CentOS7防火墙之--firewalld

firewalld防火墙

一、防火墙安全概述

在CentOS7系统中集成了多款防火墙管理工具,默认启用的是firewalld(动态防火墙管理器)防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。

对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较的麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习Firewalld。

需要注意的是:如果开启防火墙工具,并且没有配置任何允许的规则,那么从外部访问防火墙设备默认会被阻止,但是如果直接从防火墙内部往外部流出的流量默认会被允许。

firewalld 只能做和IP/Port相关的限制,web相关的限制无法实现。

二、防火墙使用区域管理

1.防火墙区域

区域选项 默认规则策略
trusted 允许所有的数据包流入流出
home 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal 等同于home区域
work 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许流量
public 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
external 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block 拒绝流入的流量,除非与流出的流量相关
drop 拒绝流入的流量,除非与流出的流量相关
trusted: 白名单
public:默认
drop:黑名单

2.防火墙参数

参数 作用
zone区域相关指令
--get-default-zone 获取默认的区域名称
--set-default-zone=<区域名称> 设置默认的区域,使其永久生效
--get-active-zones 显示当前正在使用的区域与网卡名称
--get-zones 显示总共可用的区域
services服务相关命令
--get-services 列出服务列表中所有可管理的服务
--add-service= 设置默认区域允许该填加服务的流量
--remove-service= 设置默认区域不允许该删除服务的流量
Port端口相关指令
--add-port=<端口号/协议> 设置默认区域允许该填加端口的流量
--remove-port=<端口号/协议> 置默认区域不允许该删除端口的流量
Interface网站相关指令
--add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称> 将某个网卡与区域进行关联
其他相关指令
--list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息
--reload 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则

三、防火墙配置策略

为了能正常使用firewalld服务和相关工具去管理防火墙,必须启动firewalld服务,同时关闭以前旧的防火墙相关服务,需要注意firewalld的规则分为两种状态:

runtime运行时: 修改规则马上生效,但如果重启服务则马上失效,测试建议。
permanent持久配置: 修改规则后需要reload重载服务才会生效,生产建议。

#永久生效使用:
[root@web01 services]# firewall-cmd --add-port=80/udp
success
	
[root@web01 services]# firewall-cmd --add-port=80/udp --permanent
success

1.禁用防火墙

#1. 禁用旧版防火墙服务或保证没启动
[root@web01 ~]# systemctl mask iptables
Created symlink from /etc/systemd/system/iptables.service to /dev/null.
[root@web01 ~]# systemctl mask ip6tables
Created symlink from /etc/systemd/system/ip6tables.service to /dev/null.

#2. 启动firewalld防火墙,并加入开机自启动服务
[root@m01 ~]# systemctl start firewalld
[root@m01 ~]# systemctl enable firewalld

#3.取消禁用防火墙
[root@web01 ~]# systemctl unmask iptables

2.启动防火墙

[root@web01 services]# systemctl start firewalld
[root@web01 services]# systemctl enable firewalld
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.

3.firewalld 常用命令

#1.查看默认使用的区域
[root@web01 services]# firewall-cmd --get-default-zone
public

#2.查看默认区域的规则
[root@web01 services]# firewall-cmd --list-all
public (active)						#区域名字(活跃的在使用的)
  target: default					#状态:默认
  icmp-block-inversion: no			#ICMP
  interfaces: eth0 eth1				#区域绑定的网卡
  sources: 							#允许的源IP
  services: ssh dhcpv6-client		#允许的服务
  ports: 							#允许的端口
  protocols: 						#允许的协议
  masquerade: no					#IP伪装
  forward-ports: 					#端口转发
  source-ports: 					#来源端口
  icmp-blocks: 						#icmp块
  rich rules: 						#富规则

#3.查看指定区域的规则
[root@web01 services]# firewall-cmd --list-all --zone=drop
drop
  target: DROP
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
  
#4.查询某区域是否允许某服务
[root@web01 services]# firewall-cmd --zone=public --query-service=ssh
yes

#5.重启防火墙
[root@web01 services]# firewall-cmd --reload
success

#6.同时配置多个服务
[root@web01 services]# firewall-cmd --add-service={ssh,httpd}
success

4.配置测试

配置要求:调整防火墙,默认区域拒绝所有的流量,如果来源IP是10.0.0.0/24则允许

#移除public区域所有操作
[root@web01 services]# firewall-cmd --remove-service=ssh
success
[root@web01 services]# firewall-cmd --remove-service=dhcpv6-client
success

