Firewalld
RHEL 7系统中集成了多款防火墙管理工具,其中firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。firewalld中常见的区域名称(默认为public)以及相应的策略规则
区域 | 默认规则策略 |
---|---|
trusted | 允许所有的数据包 |
public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量 |
drop | 拒绝流入的流量,除非与流出的流量相关 |
终端管理工具
命令行终端是一种极富效率的工作方式,firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。
firewall防火墙常用配置
1、firewall-cmd --get-default-zone #查看firewalld服务当前所使用的区域(默认应该是public)
2、firewall-cmd --get-zone-of-interface=eno16777728 #查询eno16777728网卡当前在firewalld服务中的区域(默认也应该是public)
3、firewall-cmd --permanent --zone=external --change-interface=eno16777728 #把firewalld服务中eno16777728网卡的默认区域修改为external,并在系统重启后永久生效。
4、firewall-cmd --get-zone-of-interface=eno16777728 #查看eno16777728网卡在当前的区域(应该仍为public)
5、firewall-cmd --permanent --get-zone-of-interface=eno16777728 #查看eno16777728网卡在永久模式下的区域(应该为external)
6、firewall-cmd --set-default-zone=public #把firewalld服务的当前默认区域设置为public
7、firewall-cmd --get-default-zone #查看firewall当前默认区域
8、firewall-cmd --panic-on #启动firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用)
9、firewall-cmd --panic-off #关闭firewall防火墙服务的应急状况模式
10、firewall-cmd --zone=public --query-service=ssh #查询public区域当前是否允许SSH服务的流量(查到为yes)
11、firewall-cmd --zone=public --query-service=https #查询public区域当前是否允许HTTPS服务的流量(查到为no)
12、firewall-cmd --zone=public --add-service=https #设置public区域当前允许请求HTTPS服务的流量通过
13、firewall-cmd --permanent --zone=public --add-service=https #设置piblic区域允许请求HTTPS服务的流量通过,永久生效
14、firewall-cmd --reload #让firewall服务永久模式下的策略设置立即生效
15、firewall-cmd --permanent --zone=public --remove-service=http #设置public区域禁止HTTP服务的流量通过,永久生效
16、firewall-cmd --reload
17、firewall-cmd --zone=public --add-port=8080-8081/tcp #设置public区域当前访问8080-8081端口的流量策略设置为允许
18、firewall-cmd --zone=public --list-ports #查看public区域当前允许通过的端口
流量转发命令格式:
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>