Centos Firewall介绍与白名单配置操作
Centos7中默认将原来的防火墙iptables升级为了firewalld,firewalld跟iptables比起来至少有两大好处:
1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效;
2、firewalld在使用上要比iptables人性化很多,即使不明白“五张表五条链”或者对TCP/IP协议也不理解,也可以实现大部分功能。
原理
firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现。
l 区域(zone)是一组规则,它们决定了允许哪些流量通过。Firewalld默认内置了 9 个区域(zone),按从最不信任到最受信任的顺序为:
drop:最低信任级别。所有传入的连接都将被丢弃而不会回复,并且只能进行传出连接。
block:与上述类似,但不是简单地删除连接,而是使用icmp-host-prohibitedor和 icmp6-adm-prohibited 消息拒绝传入的请求。
public:表示不信任的公共网络。可能会视情况允许选择的传入连接。默认情况下,此区域为激活状态。
external:如果你使用防火墙作为网关,则为外部网络。将其配置为 NAT 转发,以便你的内部网络保持私有但可访问。
internal:external 区域的另一侧,用于网关的内部。这些计算机值得信赖,并且可以使用一些其他服务。
dmz:用于 DMZ (DeMilitarized Zone) 中的计算机(将无法访问网络其余部分的隔离计算机),仅允许某些传入连接。
work:用于工作机。信任网络中的大多数计算机。可能还允许其他一些服务。
home:家庭环境。通常,这意味着您信任其他大多数计算机,并且将接受其他一些服务。
trusted:信任网络中的所有计算机。可用选项中最开放的,应谨慎使用。
l Zone包含这些可配置项:
target:默认行为,有四个可选值:default、ACCEPT、%%REJECT%%、DROP。默认为default
ACCEPT 会接受所有流入的符合规则的数据包。
REJECT 除了被明确写好允许的规则,会拒绝所有流入的数据包, 并给发起连接的机器回复被拒绝的消息。
DROP 除了被明确写好允许的规则,会拒绝所有流入的数据包, 不会给发起连接的机器回复任何消息。
service:表示一个服务。服务常常需要打开很多端口,甚至还有特定的一些源和目的 IP 甚至一些协议的访问,如果把这些同时都定义在 zone 中,会造成最后的 zone 配置文件很大,提取成 services 相当于是解耦的概念,有利于后期的维护。
port:端口
interface:接口,可以理解为网卡
source:源地址,可以是ip地址也可以是ip地址段
icmp-block:icmp报文阻塞,可以按照icmp类型进行设置
masquerade:ip地址伪装,也就是按照源网卡地址进行NAT转发
forward-port:端口转发
rule:自定义规则
l 对于一个接受到的请求具体使用哪个zone,firewalld是通过三种方法来判断的:
1、source,也就是源地址
2、interface,接收请求的网卡
3、firewalld.conf中配置的默认zone
这三个的优先级按顺序依次降低,也就是说如果按照source可以找到就不会再按interface去查找,如果前两个都找不到才会使用第三个。
需要注意:同一个源地址只能对于一个zone。一个网络连接只能被一个 zone 处理,但一个 zone 可以用于多个网络连接。
安装
$ sudo yum install firewalld
$ sudo systemctl start firewalld
$ sudo systemctl enable firewalld
$ sudo firewall-cmd --state
配置解释
- firewalld的配置文件以xml格式为主(主配置文件firewalld.conf例外),他们有两个存储位置
1、/etc/firewalld/
2、/usr/lib/firewalld/
使用时的规则是这样的:当需要一个文件时firewalld会首先到第一个目录中去查找,如果可以找到,那么就直接使用,否则会继续到第二个目录中查找。
- firewalld的配置文件结构非常简单,主要有两个文件和三个目录:
文件:firewalld.conf、lockdown-whitelist.xml
目录:zones、services、icmptypes
另外,如果使用到direct,还会有一个direct.xml文件。
- firewalld.conf:firewalld的主配置文件,是键值对的格式,只有五个配置项
DefaultZone:默认使用的zone,默认值为public;
MinimalMark: 标记的最小值,linux内核会对每个进入的数据包都进行标记;
CleanupOnExit:表示当退出firewalld后是否清除防火墙规则,默认值为yes;
Lockdown: 这个选项跟D-BUS接口操作firewalld有关,firewalld可以让别的程序通过D-BUS接口直接操作,当Lockdown设置为yes的时候就可以通过lockdown-whitelist.xml文件来限制都有哪些程序可以对其进行操作,而当设置为no的时候就没有限制了,默认值为 no;
IPv6_rpfilter:其功能类似于rp_filter,只不过是针对ipv6版的,其作用是判断所接受到的包是否是伪造的,检查方式主要是通过路由表中的路由条目实现的。默认值为yes。
- lockdown-whitelist.xml:当Lockdown为yes的时候用来限制可以通过D-BUS接口操作firewalld的程序
- direct.xml:通过这个文件可以直接使用防火墙的过滤规则,对从原来的iptables到firewalld的迁移提供了一条绿色通道
- zones:保存zone配置文件
<?xml version="1.0" encoding="utf-8"?>
<zone target="%%REJECT%%">
<short>Block</short>
<description>Unsolicited incoming network packets are rejected. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
</zone>
target 表示当发来的数据包,没有匹配到任何的规则(比如端口号,服务等),采取的默认行为。
short 表示对 zone 的一个简短描述名字。
description 表示对 zone 的一段详细描述
- services:保存service配置文件
- icmptypes:保存和icmp类型相关的配置文件
白名单配置操作
配置白名单
- 收集白名单IP地址或网段。逐一加入 trusted 区域:
$ sudo firewall-cmd --permanent --zone=trusted --add-source=173.245.48.0/20
……
