NetFilter管理程序之Firewalld服务

最新推荐文章于 2023-08-28 18:43:17 发布
最新推荐文章于 2023-08-28 18:43:17 发布
阅读量369 收藏 2
点赞数
分类专栏: 操作系统 文章标签: firewalld
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/avatar_2009/article/details/80226949
版权

Linux防火墙由netfilter处理,这是一个内核级框架。十多年来,iptables为netfilter提供了用户级抽象层。iptables使数据包接受一系列规则,并且如果规则的IP /端口/协议组合与数据包相匹配,则应用规则,数据包被接受,拒绝或丢弃。

 

Firewalld是netfilter的一个新的用户级抽象层。不幸的是,由于缺乏描述多区域配置的文档,其功能和灵活性受到了低估。本文提供了一些示例来纠正这种情况。

 

Firewalld默认Zone及其默认Target

firewalld

 

Zone Name

Zone target

block

REJECT

dmz

default

drop

DROP

external

default

home

default

internal

default

public

default

trusted

ACCEPT

work

default

 

Zone

firewalld中最高层的组织是区域。如果一个数据包与该区域的相关network interface or IP/mask source相匹配,则该数据包与该区域匹配,按照该区域规则处理。

## 获取所有可用区域

# firewall-cmd --get-zones

## 获取激活的区域

# firewall-cmd --get-active-zones

 

 

public (active) 表示公共区域是默认区域(interfacesdefault to it when they come up),并且它是活动的,因为它至少有一个与之关联的接口或源。

 

interfaces: eno1 eno2 列出与区域相关的接口。

 

sources:列出了该区域的来源。现在没有,但如果有的话,它们的格式为xxx.xxx.xxx.xxx/xx。

 

services: dhcpv6-client ssh列出了通过防火墙允许的服务。你可以通过执行命令:firewall-cmd --get-services,得到一份完整的Firewalld定义服务列表,以方便我们在这里配置。如果没有找到对应的服务,只能使用下面的ports进行配置。

 

ports:80/tcp列出允许通过防火墙的端口目的地。有些服务并没有在firewalld中定义。

 

masquerade: no表示该区域的IP伪装功能已被禁用。如果启用,这将允许IP转发,您的计算机充当路由器。

 

forward-ports: 列出转发的端口。

 

icmp-blocks: 被阻止的icmp流量的黑名单。

 

rich rules: 高级配置,首先在区域中进行处理。

 

default 是该区域的目标,通过上面匹配,到最后数据包仍然没有被处理,按照default进行处理:按照优先级pass on。

 

## 设置某服务的有效时间:The timeout option takes time values in seconds(s), minutes (m) or hours (h).

# firewall-cmd --zone=public --add-service=ssh--timeout=5m

Targets

当Packages在Zone中通过source ip地址或者interface被匹配,而又没有被处理(例如:匹配到service白名单、端口白名单处理动作是ACCEPT),那么按照Target定义的动作处理相应的数据包。

ACCEPT: accept the packet.

REJECT: reject the packet, returning a rejectreply.

DROP: drop the packet, returning no reply.

default: don't do anything. The zone washes itshands of the problem, and kicks it ""upstairs"".

default:不做任何事情,处理完手头问题,上报给上层Zone。

 

Zone的类型及其优先级

Zone Type

Zone Precedence

Zone description

interface zones

域中interfaces有值

source zones

域中sources有值

mixed zones

域中interfaces和sources均有值

 

Firewalld handles a packet in the following order:

 

The source zone. Zero or one such zones may exist.If the source zone deals with the packet because the service is whitelisted(the packet satisfies a rich rule), or thetarget is not default, we end here. Otherwise, we pass the packet on.

1、源Zone,0个或者多个 源Zone存在。如果在源Zone中数据包被白名单化(如:数据包满足rich rule),或者黑名单化(如:icmp-blocks),或者Target不是default,数据包均会在本Zone中被处理,否则,将数据包发给下一个Zone。

The interface zone. Exactly one such zone willalways exist. If the interface zone deals with the packet, we end here.Otherwise, we pass the packet on.

2、接口Zone,至少1个接口Zone总是存在的。如果数据包在此域被处理,流程终止。否则,数据包发送给firewalld default action。

The firewalld default action. Accept icmp packetsand reject everything else.

