Linux防火墙Firewalld
Linux防火墙Firewalld
一、Firewalld概述
FirewallD 是由红帽发起的提供了支持网络/防火墙 区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4、IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
二、Firewalld和iptables的关系
Firewalld和iptables区别
-
iptables主要是基于接口,来设置规则, 从而判断网络的安全性。
firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
-
iptables 在 /etc/sysconfig/iptables 中储存配置,
firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。
-
使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则。
使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。
-
iptables 防火墙类型为静态防火墙
firewalld 防火墙类型为动态防火墙
三、Firewalld网络区域
firewalld 区域的概念
firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
firewalld防火墙预定义了9个区域
- drop: 丢弃所有进入的包,而不给出任何响应
- block: 拒绝所有外部发起的连接,允许内部发起的连接
- public: 允许指定的进入连接
- external: 同上,对伪装的进入连接,一般用于路由转发
- dmz: 允许受限制的进入连接
- work: 允许受信任的计算机被限制的进入连接,类似 workgroup
- home: 同上,类似 homegroup
- internal: 同上,范围针对所有互联网用户
- trusted: 信任所有连接
firewalld数据处理流程
firewalld对于进入系统的数据包, 会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址:
- 若源地址关联到特定的区域(即源地址或接 口绑定的区域有冲突), 则执行该区域高制定的规则。
- 若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
- 若网络接口也未关联到特定的区域 (即源地址或接口都没有绑定特定的某个区域), 则使用默认区域并执行该区域所制定的规则。
过滤规则
- source: 根据源地址过滤
- interface: 根据网卡过滤
- service: 根据服务名过滤
- port: 根据端口过滤
- icmp-block: icmp 报文过滤,按照 icmp 类型配置
- masquerade: ip 地址伪装
- forward-port: 端口转发
- rule: 自定义规则
其中,过滤规则的优先级遵循如下顺序
1.source
2.interface
3.firewalld.conf
四、Firewalld防火墙的配置方法
systemctl start firewalld # 启动,
systemctl enable firewalld # 开机启动
systemctl stop firewalld # 关闭
systemctl disable firewalld # 取消开机启动
使用firewall-cmd 命令行工具
常用的firewall-cmd 命令选项
--get-default-zone∶ 显示当前默认区域
--set-default-zone=<zone>∶设置默认区域
--get-active-zones ∶ 显示当前正在使用的区域及其对应的网卡接口
--get-zones∶ 显示所有可用的区域
--get-zone-of-interface=<interface>∶ 显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface>∶ 为指定接口绑定区域
--zone=<zone> --change-interface=<interface>∶为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface>∶ 为指定的区域删除绑定的网络接口
区域设置
(1)显示当前系统中的默认区域
firewall-cmd --get-default-zone
(2)显示默认区域的所有规则
firewall-cmd --list-all
(3)显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones
(4)设置默认区域
firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone
显示当前默认区域firewall-cmd --get-default-zone
设置默认区域为home
firewall-cmd --set-default-zone=home
对指定网卡进行操作
firewall-cmd --get-zones
#显示所有可用的区域
firewall-cmd --get-zone-of-interface=eth0
为指定接口eth0绑定区域public
firewall-cmd --zone=public --add-interface=eth0
为指定的区域更改绑定的网络接口
firewall-cmd --zone=public --change-interface=docker0
–list-all-zones ∶ 显示所有区域及其规则
[--zone=<zone>] --list-all ∶ 显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
[--zone=<zone>] --list-services ; 显示指定区域内 允许访问的所有服务
[--zone=<zone>] --add-service=<service> ∶ 为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> ∶ 删除指定区域已设置的允许访问的某项服务
显示所有指定区域的所有规则
firewall-cmd --zone=public --list-all
显示public区域内允许访问的所有服务
firewall-cmd --zone=public --list-services
删除指定区域public已设置的允许访问的ssh服务firewall-cmd --zone=public --remove-service=ssh
服务管理
(1)查看默认区域内允许访问的所有服务
firewall-cmd --list-service
(2)添加httpd 服务到public 区域
firewall-cmd --add-service=http --zone=public
(3)查看public 区域已配置规则
firewall-cmd --list-all --zone=public
(4)删除public 区域的httpd 服务
firewall-cmd --remove-service=http --zone=public
(5)同时添加httpd、https 服务到默认区域,设置,成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --add-service={http, https, ftp)--zone=internal
firewall-cmd --reload
firewall-cmd --list-all
端口管理
(1)允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal
(2)从internal 区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp
(3)允许UDP的2048~2050端口到默认区域
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all
#允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
从internal 区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp
允许UDP的2048~2050端口到默认区域
永久保存设置
添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload
命令
重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效
firewall-cmd --runtime-to-permanent∶将当前的运行时配置写入规则配置文件中,使之成为永久性配置
方式二:
–runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性配置。
DNAT和SNAT也可以通过firewall-cmd设置
设置地址转换
(1)设置 SNAT
firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.73.0/24 -j SNAT --to-source 12.0.0.12
(2)设置 DNAT
firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.73.111
五、firewalld防火墙富规则
firewalld是一种动态防火墙管理器,它允许用户使用富规则来配置防火墙。富规则是一种高级规则语言,它允许用户更精细地控制防火墙的行为
以下是一些常见的firewalld富规则
允许特定IP地址或IP地址范围的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100/24" accept'
允许特定端口的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" port port="80" protocol="tcp" accept'
允许特定协议的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" protocol value="icmp" accept'
允许特定服务的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" service name="ssh" accept'
允许特定MAC地址的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source mac="00:11:22:33:44:55" accept'
拒绝特定IP地址或IP地址范围的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100/24" reject'
拒绝特定端口的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" port port="80" protocol="tcp" reject'
拒绝特定协议的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" protocol value="icmp" reject'
拒绝特定服务的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" service name="ssh" reject'
拒绝特定MAC地址的访问:
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source mac="00:11:22:33:44:55" reject'