$ sudo firewall-cmd --permanent --zone=trusted --add-source=131.0.72.55
- 使 trusted 区域设置生效,使用命令如下:
$ sudo firewall-cmd --reload
- 确认 trusted 区域是否设置正确,使用命令如下:
$ sudo firewall-cmd --zone=trusted --list-all
返回:
trusted (active)
target: ACCEPT
icmp-block-inversion: no
interfaces:
sources: 173.245.48.0/20 …… 131.0.72.0/22
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
切换默认区域从 public 到 drop
- 把常用关键服务加入排除列表
$ sudo firewall-cmd --permanent --zone=drop --add-service=ssh
$ sudo firewall-cmd --permanent --zone=drop --add-service=dhcpv6-client
- 将默认区域设置为drop
$ sudo firewall-cmd --set-default-zone=drop
- 再将默认网卡(比如eth0)分配给 drop 区域,使用命令如下:
$ sudo firewall-cmd --permanent --zone=drop --change-interface=eth0
- 使白名单最终生效,使用命令如下:
$ sudo firewall-cmd --reload
常见命令参考
$ sudo firewall-cmd --list-all
- 配置zone
firewall-cmd --set-default-zone=zone
配置默认zone。也可以通过firewalld.conf配置文件的DefaultZone配置项来配置。
firewall-cmd --get-default-zone
获取默认zone的值。
firewall-cmd --get-active-zones
查看当前所有起作用的zone
firewall-cmd --get-zone-of-interface=interface
firewall-cmd --get-zone-of-source=source[/mask]
根据source或者interface查询所对应的zone。可以检查设置是否正确。
- 配置source
firewall-cmd [--permanent] [--zone=zone] --list-sources
用于列出指定zone的所有绑定的source地址
firewall-cmd [--permanent] [--zone=zone] --query-source=source[/mask]
用于查询指定zone是否跟指定source地址进行了绑定
firewall-cmd [--permanent] [--zone=zone] --add-source=source[/mask]
用于将一个source地址绑定到指定的zone(只可绑定一次,第二次绑定到不同的zone会报错)
firewall-cmd [--zone=zone] --change-source=source[/mask]
用于改变source地址所绑定的zone,如果原来没有绑定则进行绑定,这样就跟--add-source的作用一样了
firewall-cmd [--permanent] [--zone=zone] --remove-source=source[/mask]
用于删除source地址跟zone的绑定
--permanent表示是否存储到配置文件中(如果存储到配置文件中这不会立即生效)
--zone用于指定所要设置的zone,如果不指定则使用默认zone。
- 配置interface
interface有两个可以配置的位置:1、zone所对应的xml配置文件2、网卡配置文件(也就是ifcfg-*文件)。
firewall-cmd [--permanent] [--zone=zone] --list-interfaces
firewall-cmd [--permanent] [--zone=zone] --add-interface=interface
firewall-cmd [--zone=zone] --change-interface=interface
firewall-cmd [--permanent] [--zone=zone] --query-interface=interface
firewall-cmd [--permanent] [--zone=zone] --remove-interface=interface
还可以在网卡配置文件中进行配置。比如可以在ifcfg-em1文件中添加下面的配置:
ZONE=public
这行配置就相当于下面的命令
[root@excelib.com ~]# firewall-cmd --zone=public --change-interface=em1
这样来自em1的连接就会使用public这个zone进行管理(如果source匹配了其他的zone除外)。
- 配置target
firewall-cmd --permanent [--zone=zone] --get-target
firewall-cmd --permanent [--zone=zone] --set-target=target
- 配置service
firewall-cmd [--permanent] [--zone=zone] --list-services
firewall-cmd [--permanent] [--zone=zone] --add-service=service [--timeout=seconds]
--timeout的含义是这样的:添加一个服务,但是不是一直生效而是生效一段时间,过期之后自动删除。这个选项非常有用,比如我们想暂时开放一个端口进行一些特殊的操作(比如远程调试),等处理完成后再关闭,不过有时候我们处理完之后就忘记关闭了,而现在的--timeout选项就可以帮我们很好地解决这个问题。
firewall-cmd [--permanent] [--zone=zone] --remove-service=service
firewall-cmd [--permanent] [--zone=zone] --query-service=service
- Port命令
firewall-cmd [--permanent] [--zone=zone] --list-ports
firewall-cmd [--permanent] [--zone=zone] --add-port=portid[-portid]/protocol [--timeout=seconds]
--timeout的含义是这样的:添加一个服务,但是不是一直生效而是生效一段时间,过期之后自动删除。这个选项非常有用,比如我们想暂时开放一个端口进行一些特殊的操作(比如远程调试),等处理完成后再关闭,不过有时候我们处理完之后就忘记关闭了,而现在的--timeout选项就可以帮我们很好地解决这个问题。