3、firewalld默认动作。

总而言之:数据包先匹配源地址,在源地址域中,如果匹配,如匹配rich roles,如果匹配到则按照该role处理;如果没有匹配rich roles,则按照该域的target处理;如果没有匹配源地址域,那么去匹配接口域,接口域中也可以配置rich roles,那么就按照target处理。都没处理按照默认处理走。

 

调试

Firewalld的设置并没有iptables平铺的格式那么直观,如果出现问题,可以通过

# iptables -S

将firewalld配置转化为iptables格式;这样也有利于理解firewalld的工作模式。

新的Chain以-N开头被首先声明出来;其余的规则以-A开头。

已建立的连接和本地流量是被允许的。

进来的数据包,首先进入INPUT_ZONES_SOURCE chain;如果源地址ZONE存在,那么转发到相应的ZONE。此后,转发给NPUT_ZONES chain,在这里被路由到一个interfaceZONE

## 声明新的Chain

-N INPUT_ZONES

-N INPUT_ZONES_SOURCE

 

## ESTABLISHED和 local的数据流量是ACCEPT

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED-j ACCEPT

-A INPUT -i lo -j ACCEPT

 

## 数据包先到INPUT_ZONES_SOURCE链流转

(因为INPUT_ZONES_SOURCE在INPUT_ZONES前面)

-A INPUT -j INPUT_ZONES_SOURCE

-A INPUT -j INPUT_ZONES

 

## 发送到IN_internal链,匹配IN_internal链规则

-A INPUT_ZONES_SOURCE -s 1.1.0.0/16 -g IN_internal

-A IN_internal_allow -p tcp -m tcp --dport 22 -mconntrack --ctstate NEW -j ACCEPT

 

## 如果源ZONE没匹配到,那么在INPUT_ZONES中流转

-A INPUT_ZONES -i ens192 -g IN_public

-A INPUT_ZONES -i ens160 -g IN_public

-A INPUT_ZONES -g IN_public

 

-A IN_public_allow -p tcp -m tcp --dport 22 -mconntrack --ctstate NEW -j ACCEPT

其他操作

## 添加rich rule

# firewall-cmd --permanent --zone=internal--add-rich-rule='rule protocol value="icmp" accept'

# firewall-cmd –reload

 

# firewall-cmd --permanent --zone=internal--add-rich-rule='rule /

family=ipv4 source address="1.1.1.0/8"service name="samba" accept'

# firewall-cmd --reload

 

