1 概述
firewalld是CentOS 7.0新推出的管理netfilter的工具,firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能
本文将结合实例介绍firewalld的功能和配置
2 配置和实例
.firewalld服务由firewalld包提供
.firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则
.归入zone顺序:
.先根据数据包中源地址,将其纳为某个zone
.纳为网络接口所属zone
.纳入默认zone,默认为public zone,管理员可以改为其它zone
.网卡默认属于public zone,lo网络接口属于trusted zone
firewalldzone分类
预定义服务
2.1 firewalld配置
.firewall-cmd --get-services 查看预定义服务列表
./usr/lib/firewalld/services/*.xml预定义服务的配置
.三种配置方法
.firewall-config (firewall-config包)图形工具
.firewall-cmd (firewalld包)命令行工具
.修改/etc/firewalld配置文件,一般不建议
2.2 firewall-cmd 命令选项
.--get-zones列出所有可用区域
.--get-default-zone查询默认区域
.--set-default-zone=<ZONE>设置默认区域
.--get-active-zones列出当前正使用的区域
.--add-source=<CIDR>[--zone=<ZONE>]添加源地址的流量到指定区域,如果无--zone= 选项,使用默认区域
.--remove-source=<CIDR> [--zone=<ZONE>]从指定区域中删除源地址的流量,如果无--zone= 选项,使用默认区域
.--add-interface=<INTERFACE>[--zone=<ZONE>]添加来自于指定接口的流量到特定区域,如果无--zone= 选项,使用默认区域
.--change-interface=<INTERFACE>[--zone=<ZONE>]改变指定接口至新的区域,如果无--zone= 选项,使用默认区域
.--list-all [--zone=<ZONE>]列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无--zone= 选项,使用默认区域
.--add-service=<SERVICE>[--zone=<ZONE>]允许服务的流量通过,如果无--zone= 选项,使用默认区域
.--add-port=<PORT/PROTOCOL>[--zone=<ZONE>]允许指定端口和协议的流量,如果无--zone= 选项,使用默认区域,可以用来指定非标准协议
.--remove-service=<SERVICE>[--zone=<ZONE>]从区域中删除指定服务,禁止该服务流量,如果无--zone= 选项,使用默认区域
.--remove-port=<PORT/PROTOCOL>[--zone=<ZONE>]从区域中删除指定端口和协议,禁止该端口的流量,如果无--zone= 选项,使用默认区域
.--reload删除当前运行时配置,应用加载永久配置
2.3 firewall-cmd 命令示例
#查看默认zone firewall-cmd --get-default-zone #默认zone设为dmz firewall-cmd --set-default-zone=dmz #在internal zone中增加源地址192.168.0.0/24的永久规则 firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24 #--permanent这个选项表示要存盘,永久生效,不加该选项默认是runtime,临时性的 #在internalzone中增加协议mysql的永久规则,运行mysql服务 firewall-cmd --permanent –zone=internal --add-service=mysql #添加ftp服务器 firewall-cmd --add-service=ftp #如果协议是非标准端口,用--add-port来指定非标准协议 firewall-cmd –add-port=8000/tccp #加载新规则以生效 firewall-cmd --reload
2.4 实验:配置firewalld
systemctl mask iptables #mask是屏蔽,用start启动不了服务,必须先umask systemctlmask ip6tables systemctlstatus firewalld systemctlenable firewalld systemctlstart firewalld firewall-cmd--get-default-zone firewall-cmd--set-default-zone public firewall-cmd--permanent --zone=public --list-all firewall-cmd--permanent --zone=public --add-port 8080/tcp firewall-cmd ---reload
3 rich规则
.当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则
.rich-rules 富规则,功能强,表达性语言,查看帮助:man 5firewalld.richlanguage
.Direct configuration rules 直接规则,灵活性差,查看帮助:man 5 firewalld.direct
接下来将讲解rich规则的概念和配置
3.1 管理rich 规则
.rich规则比基本的firewalld语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslog和auditd,也可以实现端口转发,伪装和限制速率
rich规则实施顺序有以下四点
a.该区域的端口转发,伪造规则
b.该区域的日志规则
c.该区域的允许规则
d.该区域的拒绝规则
每个匹配的规则生效,所有规则都不匹配,该区域默认规则生效
3.2 rich语法:
