firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
- 支持IPv4、IPv6防火墙设置以及以太网桥
- 支持服务或应用程序直接添加防火墙规则接口
- 拥有两种配置模式:临时模式、永久模式
firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
2 Firewalld和iptables的关系
2.1 Firewalld和iptables的关系
netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态”
Firewalld/iptables
- CentOS7默认的管理防火墙规则的工具(Firewalld)
- 称为Linux防火墙的“用户态”
2.2 Firewalld和iptables的区别
1、对规则的设置不同:
- ptables主要是基于接口(网卡),来设置规则,从而判断网络的安全性。
- firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
2、配置文件不同:
-
iptables在
/etc/sysconfig/iptables中储存配置; -
firewalld 将配置储存在
/etc/firewalld/(优先加载)和/usr/lib/firewalld/(默认的配置文件)中的各种XML文件里。- 当
/etc/firewalld/中没有相关区域的配置文件时,才会加载/usr/lib/firewalld/中的配置文件。
- 当
3、对规则的修改:
- 使用iptables每一个单独更改,意味着清除所有旧的规则和从/etc/sysconfig/iptables里读取所有新的规则。
- 使用firewalld却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。
4、防火墙类型不同:
- iptables防火墙类型为静态防火墙
- firewalld防火墙类型为动态防火墙
3 Firewalld区域
3.1 firewalld区域的概念
firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
这些区域配置文件存在于/usr/lib/firewalld/zones目录中,还有一个目录/etc/firewalld/zones。firewalld使用规则时,会首先到/etc/firewalld/目录中查找,如果可以找到就直接使用,找不到会继续到/usr/lib/firewalld/目录中查找。
3.2 firewalld防火墙定义了9个区域
| 区域 | 作用 |
|---|---|
| trusted(信任区域) | 允许所有的传入流量。 |
| public(公共区域) | 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。 |
| external(外部区域) | 允许与ssh预定义服务匹配的传入流量其余均拒绝。 |
| home(家庭区域) | 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。 |
| internal(内部区域) | 默认值与home区域相同。 |
| work(工作区域) | 允许与ssh、dhcpv6-client预定义服务匹配的传入流量,其他均拒绝 |
| dmz(隔离区域也称非军事区域) | 允许与ssh预定义服务匹配的传入流量,其他均拒绝。 |
| block(限制区域) | 拒绝所有传入流量。 |
| drop(丢弃区域) | 丢弃所有传入流量,并且不产生包含icmp的错误响应。 |
3.3 firewalld区域介绍和区域优先级
firewalld区域介绍
- 最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
- 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
- 可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。
- 默认情况下,public区域是默认区域,包含所有接口(网卡)。
firewalld数据处理流程
检查数据来源的源地址:
- 若源地址关联到特定的区域,则执行该区域所指定的规则
- 若源地址未关联到特定的区域,则使用传入网络接口的区域 并执行该区域所指定的规则
- 若网络接口未关联到特定的区域,则使用默认区域并执行该 区域所指定的规则
区域优先级:源地址绑定的区域 > 网卡绑定的区域 > 默认区域(只要没有绑定过指定区域的网卡,都适用于于默认区域的规则。默认区域可自定义,不修改则为public)
4 Firewalld防火墙的配置方法
1、firewall-config 图形化工具(生产环境一般只有字符界面,不使用这种方法)
2、firewall-cmd 命令行工具(生产环境中没有图形化界面,所以只能在命令行进行配置)
3、编写 /etc/firewalld 中的配置文件。
-
Firewalld 会优先使用
/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置。/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/ 中拷贝/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/ 中的配置
4.1 firewall-config 图形化工具
在命令行输入”firewall-config“,回车后会弹出图形化管理工具。生产环境一般只有字符界面,不使用这种方法。
4.2 firewall-cmd 命令行工具
常用的 firewall-cmd 命令选项:
不指定区域时,则对默认区域进行操作(默认区域可自定义,不修改则为public)
ini
复制代码
#默认区域 --get-default-zone :显示当前默认区域 --set-default-zone=<zone> :设置默认区域 --get-active-zones :显示当前正在使用的区域及其网卡接口 --get-zones:显示所有可用的区域 #网络接口 --get-zone-of-interface=ens33 :查看指定接口ens33绑定的区域 --zone=<zone> --add-interface=<interface> :为指定接口绑定区域 --zone=<zone> --change-interface=<interface> :为指定区域更改绑定的网络接口 --zone=<zone> --remove-interface=<interface> :为指定区域删除绑定的网络接口 #源地址 --zone=<zone> --add-source=<source>[/<mask>] :为指定源地址绑定区域 --zone=<zone> --change-source=<source>[/<mask>] :为指定的区域更改绑定的源地址 --zone=<zone> --remove-source=<source>[/<mask>] :为指定的区域删除绑定的源地址 #显示指定区域的所有规则 --list-all-zones :显示所有区域及其规则 --zone=<zone> --list-all :显示所有指定区域的所有规则,若不指定区域表示仅对默认的区域操作 #服务管理 --zone=<zone> --list-service :显示指定区域内允许访问的所有服务 --zone=<zone> --add-service=<service> :为指定的区域设置允许访问的某项服务 --zone=<zone> --remove-service=<service> :删除指定区域已设置的允许访问的某项服务 #端口管理 --zone=<zone> --list-ports:x显示指定区域内允许访问的所有端口号 --zone=<zone> --add-port=<poreid>[-portid]/<portocol>:为指定的区域设置允许访问的某个端口号/某段端口号(包括协议) --zone=<zone> --remove-port=<poreid>[-portid]/<portocol>:删除指定区域已设置允许访问的端口号(包括协议) #icmp协议 --zone=<zone> --list-icmp-blocks :显示指定区域内拒接访问的所有icmp类型 --zone=<zone> --add-icmp-block=<icmptype>:为指定区域设置允许访问的某项icmp类型 --zone=<zone> --remove-icmp-block=<icmptype>删除指定区域已设置允许访问的某项icmp类型 firealld-cmd --get-icmptypes :显示所有icmp类型
5 Firewalld两种配置模式
运行时配置:
- 实时生效,并持续至Firewalld重新启动或重新加载配置文件
- 不中断现有连接
- 不能修改服务器配置
永久配置:
- 不立即生效,除非Firewaddl重新启动或重新加载配置
- 中断现有连接
- 可以修改服务配置
5.1 运行时配置(临时配置)
运行时配置,实时生效,不会中断现有连接。重启后丢失。
示例1:查看和设置默认区域
--get-default-zone :显示当前默认区域
--set-default-zone=< zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其网卡接口
swift
复制代码
[root@yuji ~]# firewall-cmd --get-default-zone //显示当前默认区域 public [root@yuji ~]# firewall-cmd --get-active-zone //当前正在使用的区域及其网卡接口 public interfaces: ens33 [root@yuji ~]# firewall-cmd --set-default-zone=home //将默认区域设置为home success [root@yuji ~]# firewall-cmd --get-default-zone //显示当前默认区域 home [root@yuji ~]# firewall-cmd --set-default-zone=public //将默认区域设置为public success
示例2:对指定网卡进行操作
add 增加绑定,change修改,remove 删除
kotlin
复制代码
#增加绑定 [root@yuji ~]# firewall-cmd --get-active-zone public interfaces: ens34 ens33 [root@yuji ~]# firewall-cmd --zone=work --add-interface=ens33 The interface is under control of NetworkManager, setting zone to 'work'. success [root@yuji ~]# firewall-cmd --get-active-zone work interfaces: ens33 public interfaces: ens34 #修改网卡绑定的区域 [root@yuji ~]# firewall-cmd --zone=home --change-interface=ens33 The interface is under control of NetworkManager, setting zone to 'home'. success [root@yuji ~]# firewall-cmd --get-active-zone home interfaces: ens33 public interfaces: ens34 #删除网卡和区域的绑定关系 [root@yuji ~]# firewall-cmd --zone=home --remove-interface=ens33 The interface is under control of NetworkManager, setting zone to default. success [root@yuji ~]# firewall-cmd --get-active-zone public interfaces: ens33
示例3:对源地址进行操作
csharp
复制代码
[root@yuji ~]# firewall-cmd --add-source=2.2.2.2 --zone=work //将源地址绑定到work区域 success [root@yuji ~]# firewall-cmd --get-active-zone work sources: 2.2.2.2 public interfaces: ens33 ens34 [root@yuji ~]# firewall-cmd --remove-source=2.2.2.2 --zone=work //删除源地址和work区域的绑定关系 success [root@yuji ~]# firewall-cmd --get-active-zone public interfaces: ens33 ens34
示例4:查看指定区域的所有规则
不指定区域时,则对默认区域进行操作(默认区域可自定义,不修改则为public)
firewall-cmd --list-all-zones:显示所有区域及其规则
firewall-cmd --list-all : 不指定区域时,查看的是默认区域
firewall-cmd --list-all --zone=work:显示work区域的所有规则
yaml
复制代码
[root@yuji ~]# firewall-cmd --list-all-zones //显示所有区域及其规则 [root@yuji ~]# firewall-cmd --list-all //不指定区域时查看的是默认区域 public (active) target: default icmp-block-inversion: no interfaces: ens33 //绑定的 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: [root@yuji ~]# firewall-cmd --list-all --zone=work //查看work区域的规则 work target: default icmp-block-inversion: no interfaces: sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