## 修改public的target为DROP

# firewall-cmd --permanent --zone=public--set-target=DROP


itachi-uchiha
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
netfilter测试实例程序
04-28
基于Linux的netfilter框架做的网络过滤测试程序,在五个hook点中选取了2个作为测试钩子点。仅供参考
iptables总结存档
u011635437的博客
06-28 913
目前我的工作已经比较少去使用linux防火墙了,机房分多区域,生产都在内网使用,庞大的系统也已经无法使用linux的防火墙来隔离机器之间的网络访问关系。iptables的结构由表Tables,链Chains,规则Rules三部分组成。 首先是iptables的表(tables)与链(chains) iptables有Filter, NAT, Mangle, Raw四种内建表: (1). FilterFilter是iptables的默认表,它有如下三种内建的链(chains): OUTPUT链 : 就是处
iptables防火墙基本概念与基本语法
5L2g556F5ZWl77yf
09-26 1281
一. 防火墙概述。 防火墙由硬件防火墙,软件防火墙,软硬兼容等。防火墙一般部署在网络边缘,作用于过滤某些字符,IP,根据规则,执行:允许,拒绝,转发,丢弃等。防火墙根据其管理的范围右可以分为可以将其划分为主机防火墙和网络防火墙;根据其工作机制来区分又可分为包过滤型防火墙(netfilter)和代理服务器(Proxy)。我们接下来在这篇笔记中主要说说**包过滤型防火墙(netfilter)。 ...
firewall-cmd 使用总结
10-31 5875
firewalld的简要说明:     firewalld 、firewall-cmd 、firewall-offline-cmd它们Python脚本,通过定义的在/usr/lib/firewalld下面的xml配置信息,   在启动时自动载入默认iptables配置,并应用到系统中,当使用firewalld-cmd添加防火墙规则时,它实际是转换成   iptables规则后,在应用到系统中。      firewalld定义了几个概念:     zone: 它是安全域的范围,就类似于Window上的域网
netfilter 集群服务
tycoon的专栏
11-17 484
LVS(Linux Vitual Server)---虚拟服务器,在工作当中它是作为一个前段的Director(调度器)工作的,Director它本身不提供任何的服务,只是将接收到的请求转发给后端的Real Seerver处理,然后在响应给客户端。所以我们也称LVS为“4 layer switch/route"。LVS本身的两个基本的组件就是:ipvs和ipvsadm。而ipvs是一个工作在内核当
RHCE——十、防火墙、iptables、firewalld
最新发布
钟言的博客
08-28 2848
本篇为学习RHCE的第十部分:防火墙、iptables以及firewalld,详细内容包含了:一、什么是防火墙 1、分类 2、Netfilter(数据包过滤 2.1 定义 2.2 Netfilter分析内容 3、防火墙无法完成的任务4、iptables 与 firewalld 区别二、iptables 1、iptables执行原则 1.1 原则 1.2 防火墙规则 2、规则链 2.1 概念2.2 分析 2.3 规则链分类 2.4 规则链之间的匹配顺序 2.5 iptables 流量处理动作 3、ipta等等
ja-netfilter
02-09
ja-netfilter
ja-netfilter-all.zip
05-24
ja-netfilter ja-netfilter-all appcode.vmoptions clion.vmoptions datagrip.vmoptions dataspell.vmoptions gateway.vmoptions goland.vmoptions idea.vmoptions jetbrains_client.vmoptions ...
Netfilter源代码分析详解
06-22
Netfilter源代码分析详解 一、Netfilter/IPTables 框架简介 Netfilter/IPTables 是 Linux 防火墙机制的新一代解决方案,继承了 IPfwadm 和 IPchains 的优点,并具有良好的可扩充性。Netfilter 采用模块化设计,...
netfilter框架分析_netfilter_linuxnetfilter_
09-29
Linux协议栈,Netfilter框架分析文档,Linux内核中进行数据包过滤、连接跟踪、地址转换等的主要实现框架。
Linux日常运维2 iptables
xou6363的博客
06-11 256
12、Linux防火墙 12.1、SELinux:Linux系统特有的安全机制;一般都是关闭的; 临时关闭selinux:setenforce 0 永久关闭:更改配置文件 /etc/selinux/config;把SELINUX=enforcing改成SELINUX=disabled;更改后重启系统生效; [root@aminglinux ~]# setenforce 0 [root@a...
理论+实验·iptables防火墙(四表五链,SNAT与DNAT策略)
weixin_47153668的博客
08-01 469
理论+实验·iptables防火墙(四表五链,SNAT与DNAT策略) 文章目录理论+实验·iptables防火墙(四表五链,SNAT与DNAT策略)Linux包过滤防火墙概述netfilteriptables包过滤的工作层次iptables的表、链结构规则链默认包括5中规则链规则表默认包括4个规则表默认的表、链结构示意数据包过滤的匹配流程规则表之间的顺序规则链之间的顺序规则链内的匹配顺序iptables安装关闭firewalld防火墙安装iptables防火墙设置iptables开机启动iptables的
深入理解firewalld设置防火墙
chenxiangneu的博客
05-02 2526
关于firewalld防火墙设置的博客很多,但都是介绍它的使用方法或者使用规则,但并不是知道了firewall-cmd命令的使用就能够很好地设置防火墙规则,本人也是在使用的过程中就遇到过“明明设置了规则,但就是没有生效的情况”,因此有必要深入地理解firewalld的工作方式。 下面给出本人在实际工作中遇到的一种情况,我们将通过这个场景来深入理解firewalld的工作过程。 在上面的使用...
linux firewalld防火墙设置
pcw89126的博客
06-12 390
1、开启防火墙 systemctl start firewalld 2、开放指定端口 命令说明: –zone 作用域 –add-port=8080/tcp 添加端口,格式为:端口/通讯协议 –permanent 永久生效,没有此参数重启后失效 firewall-cmd --zone=public --add-port=8080/tcp --permanent 3、重启防火墙 firewall-cmd --reload 查看状态 systemctl status firewalld 停止 syst
# Linux命令之firewall-cmd
超级无敌棒棒糖
07-27 3841
CENTOS 7 FIREWALLD详解及添加删除策略 文章目录CENTOS 7 FIREWALLD详解及添加删除策略一、CENTOS7中FIREWALL防火墙二、防火墙配置文件三、CENTOS7的FIREWALLD开启端口/IP、屏蔽IP四、FIREWALLD防火墙 禁止/限制 特定用户的IP访问,DROP和REJECT区别 原文链接:https://www.cnblogs.com/faithH/p/11811286.html 一、CENTOS7中FIREWALL防火墙 修改防火墙配置文件之前,需要对
CentOS 防火墙配置(firewall)
crayon
10-08 9626
9、重新加载(修改防火墙规则后需要执行reload)13、获取所有支持的ICMP类型。14、列出全部启用的区域的特性。2、允许\禁止开机自启动。6、查看指定端口是否开启。11、获取支持的区域列表。12、获取所有支持的服务。2、启动&停止&重启。
【CentOS 7笔记44】,firewalld防火墙#171201
weixin_34384915的博客
12-01 162
2019独角兽企业重金招聘Python工程师标准>>> ...
firewalld学习-zone
weixin_30493321的博客
08-05 141
原文地址:http://www.excelib.com/article/290/show firewalld默认提供了九个zone配置文件: block.xml、dmz.xml、drop.xml、external.xml、home.xml、internal.xml、public.xml、trusted.xml、work.xml, 他们都保存在“/usr/lib/firewalld/...
linux 防火墙firewall-cmd 详解
探索者的博客
03-08 1448
firewall-cmd 命令是用于管理防火墙的命令,该命令可以用于 CentOS/RHEL 7 和更高版本中的防火墙管理。
Linux防火墙与代理服务器:netfilter/iptables详解
在实际应用中,管理员可以根据安全需求调整规则,例如阻止特定IP地址、端口或服务的访问,或者设置策略来限制内部网络的出站访问。同时,NAT功能可以隐藏内部网络的地址,保护其隐私,并且在有限的公有IP地址环境中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值