目录
3:firewalld 与iptables service 的区别
四: Firewalld 防火墙 firewall-cmd 命令设置
(4).将网络接口ens160 对应区域更改为 internal 区域
一. Firewalld 防火墙概述
1. Firewalld 简介
firewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则告诉 netfilter 对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式为了更加方便地组织和管理防火墙,firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4、IPv6 防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。
2:firewalld 和 iptables 的关系
firewalld 自身并不具备防火墙的功能,而是和 iptables 一样需要通过内核的 netfilter 来实现。也就是说 firewalld 和 iptables 一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的 netfilter,只不过 firewalld 和 iptables 的结构以及使用方法不一样罢了。
系统提供了图形化的配置工具 firewal1-config、system-config-firewal,提供命令行客户端firewall-cmd,用于配置 firewalld 永久性或非永久性运行时间的改变:它依次用 iptables 工具与执行数据包筛选的内核中的 Netfilter 通信。firewalld 和 iptables 的逻辑关系如图所示:
从图中可以看到,iptables 服务和 firewalld 都是通过 iptables 命令与内核的 netfilter 进行交互的。在 Euler 系统中,我们仍然可以使用 iptables 命令来管理我们的防火墙。唯一不同的是当我们重启服务器或重启 firewalld 时,iptables 命令管理的规则不会自动加载,反而会被 firewalld的规则代替。
3:firewalld 与iptables service 的区别
iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld 将配置储存在/usr/lib/firewalld/和/etc/firewalld/ 中的各种 XML 文件里。
使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld 却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld 可以在运行时间内,改变设置而不丢失现行连接。
二:Firewalld 网络区域
| 区域 | 默认策略规则 |
|---|---|
| trusted(受信任) | 允许所有的数据包 |
| home(家庭) | 拒绝流入的流量,除非与流出的流量相关;如果流量与 ssh、mdns、ipp-client、amba-client、dhcpv6-client 服务相关,则允许流量 |
| internal(内部) | 等同于 home 区域 |
| work(工作) | 拒绝流入的流量,除非与流出的流量相关;如果流量与 ssh、ipp-client、dhcpv6-client 服务相关,则允许流量 |
| public(公共(默认)) | 拒绝流入的流量,除非与流出的流量相关;如果流量与 ssh、dhcpv6-client 服务相关,则允许流量 |
| external(外部网络) | 拒绝流入的流量,除非与流出的流量相关;如果流量与 ssh 服务相关,则允许流量 |
| dmz(管制区) | 拒绝流入的流量,除非与流出的流量相关;如果流量与 ssh 服务相关,则允许流量 |
| block(阻止) | 拒绝流入的流量,除非与流出的流量相关 |
| drop(丢弃) | 拒绝流入的流量,除非与流出的流量相关 |
三:Firewalld 防火墙图形配置方法
在 Euler 系统中,可以使用三种方式配置 firewalld 防火墙:
- firewall-config 图形工具。
- firewall-cmd 命令行工具。
- /etc/firewalld/中的配置文件。
通常情况下,不建议直接编辑配置文件。所以我们只介绍 firewall-config 图形工具与 firewall-cmd 命令行工具的配置方法。
firewall-config 图形化配置工具支持防火墙所有的特性,系统管理员可以通过它来改变系统或用户策略。通过 firewall-config 图形化配置工具,可以实现配置防火墙允许通过的服务、端口、伪装、端口转发、ICMP 过滤器等功能。可以通过以下命令安装图形化配置工具:
1.“区域”选项
“区域”选项卡是一个主要设置的界面。“区域”选项卡下面还包含服务、端口、协议、源端口、伪装等一系列子选项卡。所以说,区域是服务、端口、协议、IP 伪装、ICMP 过滤等组合的意思,同时区域也可以绑定到接口和源地址。
“服务”子选项卡:“服务”子选项卡可以定义区域中哪些服务是可信的,可信的服务可以被绑定到该区域的任意连接、接口和源地址访问。
“端口”子选项卡:“端口”子选项卡用于设置允许访问的主机或网络访问的端口范围
“协议”子选项卡:用于添加所有主机或网络均可访间的协议
“伪装”子选项卡:用于把私有网络地址映射到公有的IP地址,该功能目前只适用于IPv4。
“端口转发”子选项卡:“端口转发”子选项卡可以将指定端口映射到另一个端口或其他主机的指定端口。
