firewalld
服务开启
如果主机里本身开启的是iptables管理服务,更改为firewalld
1 firewalld的开启
systemctl stop iptables
systemctl disable iptables
systemctl mask iptables
systemctl unmask firewalld
systemctl enable --now firewalld
firewalld的域
firewalld域 | 说明 |
---|---|
trusted | 接受所有的网络连接 |
home | 用于家庭网络,允许接受服务:ssh mdns ipp-client samba-client dhcp-client |
work | 工作网络 ,允许接受服务:ssh ipp-client dhcp-client |
public | 公共网络 ,允许接受服务:ssh dhcp-client |
dmz | 军级网络,允许接受服务:ssh |
block | 拒绝所有 |
drop | 丢弃所有数据全部丢弃无任何回复 |
internal | 内部网络, 允许接受服务:ssh mdns ipp-client samba-client dhcp-client |
external | ipv4网络地址伪装转发 sshd |
firewalld的设定原理及数据存储
firewalld设定都是通过 firewall-cmd 命令写入的配置生效
/etc/firewalld 火墙配置目录
/lib/firewalld 火墙模块目录
例如firewalld域设定可以直接在 /etc/firewalld/firewalld.conf 里直接修改域的模式
在 /etc/firewalld/zones/public.xml 里可以写入或查看火墙允许服务的名称
/lib/firewalld 里有写所有可使用的服务的模块,还有所有域的说明
firewalld的管理命令演示
-
firewall-cmd --state ##查看火墙状态
-
firewall-cmd --get-active-zones ,查看当前火墙中生效的域
firewall-cmd --get-default-zone ,查看默认域
firewall-cmd --set-default-zone=trusted ,设定默认域
-
firewall-cmd --list-all ,查看默认域中的火墙策略
firewall-cmd --list-all --zone=work ,查看指定域的火墙策略
firewall-cmd --get-services,查看所有可以设定的服务,这里看到的服务都是在 /lib/firewalld/services/ 目录下有描述的,如果自己想添加里面默认没有的服务可以按照 /lib/firewalld/services/ 里的模板自己写一个,让火墙加载
-
firewall-cmd --permanent --remove-service=cockpit ##移除服务
firewall-cmd --reload
-
firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block ##指定数据来源访问指定域,加参数 --permanent 永久写入配置中
firewall-cmd --reload ,加载数据
然后使用192.168.31网段的主机访问测试
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除自定域中的数据来源
-
修改网卡接口的域
firewall-cmd --get-active-zones,查看当前火墙中生效的域,ens192是172.25.254网段的,ens160是192.168.31网段的
firewall-cmd --permanent --remove-interface=ens192 --zone=public ##删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens192 --zone=block ##添加指定域的网络接口
firewall-cmd --permanent --change-interface=ens192 --zone=public ##更改网络接口到指定域
firewalld的高级规则
firewall-cmd --direct --get-all-rules,查看高级规则
测试写入规则,写法类似iptables的方式:
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.0/24 -p tcp --dport 22 -j ACCEPT,表示允许在filter表的INPUT里添加172.25.254.0网段可以通过tcp协议的22端口访问
firewalld中的NAT
-
SNAT,路由后地址伪装
firewall-cmd --permanent --add-masquerade,开启地址伪装功能
firewall-cmd --reload
测试在172.25.254.40主机连接192.168.31.30
-
DNAT,路由前地址伪装
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.40,将22端口进来的数据转到40主机去
firewall-cmd --reload
测试连接设置火墙的主机ip,真实连接的是172.25.254.40主机