firewalld防火墙

Posted 徐中祥

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了firewalld防火墙相关的知识,希望对你有一定的参考价值。

Firewalld 防火墙

一、防火墙基本概述

在CentOS7系统中集成了多款防火墙管理工具,默认启用的是firewalld(动态防火墙管理器)防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。

对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较的麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习Firewalld。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-06WCiG38-1623252887291)(img/image-20201216222150114.png)]

需要注意的是:如果开启防火墙工具,并且没有配置任何允许的规则,那么从外部访问防火墙设备默认会被阻止,但是如果直接从防火墙内部往外部流出的流量默认会被允许。

firewalld 只能做和IP/Port相关的限制,web相关的限制无法实现。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QN6mjCz3-1623252887297)(img/image-20201216222313290.png)]

二、防火墙区域管理

那么相较于传统的Iptables防火墙,firewalld支持动态更新,并加入了区域zone的概念
简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据不同的场景选择不同的策略模板,从而实现防火墙策略之间的快速切换

# Firewalld中的区域与接口。
一个网卡仅能绑定一个区域 如:eth0 ————>A区域  
但一个区域可以绑定多个网卡 如:A区域---->eth0 ,eth1 ,eth2
还可以根据来源的地址设定不同的规则。比如:所有人能访问80端口,但只有公司的IP才允许访问22端口。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FFXsCx37-1623252887304)(img/image-20201216222456047.png)]

区域选项默认规则策略
trusted允许所有的数据包流入流出
home拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal等同于home区域
work拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许流量
public拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
external拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block拒绝流入的流量,除非与流出的流量相关
drop拒绝流入的流量,除非与流出的流量相关
#必须记住的三个区域,其他的可以不记
trusted			白名单
public			默认区域
drop			黑名单

三、防火墙基本指令参数

  • firewall-cmd命令分类列表

参数作用
zone区域相关指令
–get-default-zone获取默认的区域名称
–set-default-zone=<区域名称>设置默认的区域,使其永久生效
–get-active-zones显示当前正在使用的区域与网卡名称
–get-zones显示总共可用的区域
–new-zone=新增区域
services服务相关命令
–get-services列出服务列表中所有可管理的服务
–add-service=设置默认区域允许该填加服务的流量
–remove-service=设置默认区域不允许该删除服务的流量
Port端口相关指令
–add-port=<端口号/协议>设置默认区域允许该填加端口的流量
–remove-port=<端口号/协议>置默认区域不允许该删除端口的流量
Interface网站相关指令
–add-interface=<网卡名称>将源自该网卡的所有流量都导向某个指定区域
–change-interface=<网卡名称>将某个网卡与区域进行关联
source相关指令
–add-source=<IP/子网掩码>一般配置在默认区域的富规则中或者黑白名单中
–remove-source=<IP/子网掩码>
其他相关指令
–list-all显示当前区域的网卡配置参数、资源、端口以及服务等信息
–reload让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
  • 命令使用案例

区域相关命令

--get-default-zone获取默认的区域名称
--set-default-zone=<区域名称>设置默认的区域,使其永久生效
--get-active-zones显示当前正在使用的区域与网卡名称
--get-zones显示总共可用的区域
--new-zone=新增区域

# 查看默认区域
[root@web01 ~]# firewall-cmd --get-default-zone
public

# 查看所有区域
[root@web01 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

# 查看默认区域与网卡名称
[root@web01 ~]# firewall-cmd --get-active-zones

# 设置默认区域
[root@web01 ~]# firewall-cmd --set-default-zone=trusted
[root@web01 ~]# firewall-cmd --get-default-zone
trusted

# 添加新的区域
[root@web01 ~]# cd /usr/lib/firewalld/zones/
[root@web01 zones]# cp public.xml newzone.xml
[root@web01 zones]# firewall-cmd --reload 
[root@web01 zones]# firewall-cmd --get-zones
block dmz drop external home internal newzone public test trusted work

服务相关命令

--get-services 列出服务列表中所有可管理的服务
--add-service= 设置默认区域允许该填加服务的流量
--remove-service= 设置默认区域不允许该删除服务的流量

# 查看所有可管理的服务
[root@web01 ~]# firewall-cmd --get-services 

# 设置默认区域允许填加服务的流量
[root@web01 ~]# firewall-cmd --add-service=http
success
[root@web01 ~]# firewall-cmd --list-all
services: http 

# 删除默认区域服务的流量	
[root@web01 ~]# firewall-cmd --remove-service=https
success

端口相关命令

--add-port=<端口号/协议>设置默认区域允许该填加端口的流量
--remove-port=<端口号/协议>置默认区域不允许该删除端口的流量

# 设置默认区域允许的端口
[root@web01 ~]# firewall-cmd --add-port=80/tcp
[root@web01 ~]# firewall-cmd --add-port=443/tcp
[root@web01 ~]# firewall-cmd --list-all
public
  ports: 80/tcp 443/tcp