“ICMP 过滤器”子选项卡:ICMP 主要用于在联网的计算机间发送出错信息,但也发送类似 ping 请求以及回应等信息。在“ICMP过滤器”子选项卡中可以选择应该被拒绝的 ICMP 类型,其他所有的 ICMP 类型则被允许通过防火墙。默认设置是没有限制。
2.“服务”选项卡
服务是端口、协议、模块和目标地址的组合,并且“服务”选项卡只能在“永久”配置视图中修改。
运行时”配置中的服务是不可以修改的。与“区域”选项卡不同,“服务”选项卡仅包含五个子选项卡。
其中,“端口” “协议” “源端口”这些子选项卡的作用及配置方法与“区域”选项卡中的相同。
“模块”子选项卡:用于设置网络过滤的辅助模块。
“目标地址”子选项卡:如果某服务指定了目标地址,服务项目仅限于目标地址和类型,如果IP4与IPv6均为空,则没有限制。
3.改变防火墙设置
要立刻改变现在的防火墙设置,须确定当前视图设定在运行时。
在运行时(Runtime)模式下更改防火墙的设定时,一旦您启动或者清除连接服务器的复选框,选择立即生效。在 Permanent 模式下更改防火墙的设定,仅仅在重新加载防火墙或者系统重启之后生效。可以使用文件菜单下的重新加载图标,或者点击 选项菜单,选择重新加载防火墙。
4.修改默认分区
要设定一个将要被分配新接口的分区作为默认值,则启动 firewa11-config,从菜单栏选择选项卡由下拉菜单中选择修改默认区域,出现默认区域窗口如图所示。从给出的列表中选择您需要用的分区作为默认分区,点击确定按钮即可。
四: Firewalld 防火墙 firewall-cmd 命令设置
1.获取预定义信息
firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞类型,体的查看命令如下所示。
2.区域整理
使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。下表中列出了 firewall-cmd 命令的区域管理选项说明。
| 选项 | 说明 |
|---|---|
--get-default-zone | 显示网络连接或接口的默认区域 |
--set-default-zone=<zone> | 设置网络连接或接口的默认区域 |
--get-active-zones | 显示已激活的所有区域 |
--get-zone-of-interface=<interface> | 显示指定接口绑定的区域 |
--zone=<zone> --add-interface=<interface> | 为指定接口绑定区域 |
--zone=<zone> --change-interface=<interface> | 为指定的区域更改绑定的网络接口 |
--zone=<zone> --remove-interface=<interface> | 为指定的区域删除绑定的网络接口 |
--list-all-zones | 显示所有区域及其规则 |
[--zone=<zone>] --list-all | 显示指定区域的所有规则(若未指定区域,则显示所有区域规则) |
(1).显示当前系统中的默认区域
(2).显示默认区域的所有规则
(3).显示网络接口 ens160 对应区域
(4).将网络接口ens160 对应区域更改为 internal 区域
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens160
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens160(5).显示所有激活区域
3.服务管理
firewalld 预先定义了很多服务,存放在/usr/lib/firewalld/services/ 日录中,服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如ssh 服务等。与之对应的配置文件中记录了各项服务所使用的tcp/udp 端口。在最新版本的 firewalld 中默认已经定义了 70 多种服务供我们使用,对于每个网络区域,均可以配置允许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将 service 配置文件放置在/etc/firewalld/services/目录中。
下表列出了 firewall-cmd 命令区域中服务管理的常用选项说明:
| 参数 | 作用 |
|---|---|
--get-default-zone | 查看默认的区域名称 |
--set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
--get-zones | 显示可用的区域 |
--get-services | 显示预定义的服务 |
--get-active-zones | 显示当前正在使用的区域、来源地址和网卡名称 |
--add-source=<IP或子网> | 将源自此IP或子网的流量导向指定的区域 |
--remove-source=<IP或子网> | 不再将源自此IP或子网的流量导向这个区域 |
--add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
--change-interface=<网卡名称> | 将某个网卡与区域进行关联 |
--list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
--list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
--add-service=<服务名> | 设置默认区域允许该服务的流量 |
--add-port=<端口号/协议> | 设置默认区域允许该端口的流量 |
--remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
