否则,屏幕显示 no ,退出状态为 1。如果省略zone,默认区域将被使用。
列出所有多语言规则:
firewall-cmd --list-rich-rules
添加规则:
firewall-cmd --add-rich-rule=‘rule family="ipv4" sourceaddress="172.25.0.10" accept‘
允许172.25.0.10主机所有连接。
# firewall-cmd --add-rich-rule=‘rule service name=ftp log limitvalue="1/m" audit accept‘
同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。
# firewall-cmd --add-rich-rule=‘rule family="ipv4" sourceaddress="172.25.0.0/24"
service name=ssh log prefix="ssh" level="notice" limitvalue="3/m" accept‘
允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。
# firewall-cmd --permanent --add-rich-rule=‘rule protocol value=icmp drop‘
丢弃所有icmp包
(1)firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/maccept‘ ####每分钟允许2个新连接访问ftp服务。
13 firewall-cmd --list-all
14 firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/maccept‘
15 firewall-cmd --list-all
16 firewall-cmd --remove-rich-rule=‘rule service name=ftp limit value=2/maccept‘
17 firewall-cmd --list-all
伪装:
# firewall-cmd --permanent --zone=< ZONE > --add-masquerade
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule=‘rule family=ipv4source
addres=172.25.0.0/24 masquerade‘
firewall-cmd --add-rich-rule=‘rule family=ipv4 source address=172.25.254.244masquerade‘
端口转发:
# firewall-cmd --permanent --zone=< ZONE > --add-forward-port=
port=80:proto=tcp:toport=8080:toaddr=172.25.0.10
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule=‘rulefamily=ipv4 source
address=172.25.0.0/24 forward-port port=80 protocol=tcp to-port=8080‘
(2)firewall-cmd--add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.1
17 firewall-cmd --list-all
18 firewall-cmd--add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.1
19 firewall-cmd --list-all
截图:
