防火墙工具Firewalld 和iptables轻松搞定

防火墙工具Firewalld 和iptables轻松搞定

firewalld Vs iptables

Firewalld和iptables都是Linux操作系统中用于防火墙的工具，它们的作用都是控制网络流量，保护系统安全。下面是它们的区别与联系：

1. 区别：

• iptables是Linux内核中的一个模块，而firewalld是一个用户空间的守护进程(daemon)。
• iptables是一种基于规则的防火墙，而firewalld是一种动态的防火墙。
• iptables使用静态规则集，需要手动配置和更新规则，而firewalld使用动态规则集，可以根据服务、端口等自动更新规则。
• iptables是一个传统的防火墙工具，而firewalld是一个新一代的防火墙工具。

2. 联系：

• Firewalld是在iptables基础上开发的，因此它们有一些相同的基本概念，如规则、链和表等。
• firewalld的配置文件中也包含iptables规则，因此可以通过firewalld来管理iptables防火墙规则。
• 在某些情况下，Firewalld可以通过iptables后端来实现防火墙功能，因此可以看作是iptables的一个高级封装。

总体而言，Firewalld相对于iptables来说更加灵活和易用，可以自动更新规则，支持动态调整防火墙设置，同时也支持与iptables兼容，可以根据实际需求选择使用。

ufw和firewalld都是防火墙的前端,用于管理iptables规则。

ufw是Ubuntu下的防火墙前端

用的话当然用firewalld更方便！

Firewalld 的动态规则集

Firewalld 可以使用动态规则集来动态地更新防火墙规则，以适应不同的网络环境和应用需求。创建一个新的动态规则集可以让我们将一组 IP 地址、端口号或者其他数据定义为一个集合，然后将该集合应用到防火墙规则中。

以下是创建一个新的动态规则集的简单步骤：

1. 打开终端并以 root 用户身份登录到 Linux 系统。

2. 使用以下命令创建一个新的动态规则集：

sudo firewall-cmd --new-ipset=集合名称 --type=hash:类型

其中，集合名称 是一个自定义的名称，用于标识这个集合，类型 是集合中元素的类型，可以是 IP 地址、端口号或者其他类型。例如，如果我们要创建一个用于存储 IP 地址的集合，可以使用以下命令：

sudo firewall-cmd --new-ipset=my-ipset --type=hash:ip

这样，我们就创建了一个名为 my-ipset 的动态规则集，并指定集合中元素的类型为 IP 地址。

3. 然后，我们可以使用以下命令向集合中添加元素：

sudo firewall-cmd --ipset=集合名称 --add-entry=元素值

其中，集合名称 指定要添加元素的集合名称，元素值 是要添加的元素的值。例如，如果我们要向名为 my-ipset 的集合中添加 IP 地址 192.168.1.100，可以使用以下命令：

sudo firewall-cmd --ipset=my-ipset --add-entry=192.168.1.100

这样，IP 地址 192.168.1.100 就被添加到了 my-ipset 集合中。

4. 最后，我们可以将动态规则集应用到防火墙规则中。例如，如果我们要允许来自 my-ipset 集合中的 IP 地址访问 HTTP 服务，可以使用以下命令：

sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source ipset="my-ipset" service name="http" accept'

这样，防火墙就会从名为 my-ipset 的动态规则集中获取 IP 地址，并将其应用到 HTTP 服务的访问控制中。

总之，创建一个新的动态规则集需要指定集合的名称和元素的类型，然后向集合中添加需要的元素。最后，将动态规则集应用到防火墙规则中，以实现动态更新和管理。

Firewalld 最佳实践

除了使用动态规则集，Firewalld 还有其他的最佳实践，例如：

1. 使用服务对象而不是端口号来定义防火墙规则

使用服务对象来定义防火墙规则可以避免直接使用端口号带来的不便和安全隐患。例如，我们可以使用以下命令来定义一个允许 SSH 访问的防火墙规则：

sudo firewall-cmd --zone=public --add-service=ssh --permanent

这样，Firewalld 将会自动识别 SSH 服务所使用的端口号（默认为 22），并将其添加到防火墙规则中。如果需要修改 SSH 的端口号，只需要修改服务定义文件即可，无需手动修改防火墙规则。

2. 使用区域来划分不同的网络区域，并分别应用不同的防火墙规则

Firewalld 支持将网络划分为不同的区域，并为每个区域定义不同的防火墙规则。例如，我们可以使用以下命令将默认区域修改为内部区域：

sudo firewall-cmd --set-default-zone=internal

然后，我们可以使用以下命令将内部区域添加到防火墙中：

sudo firewall-cmd --permanent --zone=internal --add-interface=eth0

这样，我们就可以为内部区域定义特定的防火墙规则，如允许内部区域的机器之间相互访问，但不允许外部网络访问。

3. 使用 rich rule 来创建复杂的防火墙规则

rich rule 是 Firewalld 中的一种高级防火墙规则，可以定义多个条件来限制网络访问。例如，我们可以使用以下命令创建一个允许来自特定 IP 地址、特定端口和特定协议的访问规则：

sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="80" accept'

这样，只有来自 IP 地址为 192.168.1.1，端口为 80，协议为 TCP 的访问请求才会被允许通过防火墙。

4. 定期审查和更新防火墙规则

定期审查和更新防火墙规则可以确保防火墙能够及时应对新的威胁和攻击。例如，我们可以使用以下命令定期检查防火墙规则：

sudo firewall-cmd --list-all

这样，我们就可以查看当前防火墙规则的设置，并及时更新和调整规则，以保证网络安全。同时，我们还可以定期检查防火墙日志，查看是否有异常访问行为，并及时采取措施应对。