--remove-port=<端口号/协议> | 设置默认区域不再允许该端口的流量 |
--reload | 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则 |
--panic-on | 开启应急状况模式 |
--panic-off | 关闭应急状况模式 |
(1).为默认区域设置允许访问的服务
[root@localhost ~]# firewall-cmd --list-services //显示默认区域内允许访问的所有服务
dhcpv6-clientssh
[root@localhost ~]# firewall-cmd --add-service=http //设置默认区域允许访问 http 服务
success
[root@localhost ~]# firewal1-cmd --add-service=https //设置默认区域允许访问https 服务
success
[root@localhost ~# firewal1-cmd --list-services
dhcpv6-client ssh http https(2).为 internal 区域设置允许访问的服务
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql
//设置 internal 区域允许访问 mysq1 服务
success
[root@localhost~]# firewall-cmd --zone=internal--remove-service=samba-client
//设置 internal 区域不允许访问 samba-client 服务
success
[root@localhost ~]# firewall-md --zone=internal --list-services
//显示 internal 区域内允许访问的所有服务
ssh mdns dhcpv6-client mysql4.端口管理
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作即可实现在 internal 区域打开 443/TCP 端口。
[root@localhost ~]# firewall-cmd --zone=internal:--add-port=443/tcp
success若想实现在 internal 区域禁止 443/TCP 端口访问,可执行以下命令
[root@localhost ~]# firewall-cmd --zone=internal --remove-port=443/tcp
success五. Firewalld 防火墙案例
+-------------------+ +---------------------+ +-------------------+
| | | | | |
| Internet测试机 |-------| 网关服务器 |-------| 内网服务器 |
| Linux | | Linux | | Linux |
| 100.1.1.20/24 | | | | 192.168.2.10/24 |
| | | ens160:100.1.1.10/24| | 网关:192.168.2.1|
+-------------------+ | (external) | +-------------------+
| |
|ens224:192.168.1.1/24|
| (dmz) |
| |
|ens226:192.168.2.1/24|
| (trusted) |
+---------------------+
|
|
+-------------------+
| |
| 内网测试机 |
| Windows |
| 192.168.1.10/24 |
| 网关:192.168.1.1|
+-------------------+
本案例需求描述如下:
- 网关服务器 ens160 网卡分配到 external(外部)区域,ens226 网卡分配到 trusted(信任)区域,ens38 网卡分配到 dmz(非军事)区域
- 网站服务器和网关服务器将 SSH 默认端口都改为 12345
- 网站服务器开启 https,过滤未加密的 http 流量,且拒绝拒绝 ping
1.开启网关服务器路由转发功能
编辑/etc/sysctl.conf文件,添加以下内容:
[root@gateway-server ~l#vi /etc/sysctl.conf
net.ipv4.ip forward=1
[root@gateway-server ~]# sysctl -p //保存文件后,执行命令使配置生效:2.网站服务器主机名配置
[root@localhost ~l# hostnamectl set-hostname web
[root@localhost ~]# bash3.网站服务器环境的搭建
(1).验证 firewalld 服务状态在网站服务器上是否启动且正常运行:
[root@web ~]# systemctl status firewalld(2).安装httpd 和 mod ssl 软件包
[root@web ~]# yum install -y httpd mod ssl(3).启用井启动 httpd 服务
[root@web ~]# systemctl start httpd
[root@web ~]# systemctl enable httpd(4).创建网站首页测试页
[root@web ~]# vi /var/www/html/index.html
test web(5).更改ssh 的监听端口,并重启服务,关闭 SELinux
[root@web ~]# setenforce 0
[root@web ~]# vi /etc/ssh/sshd_config
Port 12345
[root@web ~]# systemctl restart sshd3.在网站服务器上配置 firewalld 防火墙
(1).设置默认区域为 dmz 区域
[root@web ~]# firewall-cmd --set-default-zone=dmz(2).为 dmz 区域打开 https 服务并添加 TCP 的 12345 端口
[root@web ~]# firewal1-cmd --zone=dmz--add-service=https --permanent
[root@web ~]# firewal1-cmd --zone=dmz--add-service=http --permanent
[root@web ~]# firewal1-cmd --zone=dmz --add-port=12345/tcp --permanent(3).禁止 ping
[root@web ~]# firewal1-cmd --add-icmp-block=echo-request --zone=dmz --permanent(4).因为预定于的 ssh 服务已经更改了端口,所以要将预定于 ssh 服务移除,并重新加载firewalld 配置
[root@web ~]# firewall-cmd --zone=dmz --remove-service=ssh --permanent
[root@web ~]# firewall-cmd --reload
[root@web ~]# firewal1-cmd --list-all
dmz(active)
target:default
icmp-block-inversion:no
interfaces:ens160
sources:
services:https
ports:12345/tcp
protocols:
masquerade:no
forward-ports:
sourceports:
icmp-blocks:echo-request
rich rules:4.在网关服务器上配置 firewalld 防火墙
(1).验证 firewalld 在网关服务器上是否启动并且正在运行
[root@gateway-server ~]# systemctl status firewalld(2).设置默认区域为 externa1 区域,并查看配置结果
[root@gateway-server ~]# firewal1-cmd --set-default-zone=external
[root@gateway-server ~]#firewall-cmd --list-all
external(active)
target: default
icmp-block-inversion:no
interfaces:ens160 ens224 ens226
sources:
services:ssh
ports:
protocols:
masquerade:yes
forward-ports:
sourceports :
icmp-blocks :
rich rules :(3).将ens224 网卡配置到 trusted 区域,将 ens226 配置到 dmz 区域,查看配置情况
[root@gateway-server ~]# firewal1-cmd --change-interface=ens224 --zone=trusted --permanent
[root@gateway-server ~]# firewal1-cmd --change-interface=ens226 --zone=dmz --permanent
[root@gateway-server ~]# firewall-cmd --get-active-zone
dmz
interfaces:ens226
external
interfaces:ens160
trusted
interfaces:ens224(4).在企业内网测试计算机上访问网站服务器
https:192.168.2.10
(5).关闭 SELinux,更改 ssh 的监听端口,并重启服务
[root@gateway-server ~]# setenforce 0
[root@gateway-server ~l#vi /etc/ssh/sshd config
Port 12345
[root@gateway-server ~]#systemctl restart sshd(6).配置 external 区域
配置 external 区域添加 TCP 的 12345 端口
[root@gateway-server ~]# firewall-cmd --zone=external --add-port=12345/tcp --permanent
配置external 区域移除 ssh 服务
[root@gateway-server ~]# firewal1-cmd --zone=external --remove-service=ssh --permanent
配置externa1 区域禁止 ping
[root@gateway-server ~]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent(7).重新加载防火墙配置
[root@gateway-server ~]# firewall-cmd --reload(8).测试
在互联网测试机上通过 ssh 登录网关外部接口地址的 12345 端口
[root@localhost ~]# ssh -p 12345 100.1.1.10
在企业内网测试机上 ssh 登录 web 网站服务器的 12345 端口
[root@localhost ~]# ssh -p 12345 192.168.2.10
扫一扫
679
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