# 删除默认区域不允许的端口
[root@web01 ~]# firewall-cmd --remove-port=443/tcp
[root@web01 ~]# firewall-cmd --list-all
public
  ports: 80/tcp

网站相关指令

# 作用:指定防火墙规则可以在那块网卡上面。
--add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称> 将某个网卡与区域进行关联

# 添加指定网卡
[root@web01 ~]# firewall-cmd --add-interface=eth0
[root@web01 ~]# firewall-cmd --list-all
public (active)
  interfaces: eth0

# 删除指定网卡
[root@web01 ~]# firewall-cmd --remove-interface=eth0
[root@web01 ~]# firewall-cmd --list-all
public
  interfaces: 

[root@web01 ~]# firewall-cmd --change-interface=eth0
[root@web01 ~]# firewall-cmd --list-all
interfaces: eth0

IP相关指令

--add-source=<IP/子网掩码> 一般配置在默认区域的富规则中或者黑白名单中
--remove-source=<IP/子网掩码>

# 添加
[root@web01 ~]# firewall-cmd --add-source=10.0.0.0/24
[root@web01 ~]# firewall-cmd --list-all
public (active)
  sources: 10.0.0.0/24

# 删除
[root@web01 ~]# firewall-cmd --remove-source=10.0.0.0/24
[root@web01 ~]# firewall-cmd --list-all
public (active)
  sources: 

四、防火墙区域配置策略

为了能正常使用firewalld服务和相关工具去管理防火墙,必须启动firewalld服务,同时关闭以前旧的防火墙相关服务,

需要注意firewalld的规则分为两种状态:
runtime运行时: 修改规则马上生效,但如果重启服务则马上失效,测试建议。
permanent持久配置: 修改规则后需要reload重载服务才会生效,生产建议。
  • 禁用与取消禁用防火墙

#禁用旧版防火墙服务
[root@web01 ~]# systemctl mask iptables
[root@web01 ~]# systemctl mask ip6tables.service

#开启禁用防火墙
[root@web01 services]# systemctl unmask iptables
  • 启动防火墙

[root@web01 ~]# systemctl start firewalld
[root@web01 ~]# systemctl enable firewalld
[root@web01 ~]# systemctl stop firewalld

#重载防火墙配种或清理临时的防火墙配置
[root@web01 ~]# firewalld-cmd --reload
  • firewalld常用命令

查看默认使用的区域

[root@web01 ~]# firewall-cmd --get-default-zone 
public

查看默认区域的规则

[root@web01 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

查看指定区域的默认规则

[root@web01 ~]# firewall-cmd --list-all --zone=trusted 

trusted							 #区域的名字
  target: ACCEPT				 #状态:允许
  icmp-block-inversion: no		 #icmp块设置
  interfaces: 					 #区域绑定的网卡
  sources: 						 #允许流量通过的网段
  services: 					 #允许流量通过的服务
  ports: 						 #允许流量通过的端口
  protocols: 					 #允许流量通过的协议
  masquerade: no				 #IP伪装
  forward-ports: 				 #端口转发
  source-ports: 				 #端口转发的来源端口
  icmp-blocks: 					 #icmp块设置
  rich rules:					 #富规则

查看区域是否允许某服务

[root@m01 ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@m01 ~]# firewall-cmd --zone=public --query-service=https
no

五、防火墙配置

  • firewalld放行服务

firewalld放行一个服务

[root@web01 ~]# firewall-cmd --add-service=http
success

firewalld放行多个服务

[root@web01 ~]# firewall-cmd --add-service={http,nginx}
success

自己添加服务,配置规则

[root@web01 ~]# cp /usr/lib/firewalld/services/{http.xml,suibian.xml}
[root@web01 ~]# firewall-cmd --reload
success
[root@web01 ~]# firewall-cmd --add-service=suibian
success
  • firewalld放行端口

firewalld放行一个端口

[root@web01 ~]# firewall-cmd --add-port=80/tcp
success

firewalld放行多个端口

[root@web01 ~]# firewall-cmd --add-port={81/tcp,82/tcp}
success
  • firewalld放行网段

[root@web01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted
success
  • 配置测试

#要求:使用firewalld各个区域规则结合配置,调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许
1.去除配置中的规则
[root@web01 ~]# firewall-cmd --remove-service=ssh
success

2.配置允许10.0.0.0/24网段
[root@web01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted 
success

六、防火墙配置端口转发

端口转发是指传统的目标地址映射,实现外网访问内网资源

流量转发命令语法为:
firewalld-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
  • 端口转发实践

