Firewalld防火墙

概述

firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。

  • 支持IPv4、IPv6防火墙设置以及以太网桥
  • 支持服务或应用程序直接添加防火墙规则接口
  • 拥有两种配置模式:临时模式、永久模式

firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。

firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具

Firewalld和iptables的关系

Firewalld和iptables的关系

netfilter

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

Firewalld/iptables

  • CentOS7默认的管理防火墙规则的工具(Firewalld)
  • 称为Linux防火墙的“用户态”

Firewalld和iptables的区别

对规则的设置不同:

  • ptables主要是基于接口(网卡),来设置规则,从而判断网络的安全性。
  • firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。

配置文件不同:

  • iptables在/etc/sysconfig/iptables中储存配置;

  • firewalld 将配置储存在/etc/firewalld/(优先加载)和/usr/lib/firewalld/(默认的配置文件)中的各种XML文件里。

    • /etc/firewalld/中没有相关区域的配置文件时,才会加载/usr/lib/firewalld/中的配置文件。

对规则的修改:

  • 使用iptables每一个单独更改,意味着清除所有旧的规则和从/etc/sysconfig/iptables里读取所有新的规则。
  • 使用firewalld却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。

防火墙类型不同:

  • iptables防火墙类型为静态防火墙
  • firewalld防火墙类型为动态防火墙

Firewalld区域

firewalld区域的概念

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

这些区域配置文件存在于/usr/lib/firewalld/zones目录中,还有一个目录/etc/firewalld/zones。firewalld使用规则时,会首先到/etc/firewalld/目录中查找,如果可以找到就直接使用,找不到会继续到/usr/lib/firewalld/目录中查找。

firewalld防火墙定义了9个区域

 

 

firewalld区域介绍和区域优先级

firewalld区域介绍

  • 最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
  • 可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。
  • 默认情况下,public区域是默认区域,包含所有接口(网卡)。

firewalld数据处理流程

检查数据来源的源地址:

  • 若源地址关联到特定的区域,则执行该区域所指定的规则
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域 并执行该区域所指定的规则
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该 区域所指定的规则

区域优先级:源地址绑定的区域 > 网卡绑定的区域 > 默认区域(只要没有绑定过指定区域的网卡,都适用于于默认区域的规则。默认区域可自定义,不修改则为public)

Firewalld防火墙的配置方法

firewall-config 图形化工具(生产环境一般只有字符界面,不使用这种方法)

firewall-cmd 命令行工具(生产环境中没有图形化界面,所以只能在命令行进行配置)

编写 /etc/firewalld 中的配置文件。

  • Firewalld 会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置。

    • /etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/ 中拷贝
    • /usr/lib/firewalld/ :默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/ 中的配置

firewall-config 图形化工具

在命令行输入”firewall-config“,回车后会弹出图形化管理工具。生产环境一般只有字符界面,不使用这种方法。


 

 

 

 

irewall-cmd 命令行工具

常用的 firewall-cmd 命令选项:

不指定区域时,则对默认区域进行操作(默认区域可自定义,不修改则为public)

复制代码
 #默认区域
 --get-default-zone :显示当前默认区域
 --set-default-zone=<zone> :设置默认区域
 ​
 --get-active-zones :显示当前正在使用的区域及其网卡接口
 --get-zones:显示所有可用的区域
 ​
 #网络接口
 --get-zone-of-interface=ens33 :查看指定接口ens33绑定的区域
 --zone=<zone> --add-interface=<interface> :为指定接口绑定区域
 --zone=<zone> --change-interface=<interface> :为指定区域更改绑定的网络接口
 --zone=<zone> --remove-interface=<interface> :为指定区域删除绑定的网络接口
 ​
 #源地址
 --zone=<zone> --add-source=<source>[/<mask>] :为指定源地址绑定区域
 --zone=<zone> --change-source=<source>[/<mask>] :为指定的区域更改绑定的源地址
 --zone=<zone> --remove-source=<source>[/<mask>] :为指定的区域删除绑定的源地址
 ​
 #显示指定区域的所有规则
 --list-all-zones :显示所有区域及其规则
 --zone=<zone> --list-all :显示所有指定区域的所有规则,若不指定区域表示仅对默认的区域操作
 ​
 #服务管理
 --zone=<zone> --list-service :显示指定区域内允许访问的所有服务
 --zone=<zone> --add-service=<service> :为指定的区域设置允许访问的某项服务
 --zone=<zone> --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
 ​
 #端口管理
 --zone=<zone> --list-ports:x显示指定区域内允许访问的所有端口号
 --zone=<zone> --add-port=<poreid>[-portid]/<portocol>:为指定的区域设置允许访问的某个端口号/某段端口号(包括协议)
 --zone=<zone> --remove-port=<poreid>[-portid]/<portocol>:删除指定区域已设置允许访问的端口号(包括协议)
 ​
 #icmp协议
 --zone=<zone> --list-icmp-blocks :显示指定区域内拒接访问的所有icmp类型
 --zone=<zone> --add-icmp-block=<icmptype>:为指定区域设置允许访问的某项icmp类型
 --zone=<zone> --remove-icmp-block=<icmptype>删除指定区域已设置允许访问的某项icmp类型
 firealld-cmd --get-icmptypes :显示所有icmp类型
复制代码

