本章主要介绍RHEL8中的firewalld的配置。
- firewalld中的名词介绍
- firewalld的基本配置配置
- firewalld的规则添加
- firewalld的富规则
25.1 了解 firewalld
在RHEL8中用的防火墙是firewalld,在 firewalld中又涉及zone的概念。首先来了解一下
什么是zone。
如在进地铁或高铁时需要安检,安检有不同的入口,如图25-1所示。
不同的入口严格度不一样,有的入口大包小包都要检测;有的入口只要检测大包即可,背
包或单肩包就不用检测了;有的入口是绿色通道,不用检测直接通过。这里不同的安检入口制
定了不同的规则。
同理,firewalld中的zone我们就理解为如上的安检入口,不同的zone中制定了不同的规
则。某网卡要和某一个zone进行关联,如图25-2所示,ens160和 zone2进行关联,这样从
网卡ens160进来的数据包都要使用zone2中的过滤规则。
25.2 firewalld的基本配置
查看系统中有多少个 zone,命令如下。
[root@pp ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt nm-shared public trusted work
[root@pp ~]#
在这许多的zone中,其中 block拒绝所有的数据包通过,trusted允许所有的数据包通
过。所以,如果把网卡和 trusted关联,则来自这张网卡的数据包都能通过。
查看系统默认的 zone,命令如下。
[root@pp ~]# firewall-cmd --get-default-zone
public
[root@pp ~]#
可以看到,默认的zone是 public。
把默认的zone修改为trusted,命令如下。
[root@pp ~]# firewall-cmd --set-default-zone=trusted
success
[root@pp ~]# firewall-cmd --get-default-zone
trusted
[root@pp ~]#
再次把默认的zone改成public,命令如下。
[root@pp ~]# firewall-cmd --set-default-zone=public
success
[root@pp ~]# firewall-cmd --get-default-zone
public
[root@pp ~]#
25.3 配置firewalld的规则
网卡在哪个zone中就使用那个zone 中的规则,如果网卡不属于任何zone,则使用默认
的zone中的规则。
一个zone中的规则可以通过“firewall-cmd --list-all --zone=zone名”来查看,如果不
指定zone,则是默认的zone.
现在查看 public这个 zone中的规则,命令如下。
[root@pp ~]# firewall-cmd --list-all --zone=public
public (active)
target: default
icmp-block-inversion: no
interfaces: ens160 virbr0
sources:
services: cockpit dhcpv6-client ssh
ports: 123/udp 323/udp 20-21/tcp 10010-10020/tcp
protocols:
forward: no
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@pp ~]#
因为默认的zone就是 public,所以这里即使不加--zone=public选项,显示的也是
public这个zone中的规则。
我们看一下最常用的一些设置。
25.3.1 icmp-blocks
平时测试网络通或不通是用ping进行测试的,使用 
的是 icmp 协议,如图25-3所示。
icmp有很多类型的数据包,ping的时候用的是以
下两种。
(1)echo-request:我ping对方时发出去的包。
(2)echo-reply:对方回应我的包。
一共有多少种类型的icmp包,可以通过“firewall-cmd --get-icmptypes”来查看。
在server 上执行 tcpdump命令进行抓包,命令如下。
[root@pp ~]# tcpdump -i ens160 icmp
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens160, link-type EN10MB (Ethernet), capture size 262144 bytes
在server2 上ping server的IP两次,命令如下。
[root@up ~]# ping 192.168.248.45 -c2
然后到server上查看,命令如下。
[root@pp ~]# tcpdump -i ens160 icmp
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens160, link-type EN10MB (Ethernet), capture size 262144 bytes
quit11:03:05.062254 IP 192.168.248.23 > pp: ICMP echo request, id 3009, seq 1, length 64
11:03:05.062378 IP pp > 192.168.248.23: ICMP echo reply, id 3009, seq 1, length 64
11:03:06.075319 IP 192.168.248.23 > pp: ICMP echo request, id 3009, seq 2, length 64
11:03:06.075360 IP pp > 192.168.248.23: ICMP echo reply, id 3009, seq 2, length 64
11:03:51.859724 IP 192.168.248.23 > pp: ICMP echo request, id 3020, seq 1, length 64
11:03:51.859836 IP pp > 192.168.248.23: ICMP echo reply, id 3020, seq 1, length 64
这里server2往server发送了两个echo-request包,server均回应了echo-reply包。
在server上用防火墙设置拒绝别人发过来的echo-request包,命令如下。
[root@pp ~]# firewall-cmd --add-icmp-block=echo-request
success
[root@up ~]#
[root@pp ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens160 virbr0
sources:
services: cockpit dhcpv6-client ssh
ports: 123/udp 323/udp 20-21/tcp 10010-10020/tcp
protocols:
forward: no
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@pp ~]#
此时,server就不再接收别人发过来的echo-request包了,然后到server2再次 ping,命
令如下。
[root@up ~]# ping 192.168.248.45 -c2
PING 192.168.248.23 (192.168.248.23) 56(84) bytes of data.
