防火墙
firewalld防火墙
防火墙概述
在centos7版本之前,使用iptables防火墙
防火墙规则
入站规则
出站规则
注意:防火墙默认全部拒绝
防火墙使用的区域管理
| 区域选项 | 默认规则策略 |
|---|---|
| trusted | 运行所有的数据包流入流出 |
| public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流 量 |
| drop | 拒绝流入的流量,除非与流出的流量相关 |
防火墙基本操作指令
# 区域相关命令
# 获取当前默认区域
[root@m01 nginx]# firewall-cmd --get-default-zone
public
# 设置默认区域
[root@m01 nginx]# firewall-cmd --set-default-zone=drop
success
# 查看所有可用的区域
[root@m01 nginx]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
# 新增区域
[root@m01 nginx]# firewall-cmd --new-zone=zls --permanent
# 切换到新创建的区域
[root@m01 nginx]# firewall-cmd --new-zone=huanglong --permanent
success
[root@m01 nginx]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work zls
[root@m01 nginx]# firewall-cmd --reload
success
[root@m01 nginx]# firewall-cmd --get-zones
block dmz drop external home huanglong internal public trusted work zls
[root@m01 nginx]# firewall-cmd --set-default-zone=huanglong
success
# 服务相关的命令
# 查看支持的服务名
[root@m01 nginx]# firewall-cmd --get-services
# 添加服务入站的规则
# 添加https服务允许入站,是临时生效,重启防火墙后失效
[root@m01 nginx]# firewall-cmd --add-service=https
success
# 添加https服务允许入站,永久生效,但是必须要重启防火墙才可以生效
[root@m01 nginx]# firewall-cmd --add-service=https --permanent
success
# 删除服务入站规则
[root@m01 nginx]# firewall-cmd --remove-service=https
success
[root@m01 nginx]# firewall-cmd --remove-service=https --permanent
success
# 防火墙开启端口的相关命令
# 开启指定端口
[root@m01 ~]# firewall-cmd --add-port=6379/tcp
success
[root@m01 ~]# firewall-cmd --add-port=6379/tcp --permanent
success
# 开启范围端口
[root@m01 ~]# firewall-cmd --add-port=1-6379/tcp --permanent
success
[root@m01 ~]# firewall-cmd --add-port=1-6379/tcp
success
# 防火墙脚本
- hosts: all
tasks:
- name: 开启对应机器防火墙端口
firewalld:
port: "{{ item }}"
permanent: yes
state: enabled
with_items:
- "{{ port }}"
host_vars
web01.yml
port:
- 443/tcp
- 80/tcp
db01.yml
port:
- 3306/tcp
- 10050/tcp
# 防火墙添加网卡命令
# 将eth0加入到drop区域
[root@m01 ~]# firewall-cmd --add-interface=eth0 --zone=drop
# 查看当前默认区域的所有规则
[root@m01 nginx]# firewall-cmd --list-all
# 重新加载防火墙
[root@m01 ~]# firewall-cmd --reload
C:\Users\oldboy>netstat -an|findstr 22
TCP 10.0.0.1: 55902 10.0.0.61: 22 ESTABLISHED
来源IP 来源端口 目标IP 目标端口
public (active) # 当前正在使用的区域
target: default # 当前默认的区域
icmp-block-inversion: no # icmp块:没有开启
interfaces: eth1 eth0 # 当前区域监听的网卡
sources: # 来源IP 10.0.0.1
services: ssh dhcpv6-client https # 允许访问服务
ports: 80/tcp 443/tcp 10050/tcp # 允许访问的端口
protocols: # 允许访问的协议
masquerade: yes # IP伪装(只有内网IP地址的机器通过IP伪装上网)
forward-ports: # 端口转发,端口映射 80 172.16.1.71:8080
source-ports: # 来源端口 55902
icmp-blocks: # icmp块
rich rules: # 富规则,富语言规则
rule family="ipv4" source address="10.0.0.6" accept
rule family="ipv4" source address="10.0.0.5" accept
使用rewalld各个区域规则结合配置,调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许
# 移除public区域所有允许放行的规则
[root@m01 ~]# firewall-cmd --remove-service=ssh --remove-service=dhcpv6-client
# 将源IP网段加入到trusted区域中
[root@m01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted
# 查看正在使用的区域
[root@m01 ~]# firewall-cmd --get-active-zone
查询public区域是否语序请求SSH HTTPS协议的流量
[root@m01 ~]# firewall-cmd --zone=public --query-service=https
yes
[root@m01 ~]# firewall-cmd --zone=public --query-service=zabbix-server
no
#!/bin/bash
service_name=$1
res=`firewall-cmd --zone=public --query-service=$service_name`
if [ $res == 'no' ];then
firewall-cmd --zone=public --add-service=$service_name
else
echo "$service_name 已经被放行,无需重复执行..."
