关于RHEL7中的firewalld

netfilter的概念

linux内核中包含一个强大的网络过滤子系统netfilter。netfilter子系统允许内核模块对遍历系统的每个数据包进行检查。这表示在任何传入、传出或转发的网络数据包到达用户空间中的组件之前,都可以通过编程方式检查、修改、丢弃或拒绝这些数据包。这是在RHEL7上构建防火墙的主要构建模块。

与netfilter的交互

尽管系统管理员理论上可以编写自己的内核模块与netfilter交互g,但通常不会这样做。取而代之,会使用其他程序来与netfilter交互。最常见最知名的就是iptables。在先前的RHEL系统版本中,iptables是与内核netfilter子系统交互的主要方法。

iptables命令是一个低级工具,使用该工具正确管理防火墙可能具有挑战性。此外,它仅能调整IPv4防火墙规则。为保证更完整的防火墙覆盖率,需要使用其他实用程序,例如用于IPv6的ip6tables和用于软件桥的ebtables。

firewalld简介

RHEL7引入一种与netfilter交互的新方法:firewalld。firewalld是一个可以配置和监控系统防火墙规则的系统守护进程。应用可以通过DBus消息系统与firewalld通信以请求打开端口。该守护进程不仅涵盖IPv4、IPv6,还可能涵盖ebtables设置。

firewalld将所有网络流量分为多个区域,从而简化防火墙管理。根据数据包源IP地址或传入网络接口等条件,流量将传入相应区域的防火墙规则。每个区域都有自己的要打开和关闭的端口和服务列表。

对于传入系统的每个数据包,将首先检查其源地址。如果该源地址关联到特定区域,则将分析该区域的规则。如果该源地址未关联到某个区域,则将使用传入网络接口的区域。如果出于某种原因,网络接口未与某个区域关联,则将使用默认区域。默认区域本身不是一个单独的区域;它是其他区域中的一个。默认情况下会使用public区域,但是系统管理员可以更改此默认值。

firewalld区域默认配置

区域名称默认配置
trusted允许所有传入流量
home除非与传出流量相关,或与ssh、mdns 、ipp-client、samba-client或dhcpv6-client预定义服务匹配,否则拒绝传入流量
internal除非与传出流量相关,或与ssh、mdns 、ipp-client、samba-client或dhcpv6-client预定义服务匹配,否则拒绝传入流量(初始与home区域相同)
work除非与传出流量相关,或与ssh、ipp-client或dhcpv6-client预定义服务匹配,否则拒绝传入流量
public除非与传出流量相关,或与ssh或dhcpv6-client预定义服务匹配,否则拒绝传入流量。public是新添加的网络接口的默认区域
external除非与传出流量相关,或与ssh预定义服务匹配,否则拒绝传入流量。通过此区域转发的IPv4传出流量将进行伪装,以使其看起来像是来自传出网络接口的IPv4地址
dmz除非与传出流量相关,或与ssh预定义服务匹配,否则拒绝传入流量
block除非与传出流量相关,否则拒绝所有传入流量
drop除非与传出流量相关,否则丢弃所有传入流量(甚至不产生包含ICMP错误的响应)

有关所有可用预定义区域及其预期用途的列表,可参考帮助文档firewalld.zones(5)

man firewalld.zones 5

预定义服务

firewalld还随附一些预定义服务。这些服务定义可用于方便地允许特定网络服务的流量通过防火墙。

服务名称配置
ssh本地ssh服务器。到22/tcp的流量
dhcpv6-client本地DHCPv6客户端。到fe80::/64 IPv6网络中546/udp的流量
ipp-client本地IPP打印。到631/udp的流量
samba-client本地windows文件和打印共享客户端。到137/udp和138/udp的流量
mdns多播DNS(mDNS)本地链路名称解析。到5353/udp指向224.0.0.251(IPv4)或ff02::fb(IPv6)多播地址的流量

还存在很多其他的预定义服务,可以通过firewall-cmd –get-services命令查看。

配置防火墙设置

1 直接编辑配置文件/etc/firewalld/
2 使用firewall-config图形工具
通过这个图形工具,可以更改和检查firewalld内存中的配置(Runtime),也可以修改磁盘上的持久配置(Permanent)
3 使用firewall-cmd命令

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值