rule [source] [destination] service|port|protocol|icmp-block|masquerade|forward-port [log] [audit] [accept|reject|drop]
rich规则选项
rich规则示例
#拒绝从192.168.0.11的所有流量,当address 选项使用source或destination时,必须用family= ipv4|ipv6. firewall-cmd --permanent --zone=cla***oom --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject‘ #--zone=cla***oom,自己定义新zone ,cla***oom #限制每分钟只有两个连接到ftp服务 firewall-cmd --add-rich-rule=’rule service name=ftp limitvalue=2/m accept’ #抛弃esp(IPsec 体系中的一种主要协议)协议的所有数据包 firewall-cmd --permanent --add-rich-rule='rule protocol value=espdrop' #接受所有192.168.1.0/24子网端口范置7900-7905的TCP流量 firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 sourceaddress=192.168.1.0/24 port port=7900-7905 protocol=tcpaccept'
3.3 rich日志规则
.log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limitvalue="<RATE/DURATION>"]
.<LOGLEVEL>可以是emerg,alert,crit,error,warning,notice,info,debug.
.<DURATION>s:秒,m:分钟,h:小时, d:天
.audit [limit value="<RATE/DURATION>"]
rich日志规则实例
.接受ssh新连接,记录日志到syslog的notice级别,每分钟最多三条信息
firewall-cmd --permanent --zone=work--add-rich-rule='rule service name="ssh" log prefix="ssh" level="notice" limitvalue="3/m" accept’
.从2001:db8::/64子网的DNS连接在5分钟内被拒绝,并记录到日志到audit,每小时最大记录一条信息。
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"service name="dns" audit limit value="1/h" reject'--timeout=300’
#--timeout=300超时时间,300s
firewall-cmd --permanent --add-rich-rule='rule family=ipv4source address=172.18.50.73/32 service name="http" log level=noticeprefix="NEW HTTP " limit value="3/s" accept' firewall-cmd --reload
测试
tail -f /var/log/messages
curl http://serverX.example.com
4 伪造和端口转发
.NAT网络地址转换,firewalld支持伪造和端口转发两种NAT方式
.伪造NAT
firewall-cmd --permanent --zone=<ZONE> --add-masquerade firewall-cmd --permanent --zone=<ZONE> --add-rich-rule='rulefamily=ipv4 source address=192.168.0.0/24 masquerade'
4.1 普通规则端口转发
.端口转发:将发往本机的特定端口的流量转发到本机或不同机器的另一个端口。通常要配合地址伪造才能实现
语法
firewall-cmd --permanent --zone=<ZONE> --add-forward-port=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]
说明:toport=和toaddr=至少要指定一个
.示例:
转发传入的连接513/TCP,到访火墙的132/TCP到public zone 的192.168.0.254
firewall-cmd --permanent --zone=public --add-forward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254
4.2 rich转发规则语法:
forward-port port=<PORTNUM>protocol=tcp|udp[to-port=<PORTNUM>][to-addr=<ADDRESS>]
.示例:
转发从192.168.0.0/26来的,发往80/TCP的流量到防火墙的端口8080/TCP
firewall-cmd --permanent --zone=work --add-rich-rule='rulefamily=ipv4 source address=192.168.0.0/26 forward-port port=80 protocol=tcpto-port=8080'
rich转发规则示例
firewall-cmd --permanent --add-rich-rule'rule family=ipv4 source address=172.25.X.10/32 forward-port port=443protocol=tcp to-port=22' firewall-cmd --reload
测试
ssh -p 443 serverX.example.com
转载于:https://blog.51cto.com/ghbsunny/1974587
1974
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
