firewalld防火墙

firewalld防火墙

防火墙概述

在CentOS7版本之前，使用iptables做防火墙
在centos7系统中集成了多款防火墙管理工具，默认启用的是firewalld(动态防火墙管理器) 防火墙管理工具，Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。

对于接触linux较早的人员对Iptables比较熟悉，但由于Iptables的规则比较的麻烦，并对网络有一定要求，所以学习成本较高。但firewalld的学习对网络并没有那么高的要求，相对iptables来说要简单不少，所以建议刚接触CentOS7系统的人员直接学习FIrewalld。

防火墙规则
  - 入站规则
  - 出站规则
# 注意：防火墙默认全部拒绝的

防火墙使用区域管理

相较于传统的iptables防火墙，firewalld支持动态更新，并加入区域zone的概念

简单来说，区域救赎firewalld预先准备了几套防火墙策略合集，用户可以根据不同的场景选择不同的策略模板，从而实现防火墙策略之间的快速切换

区域选项	默认规则策略
trusted	允许所有的数据包流入流出
home	拒接流入的流量，除非与流出的流量有关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关则允许流量
internal	等同于home区域
work	拒绝流入的流量，除非与流出的流量想关，而如果流量与ssh、ipp-client、dhcpv6-client服务相关则允许流量
public	拒绝流入的流量，除非与流出的流量想关，而如果流量与ssh、dhcpv6-client服务相关则允许流量
external	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
dmz	拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
block	拒绝流入的流量，除非与流出的流量相关
drop	拒绝流入的流量，除非与流出的流量相关

# 重点三大区域：
  - trusted： 允许所有流量的入站规则
  - public： 公共区域，默认允许ssh和dhcpv6-client
  - drop： 拒绝所有流量的入站规则

防火墙基本操作指令

区域相关命令

# 获取默认区域
[root@m01 ~]# firewall-cmd --get-default-zone 
public

# 设置默认区域
[root@m01 ~]# firewall-cmd --set-default-zone=drop 

# 查看所有可以区域
[root@m01 ~]# firewall-cmd --get-zones 
block dmz drop external home internal public trusted work zh

# 新增区域
[root@m01 ~]# firewall-cmd --new-zone=zh --permanent

服务相关命令

# 查看支持的服务名
[root@m01 ~]# firewall-cmd --get-services 
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry docker-swarm dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls managesieve mdns minidlna mongodb mosh mountd ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

# 添加服务入站规则
# 添加https服务，临时生效，重启防火墙后生效
[root@m01 ~]# firewall-cmd --add-service=https

# 添加https服务允许入站，永久生效，但是必须要重启防火墙才能生效
[root@m01 ~]# firewall-cmd --add-service=https

# 删除服务入站规则
[root@m01 ~]# firewall-cmd --add-service=https --permanent 
[root@m01 ~]# firewall-cmd --remove-service=https --permanent 

防火墙开启端口相关命令

# 开启指定端口
[root@m01 ~]# firewall-cmd --add-port=80/tcp

[root@m01 ~]# firewall-cmd --add-port=80/tcp --permanent 

# 开启范围端口
[root@m01 ~]# firewall-cmd --add-port=1-999/tcp 
[root@m01 ~]# firewall-cmd --add-port=1-999/tcp  --permanent

- hosts: all
  tasks：
  - name: 开启对应机器防火墙端口
    firewalld:
      port: 80/tcp
      permanent: yes
      state: enabled 

防火墙添加网卡命令

# 将eth0加入到drop区域
[root@m01 ~]# firewall-cmd --add-interface=eth0 --zone=drop

查看相关命令

# 查看当前默认区域的所有规则
[root@m01 ~]# firewall-cmd --list-all
public (active)          # 当前正在使用的区域
  target: default		# 当前默认的区域
  icmp-block-inversion: no	# icmp块： 没有开启
  interfaces: eth0 eth1		# 当前区域监听的网卡
  sources: 					# 来源ip 10.0.0.1
  services: ssh dhcpv6-client  # 允许访问的服务
  ports: 80/tcp 1-999/tcp		# 允许访问的端口
  protocols: 				# 允许访问的协议
  masquerade: no			# IP伪装 (只有内网IP地址的七七通过IP伪装上网)
  forward-ports:        	# 端口转发，端口映射
  source-ports: 			# 来源IP 
  icmp-blocks: 				# icmp块
  rich rules: 				# 富规则，富语言规则

