概述:
动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙
设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables 工具与执行数据包筛选的内核中的 Netfilter通信。 firewalld和iptables service 之间最本质的不同是: • iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里. • 使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。安装防火墙软件: # yum install -y firewalld firewall-config 启动和禁用防火墙: # systemctl start firewalld ; systemctl enable firewalld # systemctl disable firewalld ; systemctl stop firewalld
1:配置火墙
查看firewalld的状态: # firewall-cmd --state 查看当前活动的区域,并附带一个目前分配给它们的接口列表: # firewall-cmd --get-active-zones 查看默认区域: # firewall-cmd --get-default-zone 查看所有可用区域: # firewall-cmd --get-zones
#firewall-cmd --zone=public --list-all 列出所有预设服务: # firewall-cmd --get-services (这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意:配置文件是以服务本身命名的 service-name. xml)
列出所有区域的设置: # firewall-cmd --list-all-zones
trusted( 信任 ) 可接受所有的网络连接 home( 家庭 ) 用于家庭网络,仅接受ssh、mdns、ipp-client、samba-client、或dhcpv6- client服务连接 internal( 内部 ) 用于内部网络,仅接受ssh、mdns、ipp-client、samba-client、dhcpv6client 服务连接 work( 工作 ) 用于工作区,仅接受ssh、ipp-client或dhcpv6-client服务连接 public( 公共 ) 在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认 区域 external( 外部 ) 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接 dmz( 非军事区 ) 仅接受ssh服务接连 block( 限制 ) 拒绝所有网络连接 drop( 丢弃 ) 任何接收的网络数据包都被丢弃,没有任何回复
设置默认区域:
# firewall-cmd --set-default-zone=dmz 设置网络地址到指定的区域: # firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24 (--permanent参数表示永久生效设置,如果没有指定--zone参数,那么会加入默认区域) 删除指定区域中的网路地址: # firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24添加、改变、删除网络接口: # firewall-cmd --permanent --zone=internal --add-interface=eth0 # firewall-cmd --permanent --zone=internal --change-interface=eth0 # firewall-cmd --permanent --zone=internal --remove-interface=eth0 添加、删除服务: # firewall-cmd --permanent --zone=public --add-service=smtp # firewall-cmd --permanent --zone=public --remove-service=smtp www.westos.org 8列出、添加、删除端口: # firewall-cmd --zone=public --list-ports # firewall-cmd --permanent --zone=public --add-port=8080/tcp # firewall-cmd --permanent --zone=public --remove-port=8080/tcp 重载防火墙: # firewall-cmd --reload (注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)
firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到配置防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认模板。
通过 firewall-cmd 工具,可以使用 --direct 选项在运行时间里增加或者移除链。如果不熟悉 iptables ,使用直接接口非常危险,因为您可能无意间导致防火墙被入侵。 直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用
添加一项规则:
firewall-cmd [--zone=zone] --add -rich-rule='rule' [--timeout=seconds]
移除一项规则: firewall-cmd [--zone=zone] --remove-rich-rule='rule' 检查一项规则是否存在: firewall-cmd [--zone=zone] --query-rich-rule='rule' 这将复查是否已经为区域增加一个多语言规则 。如果可用,屏幕会显示 yes,退出状态为0; 否则,屏幕显示 no ,退出状态为 1。如果省略 zone,默认区域将被使用。 列出所有多语言规则: firewall-cmd --list-rich-rules
添加规则: # firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.254.16" accept' 允许172.25.0.10主机所有连接。 # firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept' 每分钟允许2个新连接访问ftp服务。 # firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept' 同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。 # firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24" service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept' 允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。
地址 伪装:
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-masquerade #打开地址伪装 success [root@localhost ~]# firewall-cmd --reload success
[root@localhost ~]# firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=172.25.254.16 masquerade' ##伪装 success [root@localhost ~]# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.16 ##端口转发