fi
防火墙放行自定义服务
# 复制ssh.xml
[root@m01 ~]# cp /usr/lib/firewalld/services/{ssh,keep}.xml
# 添加自定义服务的xml文件
[root@m01 ~]# vim /usr/lib/firewalld/services/keep.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>sersync</short>
<description>xxx .... sersync....</description>
<port protocol="tcp" port="874"/>
</service>
# 添加自定义的服务名
[root@m01 services]# firewall-cmd --add-service=sersync
success
firewalld防火墙端口转发策略
# 端口转发公式
firewalld-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
firewall-cmd --permanent --zone=public --add-forwardport=port=8888:proto=tcp:toport=80:toaddr=172.16.1.7
# 开启ip伪装
[root@m01 ~]# firewall-cmd --add-masquerade
firewalld富语言规则
rewalld中的富语言规则表示更细致,更详细的防火墙策略配置,他可以针对系统服务、端口号、原地址和目标地址 等诸多信息进行更有针对性的策略配置,优先级在所有的防火墙策略中也是最高的,下面为rewalld富语言规则帮助 手册
[root@m01 ~]# man firewall-cmd
[root@m01 ~]# man firewalld.richlanguage
rule
[source]
[destination]
service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|sourceport
[log]
[audit]
[accept|reject|drop|mark]
rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
protocol value="protocol value"
forward-port port="port value" protocol="tcp|udp" to-port="port value" toaddr="address"
accept | reject [type="reject type"] | drop
#富语言规则相关命令
--add-rich-rule='<RULE>' #在指定的区域添加一条富语言规则
--remove-rich-rule='<RULE>' #在指定的区删除一条富语言规则
--query-rich-rule='<RULE>' #找到规则返回0,找不到返回1
--list-rich-rules #列出指定区里的所有富语言规则
练习题
# 1.比如允许10.0.0.1主机能够访问http服务,允许172.16.1.0/24能访问10050端口
[root@web01 ~]# firewall-cmd --remove-service=ssh
success
[root@web01 ~]# firewall-cmd --remove-service=dhcpv6-client
success
[root@web01 ~]# firewall-cmd --remove-service=dhcpv6-client --permanent
success
[root@web01 ~]# firewall-cmd --remove-service=ssh --permanent
success
firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1" service
name="http" accept'
# 2.默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'
# 3.使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务
[root@m01 ~]# firewall-cmd --remove-service=ssh
[root@m01 ~]# firewall-cmd --add-service={http,https}
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=ssh accept'
# 4.当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口
[root@m01 ~]# firewall-cmd --add-masquerade
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.7"'
# 5.查看设定的规则,如果没有添加--permanent参数则重启firewalld会失效。富规则按先后顺序匹配,按先匹配到的规则生效
[root@m01 ~]# firewall-cmd --list-rich-rules
rule family="ipv4" source address="10.0.0.1" service name="http" accept
rule family="ipv4" source address="172.16.1.0/24" service name="ssh" drop
rule family="ipv4" source address="10.0.0.1" service name="ssh" accept
rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.9"
防火墙开启内部上网
服务端
# 开启的虚拟ip
[root@Firewalld ~]# firewall-cmd --add-masquerade --permanent
[root@Firewalld ~]# firewall-cmd --reload
# 防火墙开启内核转发
#配置内核转发
[root@m01 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
#在CentOS6中开启之后生效命令
[root@m01 ~]# sysctl -p
#查看内核转发是否开启
[root@m01 ~]# sysctl -a|grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1
# 关闭eth0
[root@m01 ~]# ifdown eth0
# 关闭eth1并开启eth1
[root@m01 ~]# ifdown eth1 && ifup eth1
# 测试后端网段是否正常
[root@web03 ~]# ping baidu.com
PING baidu.com (123.125.115.110) 56(84) bytes of data.
64 bytes from 123.125.115.110 (123.125.115.110): icmp_seq=1 ttl=127 time=9.08 ms
客户端
# 下发客户端配置网关
# roles文件
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
NAME=eth1
DEVICE=eth1
ONBOOT=yes
IPADDR={{ ansible_eth1.ipv4.address }}(变量)
NETMASK=255.255.255.0
GATEWAY=172.16.1.61
DNS1=223.5.5.5
ZOME=public
防火墙iptables如何让没有公网的机器上网
#外网服务器上
#1.启动iptables:
[root@m01 ~]# /etc/init.d/iptables start
#2.开启内核转发
[root@m01 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
#3.完成后,使其生效
[root@m01 ~]# sysctl -p
#4.开启流量转发
[root@m01 ~]# iptables -t nat -A POSTROUTING -s 172.16.1.0/255.255.255.0 -j SNAT --to 10.0.0.61
#5.开启IP伪装
[root@m01 ~]# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#6.保存防火墙规则
[root@m01 ~]# /etc/init.d/iptables save
###内网客户端服务器上
#1.编辑eth1网卡
[root@web03 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.61
#2.配置DNS
[root@web03 ~]# cat /etc/resolv.conf
nameserver 223.5.5.5
#3.关闭eth0;重启eth1
[root@web03 ~]# ifdown eth0
[root@web03 ~]# ifdown eth1
[root@web03 ~]# ifup eth1
#4.查看网关
[root@web03 ~]# route -n
172.16.1.61
#5.检测网络
[root@web03 ~]# ping www.baidu.com