From 192.168.248.23 icmp_seq=1 Packet filtered
From 192.168.248.23 icmp_seq=2 Packet filtered
--- 192.168.248.23 ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1011ms
[root@pp ~]#
可以看到,在server2上已经 ping不通server 了。
如果要想继续ping操作,就取消对应的设置,命令如下。
[root@up ~]# ping 192.168.248.45 -c2
PING 192.168.248.45 (192.168.248.45) 56(84) bytes of data.
64 bytes from 192.168.248.45: icmp_seq=1 ttl=64 time=0.245 ms
64 bytes from 192.168.248.45: icmp_seq=2 ttl=64 time=0.261 ms
--- 192.168.248.45 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1063ms
rtt min/avg/max/mdev = 0.245/0.253/0.261/0.008 ms
[root@up ~]#
25.3.2 services
两台主机通信必须使用某个协议,例如,浏览器访问网站用的是http,远程登录到Linux
服务器用的是ssh 协议等。
默认情况下,public这个 zone只允许很少的服务通过,如下所示
[root@pp ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens160 virbr0
sources:
services: cockpit dhcpv6-client ssh
ports: 123/udp 323/udp 20-21/tcp 10010-10020/tcp
protocols:
forward: no
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@pp ~]#
可以看到,这里没有允许http通过。如果要查看防火墙是否开放了某个协议,也可以通过
如下语法来查看。
1 firewall‐cmd ‐‐query‐service=服务名
再次验证http是否被firewall允许,命令如下。
[root@pp ~]# firewall-cmd --query-service=http
no
在server上通过yum install httpd -y安装httpd包,启动服务并写一些测试数据,命令如
下。
[root@pp ~]# systemctl start httpd
[root@pp ~]#
[root@pp ~]# echo "hello rhec" > /var/www/html/index.html
[root@pp ~]#
现在根本访问不了,这是因为server上的防火墙并不允许http的数据包通过,然
后在防火墙中开放http,命令如下。
[root@pp ~]# firewall-cmd --add-service=http
success
[root@pp ~]# firewall-cmd --query-service=http
yes
[root@pp ~]#
现在可以访问了
此时可以正常打开了。如果要从防火墙中把此服务删除,则可用--remove-service选项,
命令如下。
[root@pp ~]# firewall‐cmd ‐‐remove‐service=http
success
此时浏览器中是访问不了192.168.8.11的。
25.3.3 ports
前面介绍了对服务进行过滤与放行,这些服务使用的都是标准端口,例如,http对应的是
端口80,ssh对应的是端口22等。
但有时服务使用的是一个非标准端口,例如,把服务httpd的端口更改为8080。如果在防
火墙中只是放行http这个服务,本质上就是放行了端口80,此时用户肯定是访问不到Web服
务的,因为只能通过端口8080才能访问到Web 服务。下面做一下这个实验。
先临时关闭SELinux,命令如下。
[root@pp ~]# setenforce 0
[root@pp ~]# getenforce
Permissive
[root@pp ~]#
确保SELinux是处在Permissive模式的。
用如下命令把 httpd的端口替换为8080,并重启httpd服务,命令如下。
[root@pp ~]# sed -i '/^Listen/clisten 8080' /etc/httpd/conf/httpd.conf