实例:需要将本地的10.0.0.7:5555端口转发至172.16.1.4:22端口

#1.添加端口转发
[root@web01 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.4
success

#2.开启ip伪装
[root@web01 ~]# firewall-cmd --add-masquerade 
success

#3.查看防火墙配置
[root@web01 ~]# firewall-cmd --list-all
public (active)
  masquerade: yes
  forward-ports: port=5555:proto=tcp:toport=22:toaddr=172.16.1.4

  
#4.测试连接
[C:\\~]$ ssh 10.0.0.7 5555

Connecting to 10.0.0.7:5555...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

Last login: Mon Dec 14 10:59:58 2020 from 10.0.0.1
[root@lb01 ~]# 

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6Z97bCD0-1623252887308)(img/image-20201216222621537.png)]

七、防火墙富规则

firewalld中的富语言规则表示更细致,更详细的防火墙策略配置,他可以针对系统服务、端口号、原地址和目标地址等诸多信息进行更有针对性的策略配置,优先级在所有的防火墙策略中也是最高的,下面为firewalld富语言规则帮助手册
[root@m01 ~]# man firewall-cmd
[root@m01 ~]# man firewalld.richlanguage
    rule
         [source]
         [destination]
         service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port
         [log]
         [audit]
         [accept|reject|drop|mark]

rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
protocol value="protocol value"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop

#富语言规则相关命令
--add-rich-rule='<RULE>'        #在指定的区域添加一条富语言规则
--remove-rich-rule='<RULE>'     #在指定的区删除一条富语言规则

--query-rich-rule='<RULE>'      #找到规则返回0,找不到返回1
--list-rich-rules               #列出指定区里的所有富语言规则
  • 实例一

允许10.0.0.1主机能够访问http服务,允许172.16.1.0/24能访问111端口

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 service name=http accept'
success

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port=111 protocol=tcp accept'
success

[root@web01 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="10.0.0.1" service name="http" accept
	rule family="ipv4" source address="172.16.1.0/24" port port="111" protocol="tcp" accept
  • 实例二

默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh reject'
success

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'
success

#drop和reject
drop直接丢弃,不返回任何内容
reject是拒绝,会返回拒绝的内容
  • 实例三

使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务

[root@web01 ~]# firewall-cmd --add-service={http,https}
success

[root@web01 ~]# firewall-cmd --remove-service=ssh
success

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 service name=ssh accept'
  • 实例四

当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.4的22端口

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 forward-port port=5555 protocol=tcp to-port=22 to-addr=172.16.1.4'

[root@web01 ~]# firewall-cmd --add-masquerade 
success
  • 查看富规则

[root@web01 ~]# firewall-cmd --list-rich-rules

[root@web01 ~]# firewall-cmd --list-all
  • 禁ping

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 protocol value=icmp drop'

八、防火墙备份

我们的防火墙规则,配置永久生效后,会保存在 /etc/firewalld/zones/ 目录下,我们如果要进行同样的防火墙配置,只需要将该文件推送至新服务器,并启动防火墙即可

如果要备份,备份的也是 /etc/firewalld/zones/ 目录

九、防火墙内部共享上网

在指定的带有公网IP的实例上启动Firewalld防火墙的NAT地址转换,以此达到内部主机上网。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KaeI7nQv-1623252887309)(img/image-20201216160207343.png)]

  • 开启ip伪装

[root@lb01 ~]# firewall-cmd --add-masquerade
[root@lb01 ~]# firewall-cmd --add-masquerade --permanent
  • 开启内核转发

[root@lb01 ~]# cat /etc/sysctl.conf
net.ipv4.ip_forward = 1

#CentOS 6 系统需要手动开启,CentOS 7 默认就是开启的

[root@lb01 ~]# sysctl -p  让配置生效  
  • 修改内网服务器的网卡

[root@web01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.4
DNS1=223.5.5.5

#重启网卡
[root@web01 ~]# ifdown eth1 && ifup eth1
  • 测试

[root@web01 ~]# ip a
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:8e:6b:41 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:8e:6b:4b brd ff:ff:ff:ff:ff:ff
    inet 172.16.1.7/24 brd 172.16.1.255 scope global noprefixroute eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe8e:6b4b/64 scope link 
       valid_lft forever preferred_lft forever

[root@web01 ~]# ping www.baidu.com
PING www.a.shifen.com (112.80.248.75) 56(84) bytes of data.
64 bytes from 112.80.248.75 (112.80.248.75): icmp_seq=1 ttl=127 time=11.7 ms

以上是关于firewalld防火墙的主要内容,如果未能解决你的问题,请参考以下文章

Firewalld防火墙

LInux防火墙Firewalld基础详细解读

Linux防火墙------Firewalld(基础概述)

Firewalld防火墙

比iptables更省事的firewalld防火墙

firewalld防火墙