# 重新加载防火墙
[root@m01 ~]# firewall-cmd --reload 

使用firewalld各个区域规则结合配置，跳转默认public区域拒绝所有流量，但如果来源IP是10.0.0.0/24网段则允许

# 移除public区域的所有允许放行的规则
[root@m01 ~]# firewall-cmd --remove-service=ssh --remove-service=dhcpv6-client 

# 将来源IP网段加入到trusted区域中
[root@m01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted 

# 查看正在使用的区域
[root@m01 ~]# firewall-cmd --get-active-zones 
public
  interfaces: eth0
trusted
  sources: 10.0.0.0/24

查询pubic区域是否允许请求SSH HTTPS协议的流量

[root@m01 ~]# firewall-cmd --zone=public --query-service=https 
no

[root@m01 ~]# firewall-cmd --zone=public --query-service=zabbix-server 
no

#!/bin/bash
service_name=$1

res=`firewall-cmd --zone=public --query-service=$service_name`

if [ $res == 'no' ];then
	firewall-cmd --zone=public --add-service=$service_name
else
	echo "$service_name 已经被放行，无需重复执行..."
fi

防火墙放行自定义服务

# 复制ssh.xml
[root@m01 ~]# cp /usr/lib/firewalld/services/{ssh,sersync}.xml

#　添加自定义服务的ｘｍｌ文件

[root@m01 ~]# vim /usr/lib/firewalld/services/keep.xml 

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>sersync</short>
  <description>xxxxx.....</description>
  <port protocol="tcp" port="874"/>
</service>

# 添加自定义服务名
[root@m01 ~]# firewall-cmd --add-service=sersync

firewalld防火墙端口转发策略

# 端口创发公式
firewalld-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议 >:toport=<目标端口号>:toaddr=<目标IP地址>

firewall-cmd --permanent --zone=public --add-forward-port=port=8888:proto=tcp:toport=80:toaddr=172.16.1.7

# 开启ip伪装
[root@m01 ~]# firewall-cmd --add-masquerade 

firewalld副语言规则

firewalld中的副语言则表示更加细致，更详细的防火墙策略配置，他可以针对系统服务、端口号、原地址和目标路径等诸多信息进行更有针对性的策略配置，优先级在所有防火墙策略也是最高的

下面为firewalld副语言规则帮助

[root@m01 ~]# man firewall-cmd
[root@m01 ~]# man firewalld.richlanguage


# 副语言规则相关命令
--add-rich-rule='<RULE>' #在指定的区域添加一条富语言规则

--remove-rich-rule='<RULE>'     #在指定的区删除一条富语言规则

--query-rich-rule='<RULE>'      #找到规则返回0，找不到返回1

--list-rich-rules               #列出指定区里的所有富语言规则

1.允许10.0.0.1主机能够访问http服务，允许172.16.1.0/24能够访问10050端口

[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1" service name=http accept'
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="172.16.1.0/24" port port="10050" protocol="tcp" accept'


2.默认public区域对外开放所有人能通过ssh服务连接，但拒绝172.16.1.0/24网段通过ssh连接服务器

[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'


3.使用firewalld，允许所有人能访问http,https服务，但只有10.0.0.1主机可以访问ssh服务

[root@m01 ~]# firewall-cmd --remove-service=ssh
[root@m01 ~]# firewall-cmd --add-service={http,https}
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=ssh accept'

4 当用户来源IP地址是10.0.0.1主机，则将用户请求的5555端口转发至后端172.16.1.7的22端口

[root@m01 ~]# firewall-cmd --add-masquerade
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.7"'


5.查看设定的规则，如果没有添加--permanent参数则重启firewalld会失效。富规则按先后顺序匹配，按先匹配到的规则生效

[root@m01 ~]# firewall-cmd --list-rich-rules 
rule family="ipv4" source address="10.0.0.1" service name="http" accept
rule family="ipv4" source address="172.16.1.0/24" service name="ssh" drop
rule family="ipv4" source address="10.0.0.1" service name="ssh" accept
rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.9"