Firewalld两种配置模式

运行时配置:

  • 实时生效,并持续至Firewalld重新启动或重新加载配置文件
  • 不中断现有连接
  • 不能修改服务器配置

永久配置:

  • 不立即生效,除非Firewaddl重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置

运行时配置(临时配置)

运行时配置,实时生效,不会中断现有连接。重启后丢失。

示例1:查看和设置默认区域

--get-default-zone :显示当前默认区域

--set-default-zone=< zone> :设置默认区域

--get-active-zones :显示当前正在使用的区域及其网卡接口


复制代码
 [root@localhost ~]# firewall-cmd --get-default-zone   //显示当前默认区域
 public
 [root@localhost ~]# firewall-cmd --get-active-zone   //当前正在使用的区域及其网卡接口
 public
   interfaces: ens33
 [root@localhost ~]# firewall-cmd --set-default-zone=home  //将默认区域设置为home
 success
 [root@localhost ~]# firewall-cmd --get-default-zone  //显示当前默认区域
 home
 [root@localhost ~]# firewall-cmd --set-default-zone=public  //将默认区域设置为public
 success
复制代码

 

 

示例2:对指定网卡进行操作

add 增加绑定,change修改,remove 删除

复制代码
  #增加绑定
 [root@localhost ~]# firewall-cmd --get-active-zone
 public
   interfaces: ens36 ens33
 [root@localhost ~]# firewall-cmd --zone=work --add-interface=ens33
 The interface is under control of NetworkManager, setting zone to 'work'.
 success
 [root@localhost ~]# firewall-cmd --get-active-zone
 work
   interfaces: ens33
 public
   interfaces: ens36
   
 #修改网卡绑定的区域  
 [root@localhost ~]]# firewall-cmd --zone=home --change-interface=ens33
 The interface is under control of NetworkManager, setting zone to 'home'.
 success
 [root@localhost ~]# firewall-cmd --get-active-zone
 home
   interfaces: ens33
 public
   interfaces: ens36
 ​
 #删除网卡和区域的绑定关系
 [root@localhost ~]# firewall-cmd --zone=home --remove-interface=ens33
 The interface is under control of NetworkManager, setting zone to default.
 success
 [root@localhost ~]# firewall-cmd --get-active-zone

 

 public
   interfaces: ens36 ens33
复制代码

 

 

 

 

示例3:对源地址进行操作

复制代码
[root@localhost ~]# firewall-cmd --add-source=2.2.2.2 --zone=work              //将源地址绑定到work区域
success
[root@localhost ~]# firewall-cmd --get-active-zone
work
  sources: 2.2.2.2
public
  interfaces: ens36 ens33
[root@localhost ~]# firewall-cmd --remove-source=2.2.2.2 --zone=work             //删除源地址和work区域的绑定关系
success
[root@localhost ~]# firewall-cmd --get-active-zone
public
  interfaces: ens36 ens33
复制代码

 

 

示例4:查看指定区域的所有规则

不指定区域时,则对默认区域进行操作(默认区域可自定义,不修改则为public)

firewall-cmd --list-all-zones:显示所有区域及其规则

firewall-cmd --list-all : 不指定区域时,查看的是默认区域

firewall-cmd --list-all --zone=work:显示work区域的所有规则


复制代码
[root@localhost ~]# firewall-cmd --list-all-zones     //显示所有区域及其规则


[root@localhost ~]# firewall-cmd --list-all        //不指定区域时查看的是默认区域
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens36 ens33                  //绑定的
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
    
[root@localhost ~]# firewall-cmd --list-all --zone=work       //查看work区域的规则
work
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
复制代码

 

 

 

 

示例5:服务管理

显示、添加、删除指定区域的某个服务:

复制代码
[root@localhost ~]# firewall-cmd --zone=work --list-services        //显示work区域的服务
ssh dhcpv6-client
[root@localhost ~]# firewall-cmd --zone=work --add-service=http      //添加http服务
success
[root@localhost ~]# firewall-cmd --zone=work --list-services        //删除http服务
ssh dhcpv6-client http
[root@localhost ~]# firewall-cmd --zone=work --remove-service=http
success
[root@localhost ~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client
复制代码