#配置允许的网段到trusted区域
[root@web01 services]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted 
success

四、防火墙配置放行策略

1.firewalld放行服务

#放行mysql服务(firewalld已存在的服务)
[root@web01 ~]# firewall-cmd --add-service=mysql
success

#放行nginx服务(firewalld中不存在的服务)
[root@web01 ~]# cd /usr/lib/firewalld/services
[root@web01 services]# cp mysql.xml nginx.xml
[root@web01 services]# vim nginx.xml 
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>Nginx</short>
  <description>Nginx Server</description>
  <port protocol="tcp" port="80"/>
</service>
[root@web01 services]# firewall-cmd --reload
success
[root@web01 services]# firewall-cmd --add-service=nginx
success
[root@web01 services]#

2.firewalld放行端口

[root@web01 services]# firewall-cmd --add-port=80/tcp

[root@web01 services]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 80/tcp 80/udp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

3.firewalld放行网段

[root@web01 services]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted

五、防火墙端口转发策略


端口转发是指传统的目标地址映射,实现外网访问内网资源,firewalld转发命令格式为:
firewalld-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

如果需要将本地的10.0.0.7:5555端口转发至后端172.16.1.8:22端口

# 注意:
  如果本地没有开启防火墙的ip伪装功能,那将不会对地址进行转换,源地址不会被转换为内网网段,依然是以外网网段转发至内网机器,则内网收到消息,
返回请求到原本的src,也就是源,则会发现源是外网的ip,没有被10.0.0.7转换,则无法将请求发送出去。


#1.配置端口转发
[root@web01 ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.8
success
[root@web01 ~]# firewall-cmd --reload

#2.开启IP伪装
[root@web01 ~]# firewall-cmd --add-masquerade 
success
[root@web01 ~]# firewall-cmd --add-masquerade --permanent 
success

#3.测试访问
[root@m01 ~]# ssh 10.0.0.7 -p5555
root@10.0.0.7's password: 
Last login: Tue Jul  7 01:06:01 2020 from 172.16.1.7
[root@web02 ~]# 

六、防火墙富规则

firewalld中的富语言规则表示更细致,更详细的防火墙策略配置,他可以针对系统服务、端口号、原地址和目标地址等诸多信息进行更有针对性的策略配置,优先级在所有的防火墙策略中也是最高的,下面为firewalld富语言规则帮助手册

1.富规则语法

[root@web01 ~]# man firewalld.richlanguage
           rule
             [source]
             [destination]
             service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port
             [log]
             [audit]
             [accept|reject|drop|mark]

# 按照下方语法配置富规则即可
rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
protocol value="protocol value"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop

2.实例一:

要求:比如允许10.0.0.1主机能够访问http服务,允许172.16.1.0/24能访问22端口

#允许10.0.0.1主机能够访问http服务
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 service name=http accept'
success

#允许172.16.1.0/24能访问22端口
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port=22 protocol=tcp accept'
success

3.实例二:默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器

[root@lb02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port=22 protocol=tcp drop'

4.实例三:使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务

[root@lb02 ~]# firewall-cmd --add-service={http,https}

[root@lb02 ~]# firewall-cmd --remove-service=ssh

[root@lb02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 port port=22 protocol=tcp accept'

5.当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口

[root@lb02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 forward-port port=5555 protocol=tcp to-port=22 to-addr=172.16.1.7'

八、防火墙内部共享上网

1.开启防火墙IP伪装

[root@web01 ~]# firewall-cmd --add-masquerade --permanent 
success
[root@web01 ~]# firewall-cmd --add-masquerade
success

2.防火墙开启内核转发(如果是Centos6,需要配置)

[root@web01 ~]# sysctl -a | grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1

#配置内核转发
[root@m01 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

#在CentOS6中开启之后生效命令
[root@m01 ~]# sysctl -p

#查看内核转发是否开启
[root@m01 ~]# sysctl -a|grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1

3.配置没有外网的机器网关地址

[root@web01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
#添加配置
GATEWAY=172.16.1.7    #防火墙内网地址
DNS1=223.5.5.5

#重启网卡
[root@web01 ~]# ifdown eth1
[root@web01 ~]# ifup eth1
posted @ 2020-07-06 19:03  元气少女郭德纲!!  阅读(1210)  评论(0编辑  收藏  举报