防火墙-firewalld

发布时间:2019-05-31 22:00:11发布者:Mr.Zhang阅读(264)

转载:http://www.52wiki.cn/docs/linux/linux-1ao67g3qlteo0

一.简介

firewalld是centos7系统默认的防火墙,和iptables一样,是使用系统中netfilter内核模块的管理工具。

和iptables不一样的点
firewalld 使用区域和服务而不是链式规则。
它动态管理规则集,允许更新规则而不破坏现有会话和连接。

优点:
支持动态的配置规则
有多个预设的区域,可以在不同环境下,简单方便的变更规则

对于一个接受到的请求具体使用哪个zone,firewalld是通过三种方法来判断的:
1、source,也就是源地址 优先级最高
2、interface,接收请求的网卡 优先级第二
3、firewalld.conf中配置的默认zone 优先级最低

firewalld有的区域(zone)
block(拒绝)
dmz(非军事化)
drop(丢弃)
external(外部)
home(家庭)
internal(内部)
public(公开)
trusted(信任)
work(工作区)

文件:
/etc/firewalld/zones #用户自己定义的
/usr/lib/firewalld #系统配置文件,预定义配置文件

状态

Target:目标
icmp-block-inversion:ICMP协议类型黑白名单开关(yes/no) Interfaces:关联的网卡接口 sources:来源,可以是IP地址,也可以是mac地址 services:允许的服务 ports:允许的目标端口,即本地开放的端口 protocols:允许通过的协议 masquerade:是否允许伪装(yes/no),可改写来源IP地址及mac地址 forward-ports:允许转发的端口 source-ports:允许的来源端口 icmp-blocks:可添加ICMP类型,当icmp-block-inversion为no时,这些ICMP类型被拒绝;当icmp-block-inversion为yes时,这些ICMP类型被允许。 rich rules:富规则,即更细致、更详细的防火墙规则策略,它的优先级在所有的防火墙策略中也是最高的。

二.操作命令

启动
systemctl start firewalld

查看状态
systemctl status firewalld / firewall-cmd --state

停止
systemctl stop firewalld

禁用
systemctl disable firewalld

三.使用命令

firewall的状态

查看防火墙的状态
--state

重新加载防火墙,中断用户的连接,将临时配置清掉,加载配置文件中的永久配置
--reload

重新加载防火墙,不中断用户的连接(防火墙出严重故障时使用)
--complete-reload

紧急模式,强制关闭所有网络连接,–panic-off是关闭紧急模式
--panic-on

配置集

使用firewall-cmd添加的操作,重启会失效

添加–permanent可以写到配置文件里,永久生效
firewall-cmd --zone=public --add-service=http

区域

可以将配置写到不同与其中,例如public区域允许22端口,而external则允许80端口访问。这样登陆机器开启public,而提供服务的机器开启external。

查看支持的所有ICMP类型
--get-icmptypes

查看所有区域
--get-zones

查看当前的默认区域
--get-default-zone

更改默认的区域
--set-default-zone=work

查看当前正在使用的区域
--get-active-zones

查看当前区域支持的服务
--get-services

查看当前区域开放的服务列表
--list-services

查看此区域内的所有配置,类似与iptables -L -n
--zone=public --list-all

查看所有区域配置
--list-all-zones

限制规则

add添加 remove删除/禁用

将网络接口添加到默认的区域内
--add-interface=eth0

将网络接口在默认的区域内删除
--remove-interface=eth0

添加端口到区域开放列表中
--add-port=12222/tcp

将端口范围添加到开放列表中
--add-port=5000-10000/tcp

添加服务到区域开放列表中(注意服务的名称需要与此区域支持的服务列表中的名称一致)
--add-service=ftp

区域内将http服务删除在开放列表中删除
--remove-service=ftp

添加源地址的流量到指定区域
--add-source=192.168.1.1

删除源地址的流量到指定区域
--remove-source=192.168.1.1

改变指定的接口到其他区域
--change-interface=eth1

确定该网卡接口是否存在于此区域
--query-interface=eth1

开启SNAT(源地址转换)
--add-masquerade

查询SNAT的状态
--query-masquerade

开启SNAT(源地址转换)
--add-masquerade

端口转发,本地513到其他机器的22端口,要开启masquerade
--add-forward-port=port=513:proto=tcp:toport=22:toaddr=192.168.100.101

四.例子

服务与端口

在public中添加一个允许访问http服务
firewall-cmd --zone=public --add-service=http

在public中拒绝访问http服务
firewall-cmd --zone=public --remove-service=http

允许访问12345端口的tcp流量
firewall-cmd --zone=public --add-port=12345/tcp

拒绝访问12345端口的tcp流量
firewall-cmd --zone=public --remove-port=12345/tcp

转发

将本地80端口的流量转发到本地12345端口上
firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=12345

转发到另一台服务器上需要的区域中激活 masquerade。
firewall-cmd --zone=public --add-masquerade

将本地80端口转发到123.456.78.9的8080上
firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=123.456.78.9

将add变成remove就是去除这条
firewall-cmd --zone="public" --remove-forward-port=port=80:proto=tcp:toport=8080:toaddr=123.456.78.9

五.丰富规则

列出你目前的丰富规则
firewall-cmd --list-rich-rules

允许192.168.0.14的所有IPv4流量
firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.0.14 accept'

拒绝192.168.1.10的ipv4访问22端口
firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp reject'

允许10.1.0.3的ipv4访问80端口的tcp,并把流量转发到6532上
firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=10.1.0.3 forward-port port=80 protocol=tcp to-port=6532'

六.实际操作

跳板机

跳板机通常只开放22端口,其它关闭,并且只允许某ip连接,其它需要拨VPN

选择public做默认区域
firewall-cmd --set-default-zone=public

允许指定ip访问固定端口
firewall-cmd --add-rich-rule="rule family="ipv4" source address=10.10.10.140 port protocol="tcp" port="22" accept"

对外服务机器

允许所有访问80端口
firewall-cmd --add-port=80/tcp

允许固定ip访问所有端口
firewall-cmd --add-rich-rule 'rule family="ipv4" source address=10.10.10.140 accept'

允许跳板机ip访问22端口
firewall-cmd --add-rich-rule="rule family="ipv4" source address=10.10.10.140 port protocol="tcp" port="22" accept"

内部应用服务器

允许所有端口访问
firewall-cmd --add-port=1-65535/tcp
firewall-cmd --add-port=1-65535/udp

 





本文转自博客园,原文地址:https://www.cnblogs.com/flashfish/p/10956720.html