浅谈linux防火墙之Firewalld服务

最新推荐文章于 2022-05-01 23:41:17 发布
最新推荐文章于 2022-05-01 23:41:17 发布
阅读量440 收藏 2
点赞数
分类专栏: linux防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpb2019/article/details/103668776
版权

浅谈linux防火墙之Firewalld服务

1️⃣ Firewalld服务简介

▶1 基本介绍

  • firewalld是CentOS 7.0新推出的管理netfilter的工具
  • firewalld是配置和监控防火墙规则的系统守护进程,可以实现iptables,ip6tables,ebtables的功能
  • firewalld服务由firewalld包提供

▶2 ZONE:区域

  • firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则
  • 归入zone顺序:
    • 先根据数据包中源地址,将其纳为某个zone
    • 纳为网络接口所属zone
    • 纳入默认zone,默认为public zone,管理员可以改为其它zone
  • 网卡默认属于public zone,lo网络接口属于trusted zone
  • Firewalld zone分类
zone名称默认配置
trusted允许所有流量
home拒绝除和传出流量相关的,以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client预定义服务之外其它所有传入流量
internal和home相同
work拒绝除和传出流量相关的,以及ssh,ipp-client,dhcpv6-client预定义服务之外的其它所有传入流量
public拒绝除和传出流量相关的,以及ssh,dhcpv6-client预定义服务之外的其它所有传入流量,新加的网卡默认属于publiczone
external拒绝除和传出流量相关的,以及ssh预定义服务之外的其它所有传入流量,属于external zone的传出ipv4流量的源地址将被伪装为传出网卡的地址。
dmz拒绝除和传出流量相关的,以及ssh预定义服务之外的其它所有传入流量
block拒绝除和传出流量相关的所有传入流量
drop拒绝除和传出流量相关的所有传入流量(甚至不以ICMP错误进行回应)
  • 预定义服务,下表只是列出几个例子,Firewalld预定义的服务太多了
服务名称配置
sshLocal SSH server. Traffic to 22/tcp
dhcpv6-clientLocal DHCPv6 client. Traffic to 546/udp on the fe80::/64 IPv6 network
ipp-clientLocal IPP printing. Traffic to 631/udp.
samba-clientLocal Windows file and print sharing client. Traffic to 137/udp and 138/udp.
mdnsMulticast DNS (mDNS) local-link name resolution. Traffic to 5353/udp to the
224.0.0.251 (IPv4) or ff02::fb (IPv6) multicast addresses.

2️⃣ Firewalld服务配置

▶1 Firewalld预定义服务配置

  • firewall-cmd --get-services 查看预定义服务列表
  • /usr/lib/firewalld/services/*.xml 预定义服务的配置

▶2 Firewalld 三种配置方法

  • firewall-config (firewall-config包)图形工具
  • firewall-cmd (firewalld包)命令行工具
  • /etc/firewalld 配置文件,一般不建议

▶3 Firewall-cmd 命令选项

  • 格式: Usage: firewall-cmd [OPTIONS...]
  • 常见选项参数
--get-zones 列出所有可用区域
--get-default-zone 查询默认区域
--set-default-zone= 设置默认区域
--get-active-zones 列出当前正使用的区域
--add-source=[--zone=] 添加源地址的流量到指定区域,如果无--zone= 选项,使用默认区域
--remove-source= [--zone=] 从指定区域删除源地址的流量,如无--zone= 选项,使用默认区域
--add-interface=[--zone=] 添加来自于指定接口的流量到特定区域,如果无--zone= 选项,使用默认区
域
--change-interface=[--zone=] 改变指定接口至新的区域,如果无--zone= 选项,使用默认区域
--add-service= [--zone=] 允许服务的流量通过,如果无--zone= 选项,使用默认区域
--add-port=<PORT/PROTOCOL>[--zone=] 允许指定端口和协议的流量,如果无--zone= 选项,使用默
认区域
--remove-service= [--zone=] 从区域中删除指定服务,禁止该服务流量,如果无--zone= 选项,使用默
认区域
--remove-port=<PORT/PROTOCOL>[--zone=] 从区域中删除指定端口和协议,禁止该端口的流量,如
果无--zone= 选项,使用默认区域
--reload 删除当前运行时配置,应用加载永久配置
--list-services 查看开放的服务
--list-ports 查看开放的端口
--list-all [--zone=] 列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无--zone=
选项,使用默认区域
  • 示例
/ 查看默认zone
[root@Centos7 ~]# firewall-cmd --get-default-zone
public
/ 设置默认zone问dmz
[root@Centos7 ~]# firewall-cmd --set-default-zone=dmz
success
[root@Centos7 ~]# firewall-cmd --get-default-zone
dmz
/ 在internal zone中增加源地址192.168.0.0/24的永久规则
[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24
success
/ 在internal zone中增加协议mysql的永久规则
[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-service=mysql
success
/ 加载新增规则生效
[root@Centos7 ~]# firewall-cmd --reload
success
/ 查看前面两个设置的规则
[root@Centos7 ~]# firewall-cmd --list-all --zone=internal
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 192.168.0.0/24
  services: dhcpv6-client mdns mysql samba-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

3️⃣ rich规则

  • 当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则
    • rich-rules:富规则,功能强,表达性语言
    • direct configuration rules:直接规则,灵活性差
    • 帮助:man 5 firewalld.direct

▶1 rich规则简介

  • rich规则比基本的firewalld语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslog和auditd,也可以实现端口转发,伪装和限制速率
  • rich语法
    rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
  • man 5 firewalld.richlanguage

▶2 rich规则实施顺序:

  • 该区域的端口转发,伪装规则
  • 该区域的日志规则
  • 该区域的允许规则
  • 该区域的拒绝规则
  • 每个匹配的规则生效,所有规则都不匹配,该区域默认规则生效

▶3 rich规则选项

  • --add-rich-rule='<RULE>'
    添加rich规则至指定zone,若未指明zone则为默认zone
  • --remove-rich-rule='<RULE>'
    从指定zone删除rich规则,若未指明zone则为默认zone
  • --query-rich-rule='<RULE>'
    查询指定zone中是否有RULE规则,若未指定zone则为默认zone
    返回值0代表存在,返回值1代表不存在
  • --list-rich-rules
    列出指定zone的所有rich规则,若未指定zone则为默认zone
  • 示例:
/ 拒绝从192.168.0.11的所有流量,当address 选项使用source 或 destination时,必须用family= ipv4|ipv6
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'

/ 限制每分钟只有两个连接到ftp服务,下面命令省略指定zone区域,所以是给默认zone添加规则
firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'

/ 抛弃esp( IPsec 体系中的一种主要协议)协议的所有数据包
firewall-cmd --add-rich-rule='rule protocol value=esp drop'

/ 接受所有192.168.1.0/24子网端口5900-5905范围的TCP流量,
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=5900-5905 protocol=tcp accept'

/  查看所有添加的rich-rules
[root@Centos7 ~]# firewall-cmd --list-rich-rules
You're performing an operation over default zone ('public'),
but your connections/interfaces are in zone 'internal' (see --get-active-zones)
You most likely need to use --zone=internal option.

rule service name="ftp" accept limit value="2/m"
rule protocol value="esp" drop

▶4 rich日志规则

  • log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limit value="<RATE/DURATION>"]

  • <LOGLEVEL>
    可以是emerg, alert, crit, error, warning, notice, info, debug

  • <DURATION>
    s:秒,m:分钟,h:小时,d:天

  • audit [limit value="<RATE/DURATION>"]

  • 示例

#接受ssh新连接,记录日志到syslog的notice级别,每分钟最多三条信息
firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh"
log prefix="ssh " level="notice" limit value="3/m" accept

#从2001:db8::/64子网的DNS连接在5分钟内被拒绝,并记录到日志到audit,每小时最大记录一条信息
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"
service name="dns" audit limit value="1/h" reject' --timeout=300

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source \
address=172.25.X.10/32 service name="http" log level=notice prefix="NEW HTTP " limit value="3/s" accept'
firewall-cmd --reload
tail -f /var/log/messages
curl http://serverX.example.com

▶5 伪造和端口转发

  • NAT网络地址转换,firewalld支持伪造和端口转发两种NAT方式

  • 伪造NAT

    • 格式:firewall-cmd --zone=<ZONE> --add-masquerade
    firewall-cmd --permanent --zone=<ZONE> --add-masquerade
firewall-cmd --query-masquerade #检查是否允许伪装
firewall-cmd --add-masquerade #允许防火墙伪装IP
firewall-cmd --remove-masquerade #禁止防火墙伪装IP
    • 示例:将来自192.168.0.0/24网段的IP伪造为外网动态IP
      firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'

  • 端口转发:将发往本机的特定端口的流量转发到本机或不同机器的另一个端口。通常要配合地址伪造才能实现

    • 格式:firewall-cmd --zone=<ZONE> --add-forward-port=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]
    • 说明:toport=和toaddr=至少要指定一个
    • 示例
    转发传入的连接9527/TCP,到防火墙的80/TCP到public zone 的192.168.0.254
firewall-cmd --add-masquerade 启用伪装
firewall-cmd --zone=public --add-forwardport=
port=9527:proto=tcp:toport=80:toaddr=192.168.0.254

  • rich规则语法:

    • 格式:forward-port port=<PORTNUM> protocol=tcp|udp [to-port=<PORTNUM>] [to-addr=<ADDRESS>]
    • 示例
    / 转发从192.168.0.0/24来的,发往80/TCP的流量到防火墙的端口8080/TCP
firewall-cmd --zone=work --add-rich-rule='rule family=ipv4 source
address=192.168.0.0/24 forward-port port=80 protocol=tcp to-port=8080'
lpb2019
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LinuxFirewalld防火墙
h15162064289的博客
05-30 1135
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。trusted (信任区域)允许所有的传入流量public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域external (外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝home (家庭区域。
Linux中的Firewalld防火墙
weixin_44938203的博客
01-05 329
Firewalld防火墙 文章目录Firewalld防火墙Firewalld概述Firewalld 和 iptables 的关系Firewalld网络区域firewalld数据处理流程Firewalld防火墙的配置方法firewall-config图像工具Firewalld防火墙案例区域管理服务管理 Firewalld概述 Firewalld firewalld防火墙是centdos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和ip
Linuxfirewalld防火墙
芦苇的博客
05-26 230
内容概要一、firewalld简介二、iptables和firewalld的区别三、firewalld防火墙的9个区域四、firewalld数据处理流程五、firewalld防火墙的配置方法 一、firewalld简介 在Centos7系统中之前我们所说的iptables 防火墙已经被firewalld防火墙所取代,在网络层工作,数据包过滤防火墙 iptables和firewalld都是用来管理防火墙的工具,都属于用户态,内部结构都指向netfilter网络过滤子系统(内核态)来实现包过滤防火墙功能。 fi
Linux防火墙firewalld
m0_67156403的博客
05-01 794
firewalld(Dynamic Firewall Manager of Linux System,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。在比较新的系统中,firewalld 防火墙已经取代了 iptables 防火墙 firewalld和iptables的区别 1.iptables主要是基于接口,来设置规则,从而判断网络的安全性。 firewalld是基于区域,根据不同的区域来设置不同的规则,从而保
Linux 防火墙 Firewalld
码里奥的博客
05-26 180
文章目录一、firewalld概述二、firewalld和iptables的关系1.作用点2.存储位置3.新规则的使用三、firewalld网络区域1、 firewalld区域的概念2、 firewalld防火墙预定义了9个区域:四、firewalld防火墙配置方法1、firewalld防火墙的配置方法2、常用的firewalld-cmd 命令选项3、区域管理4、服务管理5、端口管理 一、firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
详解CentOS7防火墙管理firewalld
09-15
本篇文章主要介绍了CentOS7防火墙管理firewalld,centos 7中防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
Linux系统之防火墙firewalld
bread_winner的博客
08-20 675
防火墙的简述 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内...
linux firewalld
fcglx的博客
12-09 198
1. firewalld是RHEL 7的默认防火墙配置管理工具,它拥有CLI和GUI两种管理方式。 trusted    允许所有的数据包 home      拒绝流入的力量,除非与流出有关;除非流量与ssh、mdns、ipp-client、amba-client、dhcpv6-client服务相关。 internal  等同于home work       拒绝流入的力量,除非与流出有关...
Linux运维笔记-文档总结-Firewalld服务
Bigstar的博客
06-09 679
以下所有操作都是在Red-hat 7.0上Firewalld概述动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。系统提供了图像化的配
Linux Firewalld防火墙
weixin_41489136的博客
03-11 3992
Firewalld(Dynamic Firewall Manager of Linux systems) 防火墙存在的意义 切割被信任(如子域)与不被信任(如Internet)的网段. 划分出可提供Internet的服务与必须受保护的服务. 分析出可接受与不可接受的数据包状态. Linux防火墙的主要类别 基本上可以将防火墙分为网络型与单一主机型,在单一主机型管理方面,主要有数据过滤型的Netfilter与依据服务软件程序作为分析的TCP Wrappers两种.网络型的话,防火墙都是充当路由器角色,因
Linux 中的 firewalld
cute
08-19 277
一、firewalld 的基本介绍 1.firewalld 的概念 firewalld服务在企业7以上的版本,是一款类似于windows界面的可以图形化设置防火墙策略的工具。 firewalld的配置文件以xml格式为主(主配置文件firewalld.conf例外),他们有两个存储位置:/etc/firewalld/ 用户配置文件   和   /usr/lib/firewalld/ 系统配置...
Linux系统防火墙——firewalld
DY_man的博客
04-25 5489
firewalld概述 firewalld防火墙是CentOS 7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfiler网络过滤子系统(属于内核态)来实现包过滤防火墙功能 firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具 支持IPV4、IPV6防火墙设置以及以太网桥(在某些高级服务可能会
Linux--Firewalld
a1231231231313的博客
10-25 234
一、Firewalld概述 ▶Firewalld ●支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 ●支持IPv4、IPv6防火墙设置以及以太网桥 ●支持服务或应用程序直接添加防火墙规则接口 ●拥有两种配置模式 ★运行时配置 ★永久配置 二、Firewalld和iptables的关系 ▶netfilter ●位于Linux内核中的包过滤功能体系 ●称为Linux防火墙的“内核态” ▶Fir
linux防火墙firewalld配置
最新发布
10-10
Linux中,firewalld是一种防火墙服务管理工具,它可以轻松地管理和配置网络连接。要配置firewalld,请按照以下步骤操作: 1. 检查防火墙状态:sudo firewall-cmd --state 2. 启用防火墙:sudo systemctl start ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值