一、firewalld防火墙的认识
动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接
和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。
它支持以太网桥 , 并有分离运行时间和永久性配置选择,它还具备一个通向服务或者应用程序以直接增加防火墙规则
的接口
系统提供了图像化的配置工具 firewall-config 、 system-config-firewall, 提供命令行客户端 firewall-cmd, 用于配
置 firewalld 永久性或非永久性运行时间的改变 : 它依次用iptables 工具与执行数据包筛选的内核中的 Netfilter 通信
二、firewalld的域
网络名称 默认配置
trusted(信任) 可接受所有网络连接
home(家 庭) 用于家庭网络,仅接收ssh、mdns、ipp-client、samba-client>、或者dhcpv6-client服务连 接#internal(内部) 用于家庭内部,仅接收ssh、mdns、ipp-client、samba-cli ent、或者dhcpv6-client服务连接
work(工作) 用于工作区,仅接受ssh、ipp-client、或者dhcpv6-client服务连接
public(公共) 在公共区域内使用,仅接受ssh、或者dhcpv6-client服务连接,为firewalld的默认区域
external(外部) 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连>接
dmz(非军事区) 仅接受ssh服务连接
block(限制) 拒绝所有网络连接
drop(丢弃) 任何接收的网络数据包都被丢弃,没有任何回复
三、火墙的管理命令
firewall-cmd --state //查看状态
firewall-cmd --get-active-zone //查看当前生效的域
firewall-cmd --get-default-zone //查看火墙默认生效的域
firewall-cmd --get-zones //查看所有的域
firewall-cmd --zone=public --list-all //查看public的域的信息
firewall-cmd --get-services //列出系统中用名称表示的服务
firewall-cmd --list-all-zones //所有域的状态
firewall-cmd --list-all //列出所有域的规则
firewall-cmd --set-default-zone=trusted //修改默认的为trusted域
firewall-cmd --reload //更新防火墙规则
firewall-cmd --complete-reload //它与--reload的区别就是第一个无需断开连接,第二个需要断开连接,类似重启服务
firewall-cmd -get-zone-of-interface=eth0 //查看eth0的域
firewall-cmd --change-interface=eth0 --zone=trusted //改变eth0的域
firewall-cmd --remove-interface=eth0 --zone=trused //移除
firewall-cmd --add-source=ip //临时添加一个ip源
firewall-cmd --permanent --add-source=ip //永久添加一个ip源
firewall-cmd --add-port=8080/tcp --zone=public //添加一个端口8080
1.火墙允许/删除服务的设置
[root@localhost ~]# firewall-cmd --permanent --add-port=8080/tcp
success //永久的添加端口为8080 网络协议为/tcp
[root@localhost ~]# firewall-cmd --reload //更新火墙策略
success
[root@localhost ~]# firewall-cmd --list-all
public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client
ports: 3260/tcp 8080/tcp
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[root@localhost ~]# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
success //在public的域里永久的永久的删除8080端口
[root@localhost ~]# firewall-cmd --reload //更新火墙
success
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=ssh
success //在public的域里永久的允许ssh服务穿过火墙策略
[root@localhost ~]# firewall-cmd --reload //更新火墙
success
[root@localhost ~]# firewall-cmd --permanent --zone=public --remove-service=ssh
success //在public的域里永久的删除ssh的火墙策略,(不允许ssh服务火墙穿过火墙
)
[root@localhost ~]# firewall-cmd --reload //更新火墙
success
[root@localhost Desktop]# firewall-cmd --add-source=172.25.254.12 --zone=trusted ##允许谁走全信任策略;
[root@localhost Desktop]# firewall-cmd --add-source=172.25.254.0/24 --zone=trusted ##允许哪个网段走全信任策略
[root@localhost Desktop]# firewall-cmd --remove-interface=eth0 --zone=public ##移除eth0走的公共策略
[root@localhost Desktop]# firewall-cmd --change-interface=eth0 --zone=public ##直接改变,不用移除再加
2.服务的添加方式
1.)服务的默认端口查看
vim /usr/lib/firewalld/services/http.xml
2.)命令和文本的方式添加
[root@localhost ~]# vim /usr/lib/firewalld/services/http.xml
[root@localhost ~]# firewall-cmd --permanent --add-service=http
[root@localhost ~]# firewall-cmd --reload
[root@localhost ~]# vim /etc/firewalld/zones/public.xml
[root@localhost ~]# vim /etc/firewalld/zones/public.xml ##在策略文件中加ftp服务
[root@localhost ~]# firewall-cmd --reload ###重新加载
[root@localhost ~]# firewall-cmd --list-all ##可看
四、firewalld的高级策略
1.对filter表
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.12 -p tcp --dport 80 -j ACCEPT
###只有12主机访问本机的80端口才可以通过filter INPUT 1第一条高级策略;-s来源;-p协议;--dport目的地接口;-j动作
[root@localhost ~]# firewall-cmd --direct --get-all-rules ###查看当前所有高级策略
ipv4 filter INPUT 1 -s 172.25.254.12 -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# firewall-cmd --remove-service=http ###关闭http服务,否则高级策略不生效,所有人都可访问
[root@localhost ~]# firewall-cmd --list-all ##查看已关闭
2.对net路由表(目的地伪装)
服务机设置:
[root@localhost ~]# firewall-cmd --add-masquerade ##添加路由表
[root@localhost ~]# firewall-cmd --add-forward-port=proto=tcp:port=22:toport=22:toaddr=172.25.254.10 ##添加端口转发;本地协议:本地端口:目的地端口:目的地IP
客户机测试:
[kiosk@foundation10 Desktop]$ ssh 172.25.254.110 ###连接110主机
kiosk@172.25.254.110's password: ###此处输入112主机的root用户密码
[kiosk@foundation10 ~]$ ifconfig br0 ###实际到达10主机
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.25.254.10 netmask 255.255.255.0 broadcast 172.25.254.255
恢复:因都没有加--permanent ;所以实际策略文件没有更改,--reload即可恢复
3.数据来源伪装:
1.服务机设置:
[root@desktop10 ~]# ifconfig //双网卡主机设置双ip
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.25.254.110 netmask 255.255.255.0 broadcast 172.25.254.255
inet6 fe80::5054:ff:fed8:3252 prefixlen 64 scopeid 0x20<link>
ether 52:54:00:d8:32:52 txqueuelen 1000 (Ethernet)
RX packets 4283 bytes 6540021 (6.2 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 86751 bytes 4715202 (4.4 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 1.1.1.10 netmask 255.255.255.0 broadcast 1.1.1.255
inet6 fe80::5054:ff:fe1a:6a9f prefixlen 64 scopeid 0x20<link>
ether 52:54:00:1a:6a:9f txqueuelen 1000 (Ethernet)
RX packets 94988 bytes 5242086 (4.9 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 42310 bytes 4102279 (3.9 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
[root@desktop10 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward=1
[root@desktop10 ~]# sysctl -p //查看
2.测试机设置:
[root@server10 ~]# ifconfig eth1
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 1.1.1.20 netmask 255.255.255.0 broadcast 1.1.1.255
inet6 fe80::5054:ff:fe1a:6a9f prefixlen 64 scopeid 0x20<link>
ether 52:54:00:1a:6a:9f txqueuelen 1000 (Ethernet)
RX packets 94988 bytes 5242086 (4.9 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 42310 bytes 4102279 (3.9 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
[root@server10 ~]# ssh root@172.25.254.10
[root@foundation77 ~]# w -i //查看之后发现ssh的数据来源为110
注意:将网关修改为1.1.1.10