 

 

向默认区域中添加允许通过的服务:

[root@localhost ~]# firewall-cmd --add-service=http
success
[root@localhost ~]# firewall-cmd --list-services --zone=public
ssh dhcpv6-client http

 

 一次性添加多个服务:

[root@localhost ~]# firewall-cmd --zone=work --add-service={http,https,ftp}
success
[root@localhost ~]# firewall-cmd --list-services --zone=work
ssh dhcpv6-client http https ftp

 

 

 

 

示例6:端口管理

添加、删除某个协议的端口。

复制代码
[root@localhost ~]# firewall-cmd --zone=work --add-port=80/tcp
success
[root@localhost ~]# firewall-cmd --zone=work --list-ports
80/tcp
[root@localhost ~]# firewall-cmd --zone=work --list-all
work
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh dhcpv6-client
  ports: 80/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
复制代码

 

 

永久配置

永久配置不立即生效,需要重启服务或重新加载后才生效。重启服务或重新加载时会中断现有连接。下次重启后不会丢失,永久存在。

示例:

1、--permanent 设置成永久生效,需要重启服务或重新加载 后才生效。.

 #同时添加 httpd、https 服务到默认区域,并设置成永久生效。
 ​
 firewall-cmd --add-service={http,https} --permanent
 firewall-cmd --reload
 ​
 #添加使用 --permanent选项表示设置成永久生效,需要重新启动 firewalld 服务或执行firewall-cmd --reload 命令重新加载后才生效;

2、把运行时配置转换成永久配置

 firewall-cmd --runtime-to-permanent 
 ​
 #将当前的运行时配置,写入规则配置文件中,使之成为永久性配置。

示例1:直接进行永久配置

同时添加 httpd、https 服务到默认区域,并设置成永久生效。

复制代码
[root@localhost ~]# firewall-cmd --add-service={http,https} --permanent      //设置永久生效
success
[root@localhost ~]# firewall-cmd --reload          //重新加载后永久配置才生效
success
[root@localhost ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens36 ens33
  sources: 
  services: ssh dhcpv6-client http https
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
复制代码

 

 

示例2:把运行时配置 转换成 永久配置

将当前的运行时配置,写入规则配置文件中,使之成为永久性配置。

[root@localhost ~]# firewall-cmd --runtime-to-permanent         //把当前的运行配置转换成永久配置
success

设置SNAT规则和DNAT规则

设置SNAT策略:

复制代码
[root@localhost ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.72.0/24 -j SNAT --to-source 12.0.0.254
success
[root@localhost ~]# iptables -t nat -nL POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
RETURN     all  --  192.168.122.0/24     224.0.0.0/24        
RETURN     all  --  192.168.122.0/24     255.255.255.255     
MASQUERADE  tcp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
MASQUERADE  udp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24    
POSTROUTING_direct  all  --  0.0.0.0/0            0.0.0.0/0           
POSTROUTING_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
POSTROUTING_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
SNAT       all  --  192.168.72.0/24      0.0.0.0/0            to:12.0.0.254
复制代码

 

 

设置DNAT策略:

复制代码
[root@localhost ~]# iptables -t nat -nL PREROUTING
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
PREROUTING_direct  all  --  0.0.0.0/0            0.0.0.0/0           
PREROUTING_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
PREROUTING_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
DNAT       tcp  --  0.0.0.0/0            12.0.0.254           tcp dpt:80 to:192.168.72.10
DNAT       tcp  --  0.0.0.0/0            12.0.0.254           tcp dpt:80 to:192.168.72.10
DNAT       tcp  --  0.0.0.0/0            12.0.0.254           tcp dpt:80 to:192.168.72.10
DNAT       tcp  --  0.0.0.0/0            12.0.0.254           tcp dpt:80 to:192.168.1.10
DNAT       tcp  --  0.0.0.0/0            12.0.0.254           tcp dpt:80 to:192.168.1.10
复制代码

 

 

小贴士:

拒绝某个地址访问所有服务,可以通过block和drop区域,即将这个源地址和block区域绑定(或者和drop区域绑定)。但是拒绝这个源地址访问单个服务,要通过富规则实现。

例如现在有个地址192.168.1.10,只想拒绝它使用ssh服务,其他都放行。需要通过富规则实现。

posted @   风夏呀  阅读(160)  评论(0编辑  收藏  举报
编辑推荐:
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
阅读排行:
· 25岁的心里话
· 闲置电脑爆改个人服务器(超详细) #公网映射 #Vmware虚拟网络编辑器
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· 零经验选手,Compose 一天开发一款小游戏!
· 一起来玩mcp_server_sqlite,让AI帮你做增删改查!!
点击右上角即可分享
微信分享提示