firewalld

#######firewalld##### 1.Firewalld概述 动态防火墙后台程序firewalld提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任.它具备对IPv4和IPv6防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通 向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。 firewalld和iptables service 之间最本质的不同是: iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里. 使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。 2.网络区名称 默认配置 trusted(信任)     可接受所有的网络连接 home(家庭)        用于家庭网络,仅接受ssh、mdns、ipp-client、samba-client、或dhcpv6-client服务连接 internal(内部)    用于内部网络,仅接受ssh、mdns、ipp-client、samba-client、dhcpv6-client服务连接 work(工作)        用于工作区,仅接受ssh、ipp-client或dhcpv6-client服务连接 public(公共)      在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域 external(外部)    出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接 dmz(非军事区)      仅接受ssh服务接连 block(限制)       拒绝所有网络连接 drop(丢弃)        任何接收的网络数据包都被丢弃,没有任何回复 systemctl stop firewalld    ##关闭firewalld火墙 systemctl start firewalld   ##打开firewalld火墙 systemctl disable firewalld ##阻止开机启动firewalld火墙 systemctl enable firewalld  ##允许开机启动firewalld火墙

systemctl mask firewalld    ##冻结火墙服务

3.使用命令行接口配置防火墙

firewall-cmd --state                      ##查看firewalld的状态

firewall-cmd --get-active-zones           ##查看当前活动的区域,并附带一个目前分配给它们的接口列表

firewall-cmd --get-default-zone           ##查看默认区域

firewall-cmd --get-zones                  ##查看所有可用区域

firewall-cmd --zone=public --list-all     ##列出指定域的所有设置

firewall-cmd --get-services               ##列出所有预设服务

(这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意:配置文件是以服务本身命名的service-name.xml)

firewall-cmd --list-all-zones         ##列出所有区域的设置

firewall-cmd --set-default-zone=dmz   ##设置默认区域

firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24  ##设置网络地址到指定的区域 (--permanent参数表示永久生效设置,如果没有指定--zone参数,那么会加入默认区域)

firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24  ##删除指定区域中的网路地址

firewall-cmd --permanent --zone=internal --add-interface=eth0    ##添加网络接口

firewall-cmd --permanent --zone=internal --change-interface=eth0 ##改变网络接口

firewall-cmd --permanent --zone=internal --remove-interface=eth0 ##删除网络接口

firewall-cmd --permanent --zone=public --add-service=smtp      ##添加服务

firewall-cmd --permanent --zone=public --remove-service=smtp   ##删除服务

firewall-cmd --zone=public --list-ports       ##列出端口

firewall-cmd --permanent --zone=public --add-port=8080/tcp   ##添加端口

firewall-cmd --permanent --zone=public --remove-port=8080/tcp ##删除端口

firewall-cmd --reload     ##重载防火墙

(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项) 4.Direct Rules 通过 firewall-cmd 工具,可以使用 --direct 选项在运行时间里增加或者移除链。如果不熟悉 iptables ,使用直接接口非常危险,因为您可能无意间导致防火墙被入侵。直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用。 firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j ACCEPT  ##添加规则 firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport 80 -j ACCEPT  ##删除规则 firewall-cmd --direct --get-all-rules   ##列出规则 firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.24 -p tcp --dport 22 -j ACCEPT

##添加除了24主机以外的主机都可以访问

测试：18主机不可以访问

5.Rich Rules 通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分区,也仍然支持现行的配置方式。 添加规则:

firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept'  ##允许172.25.0.10主机所有连接。

测试：18主机可以进行所有访问

firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'   ##每分钟允许2个新连接访问ftp服务。 firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'  ##同意新的IPv4和IPv6连接FTP,并使用审核每分钟登录一次。 firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24"service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'   ##允许来自172.25.0.0/24地址的新IPv4连接连接TFTP服务,并且每分钟记录一次。 firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'   ##丢弃所有icmp包 伪装: firewall-cmd --permanent --zone=< ZONE > --add-masquerade firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source

addres=172.25.0.10/24 masquerade'

测试：可实现两个不同网段的IP的互相连接

端口转发: firewall-cmd --permanent --zone=< ZONE > --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.0.10

firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 forward-port port=22 protocol=tcp to-port=22'

测试：连接118主机，实际连接的是18主机