firewalld防火墙
防火墙概述
在CentOS7版本之前,使用iptables做防火墙
在centos7系统中集成了多款防火墙管理工具,默认启用的是firewalld(动态防火墙管理器) 防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。
对于接触linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较的麻烦,并对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习FIrewalld。
![]()
防火墙规则
- 入站规则
- 出站规则
# 注意:防火墙默认全部拒绝的
防火墙使用区域管理
相较于传统的iptables防火墙,firewalld支持动态更新,并加入区域zone的概念
简单来说,区域救赎firewalld预先准备了几套防火墙策略合集,用户可以根据不同的场景选择不同的策略模板,从而实现防火墙策略之间的快速切换
![]()
| 区域选项 |
默认规则策略 |
| trusted |
允许所有的数据包流入流出 |
| home |
拒接流入的流量,除非与流出的流量有关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关则允许流量 |
| internal |
等同于home区域 |
| work |
拒绝流入的流量,除非与流出的流量想关,而如果流量与ssh、ipp-client、dhcpv6-client服务相关则允许流量 |
| public |
拒绝流入的流量,除非与流出的流量想关,而如果流量与ssh、dhcpv6-client服务相关则允许流量 |
| external |
拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| dmz |
拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| block |
拒绝流入的流量,除非与流出的流量相关 |
| drop |
拒绝流入的流量,除非与流出的流量相关 |
# 重点三大区域:
- trusted: 允许所有流量的入站规则
- public: 公共区域,默认允许ssh和dhcpv6-client
- drop: 拒绝所有流量的入站规则
防火墙基本操作指令
区域相关命令
# 获取默认区域
[root@m01 ~]# firewall-cmd --get-default-zone
public
# 设置默认区域
[root@m01 ~]# firewall-cmd --set-default-zone=drop
# 查看所有可以区域
[root@m01 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work zh
# 新增区域
[root@m01 ~]# firewall-cmd --new-zone=zh --permanent
服务相关命令
# 查看支持的服务名
[root@m01 ~]# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry docker-swarm dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls managesieve mdns minidlna mongodb mosh mountd ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
# 添加服务入站规则
# 添加https服务,临时生效,重启防火墙后生效
[root@m01 ~]# firewall-cmd --add-service=https
# 添加https服务允许入站,永久生效,但是必须要重启防火墙才能生效
[root@m01 ~]# firewall-cmd --add-service=https
# 删除服务入站规则
[root@m01 ~]# firewall-cmd --add-service=https --permanent
[root@m01 ~]# firewall-cmd --remove-service=https --permanent
防火墙开启端口相关命令
# 开启指定端口
[root@m01 ~]# firewall-cmd --add-port=80/tcp
[root@m01 ~]# firewall-cmd --add-port=80/tcp --permanent
# 开启范围端口
[root@m01 ~]# firewall-cmd --add-port=1-999/tcp
[root@m01 ~]# firewall-cmd --add-port=1-999/tcp --permanent
- hosts: all
tasks:
- name: 开启对应机器防火墙端口
firewalld:
port: 80/tcp
permanent: yes
state: enabled
防火墙添加网卡命令
# 将eth0加入到drop区域
[root@m01 ~]# firewall-cmd --add-interface=eth0 --zone=drop
查看相关命令
# 查看当前默认区域的所有规则
[root@m01 ~]# firewall-cmd --list-all
public (active) # 当前正在使用的区域
target: default # 当前默认的区域
icmp-block-inversion: no # icmp块: 没有开启
interfaces: eth0 eth1 # 当前区域监听的网卡
sources: # 来源ip 10.0.0.1
services: ssh dhcpv6-client # 允许访问的服务
ports: 80/tcp 1-999/tcp # 允许访问的端口
protocols: # 允许访问的协议
masquerade: no # IP伪装 (只有内网IP地址的七七通过IP伪装上网)
forward-ports: # 端口转发,端口映射
source-ports: # 来源IP
icmp-blocks: # icmp块
rich rules: # 富规则,富语言规则
# 重新加载防火墙
[root@m01 ~]# firewall-cmd --reload
使用firewalld各个区域规则结合配置,跳转默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许
# 移除public区域的所有允许放行的规则
[root@m01 ~]# firewall-cmd --remove-service=ssh --remove-service=dhcpv6-client
# 将来源IP网段加入到trusted区域中
[root@m01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted
# 查看正在使用的区域
[root@m01 ~]# firewall-cmd --get-active-zones
public
interfaces: eth0
trusted
sources: 10.0.0.0/24
查询pubic区域是否允许请求SSH HTTPS协议的流量
[root@m01 ~]# firewall-cmd --zone=public --query-service=https
no
[root@m01 ~]# firewall-cmd --zone=public --query-service=zabbix-server
no
#!/bin/bash
service_name=$1
res=`firewall-cmd --zone=public --query-service=$service_name`
if [ $res == 'no' ];then
firewall-cmd --zone=public --add-service=$service_name
else
echo "$service_name 已经被放行,无需重复执行..."
fi
防火墙放行自定义服务
# 复制ssh.xml
[root@m01 ~]# cp /usr/lib/firewalld/services/{ssh,sersync}.xml
# 添加自定义服务的xml文件
[root@m01 ~]# vim /usr/lib/firewalld/services/keep.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>sersync</short>
<description>xxxxx.....</description>
<port protocol="tcp" port="874"/>
</service>
# 添加自定义服务名
[root@m01 ~]# firewall-cmd --add-service=sersync
firewalld防火墙端口转发策略
# 端口创发公式
firewalld-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议 >:toport=<目标端口号>:toaddr=<目标IP地址>
firewall-cmd --permanent --zone=public --add-forward-port=port=8888:proto=tcp:toport=80:toaddr=172.16.1.7
# 开启ip伪装
[root@m01 ~]# firewall-cmd --add-masquerade
firewalld副语言规则
firewalld中的副语言则表示更加细致,更详细的防火墙策略配置,他可以针对系统服务、端口号、原地址和目标路径等诸多信息进行更有针对性的策略配置,优先级在所有防火墙策略也是最高的
下面为firewalld副语言规则帮助
[root@m01 ~]# man firewall-cmd
[root@m01 ~]# man firewalld.richlanguage
# 副语言规则相关命令
--add-rich-rule='<RULE>' #在指定的区域添加一条富语言规则
--remove-rich-rule='<RULE>' #在指定的区删除一条富语言规则
--query-rich-rule='<RULE>' #找到规则返回0,找不到返回1
--list-rich-rules #列出指定区里的所有富语言规则
1.允许10.0.0.1主机能够访问http服务,允许172.16.1.0/24能够访问10050端口
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1" service name=http accept'
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="172.16.1.0/24" port port="10050" protocol="tcp" accept'
2.默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'
3.使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务
[root@m01 ~]# firewall-cmd --remove-service=ssh
[root@m01 ~]# firewall-cmd --add-service={http,https}
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=ssh accept'
4 当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口
[root@m01 ~]# firewall-cmd --add-masquerade
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.7"'
5.查看设定的规则,如果没有添加--permanent参数则重启firewalld会失效。富规则按先后顺序匹配,按先匹配到的规则生效
[root@m01 ~]# firewall-cmd --list-rich-rules
rule family="ipv4" source address="10.0.0.1" service name="http" accept
rule family="ipv4" source address="172.16.1.0/24" service name="ssh" drop
rule family="ipv4" source address="10.0.0.1" service name="ssh" accept
rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.9"
浙公网安备 33010602011771号