firewall-cmd [--permanent] [--zone=zone] --remove-port=portid[-portid]/protocol
firewall-cmd [--permanent] [--zone=zone] --query-port=portid[-portid]/protocol
- icmp-block命令
firewall-cmd [--permanent] [--zone=zone] --list-icmp-blocks
firewall-cmd [--permanent] [--zone=zone] --add-icmp-block=icmptype [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-icmp-block=icmptype
firewall-cmd [--permanent] [--zone=zone] --query-icmp-block=icmptype
- masquerade命令
ip地址伪装,NAT转发中的一种。
firewall-cmd [--permanent] [--zone=zone] --add-masquerade [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-masquerade
firewall-cmd [--permanent] [--zone=zone] --query-masquerade
- forward-port命令
端口转发,支持范围转发,比如可以将80到85端口的所有请求都转发到8080端口
firewall-cmd [--permanent] [--zone=zone] --list-forward-ports
firewall-cmd [--permanent] [--zone=zone] --add-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=address[/mask]][--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=address[/mask]]
firewall-cmd [--permanent] [--zone=zone] --query-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][:toaddr=address[/mask]]
具体步骤:
4 [2020.12.29 09:31:11]:firewall-cmd --state
6 [2020.12.29 09:31:44]:systemctl start firewalld
7 [2020.12.29 09:31:52]:firewall-cmd --state
8 [2020.12.29 09:32:01]:firewall-cmd --list-all-zone
9 [2020.12.29 09:32:31]:firewall-cmd --permanent --zone=trusted --add-source=10.29.141.188
10 [2020.12.29 09:32:51]:firewall-cmd --permanent --zone=trusted --add-source=10.29.41.163
11 [2020.12.29 09:33:03]:firewall-cmd --permanent --zone=trusted --add-source=10.7.27.5
12 [2020.12.29 09:33:06]:firewall-cmd --permanent --zone=trusted --add-source=10.26.196.234
12 [2020.12.29 09:33:06]:firewall-cmd --permanent --zone=trusted --add-source=10.26.197.234
13 [2020.12.29 09:33:26]:firewall-cmd --reload
14 [2020.12.29 09:33:37]:firewall-cmd --zone=trusted --list-all
15 [2020.12.29 09:33:49]:firewall-cmd --permanent --zone=drop --add-service=ssh
16 [2020.12.29 09:34:00]:firewall-cmd --permanent --zone=drop --add-service=dhcpv6-client
17 [2020.12.29 09:34:11]:firewall-cmd --set-default-zone=drop
18 [2020.12.29 09:34:22]:firewall-cmd --permanent --zone=drop --change-interface=eth0
19 [2020.12.29 09:34:32]:firewall-cmd --reload
20 [2020.12.29 09:34:41]:firewall-cmd --list-all-zone
开放端口:
firewall-cmd --zone=trusted --add-port=3000/tcp --permanent
firewall-cmd --zone=drop --add-port=3000/tcp --permanent
firewall-cmd --reload
firewall-cmd --zone=drop --remove-port=3000/tcp --permanent
Sudo命令执行权限被锁住:(https://ywnz.com/linux/pamtally/)
pam_tally2 -r -u 用户名
新增白名单:
sudo firewall-cmd --permanent --zone=trusted --add-source=10.1.x.x
开端口
firewall-cmd --zone=public --add-port=8080/tcp --permanent
移除
sudo firewall-cmd --permanent --zone=trusted --remove-source=10.1.x.x
sudo systemctl stop firewalld
端口开放
sudo firewall-cmd --zone=public --add-port=18770-19090/tcp --permanent
查看开放的端口
sudo firewall-cmd --zone=public --list-ports
指定开放给哪个ip端口
sudo firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.1.x.x" port protocol="tcp" port="18769" accept"