示例5:服务管理
显示、添加、删除指定区域的某个服务:
css
复制代码
[root@yuji ~]# firewall-cmd --zone=work --list-services ssh dhcpv6-client [root@yuji ~]# firewall-cmd --zone=work --add-service=http success [root@yuji ~]# firewall-cmd --zone=work --list-services ssh dhcpv6-client http [root@yuji ~]# firewall-cmd --zone=work --remove-service=http success [root@yuji ~]# firewall-cmd --zone=work --list-services ssh dhcpv6-client
向默认区域中添加允许通过的服务:
css
复制代码
[root@yuji ~]# firewall-cmd --add-service=http success [root@yuji ~]# firewall-cmd --list-services --zone=public ssh dhcpv6-client http
一次性添加多个服务:
css
复制代码
[root@yuji ~]# firewall-cmd --zone=work --add-service={http,https,ftp} success [root@yuji ~]# firewall-cmd --list-services --zone=work ssh dhcpv6-client http https ftp
示例6:端口管理
添加、删除某个协议的端口。
yaml
复制代码
[root@yuji ~]# firewall-cmd --zone=work --add-port=80/tcp success [root@yuji ~]# firewall-cmd --zone=work --list-ports 80/tcp [root@yuji ~]# firewall-cmd --zone=work --list-all work target: default icmp-block-inversion: no interfaces: sources: services: ssh dhcpv6-client http https ftp ports: 80/tcp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
添加连续的端口:
yaml
复制代码
[root@yuji ~]# firewall-cmd --add-port=3000-5000/udp success [root@yuji ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: ens33 ens34 sources: services: ssh dhcpv6-client http ports: 3000-5000/udp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: [root@yuji ~]# firewall-cmd --remove-port=3000-5000/udp success
5.2 永久配置
永久配置不立即生效,需要重启服务或重新加载后才生效。重启服务或重新加载时会中断现有连接。下次重启后不会丢失,永久存在。
示例:
1、--permanent 设置成永久生效,需要重启服务或重新加载 后才生效。
css
复制代码
#同时添加 httpd、https 服务到默认区域,并设置成永久生效。 firewall-cmd --add-service={http,https} --permanent firewall-cmd --reload #添加使用 --permanent选项表示设置成永久生效,需要重新启动 firewalld 服务或执行firewall-cmd --reload 命令重新加载后才生效;
2、把运行时配置转换成永久配置
bash
复制代码
firewall-cmd --runtime-to-permanent #将当前的运行时配置,写入规则配置文件中,使之成为永久性配置。
示例1:直接进行永久配置
同时添加 httpd、https 服务到默认区域,并设置成永久生效。
yaml
复制代码
[root@yuji ~]# firewall-cmd --add-service={http,https} --permanent success [root@yuji ~]# firewall-cmd --reload success [root@yuji ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: ens33 sources: services: ssh dhcpv6-client http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
示例2:把运行时配置 转换成 永久配置
将当前的运行时配置,写入规则配置文件中,使之成为永久性配置。
csharp
复制代码
[root@yuji ~]# firewall-cmd --runtime-to-permanent success
6 设置SNAT规则和DNAT规则
设置SNAT策略:
css
复制代码
[root@yuji ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.72.0/24 -j SNAT --to-source 12.0.0.254 success [root@yuji ~]# iptables -t nat -nL POSTROUTING Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all -- 192.168.72.0/24 0.0.0.0/0 to:12.0.0.254
设置DNAT策略:
css
复制代码
[root@yuji ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10 success [root@yuji ~]# iptables -t nat -nL PREROUTINGChain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0 12.0.0.254 tcp dpt:80 to:192.168.72.10
小贴士:
拒绝某个地址访问所有服务,可以通过block和drop区域,即将这个源地址和block区域绑定(或者和drop区域绑定)。但是拒绝这个源地址访问单个服务,要通过富规则实现。
例如现在有个地址192.168.89.10,只想拒绝它使用ssh服务,其他都放行。需要通过富规则实现。
ini
复制代码
firewall-cmd --add-rich-rule=...
作者:聂鲁达的邮差
链接:https://juejin.cn/post/7094625904453763103
来源:稀土掘金
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