[root@pp ~]#
首先在防火墙中放行http,命令如下。
[root@pp ~]# firewall-cmd --add-service=http
success
[root@pp ~]#
在浏览器中访问192.168.8.11:8080时访问不了
可以看到,访问失败,因为放行http也只是允许端口80而非端口8080。
把 http服务从防火墙中删除,命令如下。
[root@pp ~]# firewall-cmd --remove-service=http
success
[root@pp ~]#
下面开始放行端口,常用的语句如下。
(1) firewall-cmd --query-port=N/协议:查询是否开放了端口N。
(2)firewall-cmd --add-port=N/协议:开放端口N。
(3)firewall-cmd --remove-port=N/协议:删除端口N。这里的协议包括TCP、UDP
等。
在防火墙中添加端口,也可以添加一个范围。例如,要在防火墙中开放1000~-2000范围
的端口,可以用如下命令。
[root@pp ~]# firewall-cmd --add-port=1000-2000/tcp
success
[root@pp ~]#
这里“-”表示到的意思。
下面把端口8080放行,命令如下。
[root@pp ~]# firewall-cmd --add-port=8080/tcp
success
[root@pp ~]# firewall-cmd --query-port=8080/tcp
yes
[root@pp ~]#
然后就可以访问了
24.5 富规则
前面不管是对端口放行还是对服务放行,都会遇到一个问题就是,如果允许则是允许所有的
客户端,如果拒绝则是拒绝所有的客户端,有种一刀切的感觉。
有时需要设置只允许特定的客户端访问,其他客户端都不能访问,此时就需要使用到富规
则。
富规则可以对服务进行限制,也可以对端口进行限制。放行服务的语法如下。
1 firewall‐cmd ‐‐add‐rich‐rule='rule family=ipv4 source address=源网段
2 service name=服务名 accept'
这里用单引号或双引号均可,先查看现在是否有富规则。
[root@pp ~]# firewall-cmd --list-rich-rules
[root@pp ~]#
现在还没有任何富规则,下面开始创建富规则。
练习1:允许192.168.26.1访问本机的 http服务,其他客户端都不能访问。
先确保在防火墙的services中没有添加 http,否则所有的客户端都能访问了。
[root@pp ~]# firewall-cmd --query-service=http
no
[root@pp ~]#
现在确定在services中是没有添加 http的,所以现在所有客户端都是被拒绝访问的。下面
开始添加富规则,命令如下。
[root@server ~]# firewall-cmd --add-rich-rule="rule family=ipv4 source
address=192.168.8.1 service name=http accept" 
success
[root@server ~]#
在192.168.26.1(笔记本电脑)上用浏览器
访问server(P地址是192.168.26.101),结果如图
25-8所示。
在server2访问不了
可以看到,访问不了。查看现有富规则,命令如下。
[root@pp ~]# firewall-cmd --list-rich-rules
rule family="ipv4" source address="192.168.248.1" service name="http" accept
[root@pp ~]#
富规则的命令只要把添加时的add换成remove即可删除此富规则,命令如下。
[root@server ~]# firewall-cmd --remove-rich-rule="rule family=ipv4 source
address=192.168.8.1 service name=http accept"
success
[root@server ~]#
放行端口的语法如下。
1 firewall‐cmd ‐‐add‐rich‐rule='rule family=ipv4 source address=源网段 po
rt
2 port=M‐N protocol=协议 accept'
这里M-N的意思是从端口M到端口N。
扫一扫
796
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
