Centos7 防火墙配置详解(非常详细!)
Posted 枫_Maple
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Centos7 防火墙配置详解(非常详细!)相关的知识,希望对你有一定的参考价值。
Centos7 防火墙配置详解(非常详细)
Centos7中使用firewalld来作为防火墙,其底层调用的命令仍然是iptables等命令,但是在配置上发生了较大的变化。
Centos7中有两个位置存放了firewall的配置文件,一个是/etc/firewalld,一个是/usr/lib/firewalld,前者是用户配置目录,后者是系统配置目录。/usr/lib/firewalld目录中存放的是firewalld提供的一些默认和备份的配置文件,一般不随意改变,/etc/firewalld目录下才是用户配置的真正生效的配置文件,只有在/etc/firewalld目录不存在或该目录下不存在配置文件的情况下/usr/lib/firewalld目录下的配置文件才会生效。
一. zone的概念
zone定义了防火墙对某个连接、网口(interface)或源地址的信任等级,我们可以把他理解为防火墙对不同的连接(connection)、网口(interface)或源地址(source address)划分到不同的zone当中,而不同的zone定义了不同的规则,因此防火墙可以针对不同的连接、网口(interface)或源地址做出不同的行为。例如,我们将10.12.18.201这个地址划分到zone1中,将10.12.18.202这个地址划分到zone2中,然后zone1中定义的规则为:允许访问3306端口,其余的端口都拒绝访问;zone2中定义的规则为:拒绝访问3306端口,其余的端口都允许访问。那么10.12.18.201就仅能访问本机的3306端口,10.12.18.202就仅不能访问本机的3306端口。每个zone的防火墙规则是通过/etc/firewalld/zones目录下的xml配置文件来配置的。
zone和connection、interface、source address之间是一对多的关系,即一个connection、interface或source address仅能划分到一个zone中,而一个zone中可以包含多个connection、interface或source address。
1.1 预定义的zone
Centos7中firewalld为用户预定义了9个zone,分别为drop,block,public,external,dmz,work,home,internal,trusted。这9个zone的配置文件在/usr/lib/firewalld/zones目录下,通过查看他们的配置文件可以得知这9个zone的规则是怎么样的。
drop:任何传入本机的网络数据包都会被丢弃,并且不会回复,只允许本机对外访问其他服务器。
block:任何传入本机的网络连接请求都会被拒绝,并且会回复一条拒绝访问的消息。
public:用于本机处于公共网络环境的场景下,仅接受特定的连接请求,如仅接受某些特定的IP的连接请求,或仅对外部开放特定的某些端口。Centos 7 默认的public.xml文件中仅开放用于ssh连接请求的22端口和dhcpv6-client服务的546端口。
external:与public类似,Centos 7 默认仅开放用于ssh连接请求的22端口。
dmz:与external一样,Centos 7 默认也是仅开放用于ssh连接请求的22端口。
work:用于工作网络环境场景下,信任大部分的其他的计算机不会对本机进行攻击。Centos 7 默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,以及IPP协议的631端口。
home:用于家庭网络环境,信任网络上的其他计算机不会攻击本机。Centos 7默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,IPP协议的631端口,samba服务的137、138端口,mDNS服务的5353端口。
internal:与home一样,Centos 7默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,IPP协议的631端口,samba服务的137、138端口,mDNS服务的5353端口。
trusted:所有对本机的网络连接请求都会被接受。
1.2 将interface和source划分到某个zone
将某个source划分到某个zone的命令如下:
firewall-cmd [--permanent] [--zone=zone] --add-source=source
例如:
firewall-cmd --permanent --zone=trusted --add-source=192.168.5.112
这条命令会将192.168.5.112这个网口划分到trusted这个zone,–permanent参数会将该配置写入trusted这个zone的配置文件trusted.xml中,使其永久生效,如果不加–permanent,则只会临时生效,重启防火墙或者调用firewall-cmd --reload重新加载配置文件会使得该项配置失效。
将某个网口(interface)划分到某个zone的命令如下:
firewall-cmd [--permanent] [--zone=zone] --add-interface=interface
例如
firewall-cmd --permanent --zone=block --add-interface=ens33
这条命令会将ens33这个网口划分到block这个zone,这样其他机器访问本机的ens33网口时就会默认走这个zone。
如果某个连接请求没有划分到任何一个zone,那么就会走默认的zone,Centos7 默认情况下,默认zone为public。可以通过以下命令查看或者修改默认zone。
获取默认的zone:
firewall-cmd --get-default-zone
修改默认的zone:
firewall-cmd --permanent --set-default-zone=[zone]
其他的一些相关的命令:
列出该zone下绑定了哪些interface:
firewall-cmd [--zone=zone] --list-interfaces
将该interface绑定到另一个zone上:
firewall-cmd [--permanent] [--zone=zone] --change-interface=interface
如果该interface之前绑定到了某个zone,则取消绑定,这样就会走默认zone
firewall-cmd [--permanent] --remove-interface=interface
与source相关的:
firewall-cmd [--permanent] --remove-source=source
firewall-cmd [--permanent] [--zone=zone] --list-sources
firewall-cmd [--permanent] [--zone=zone] --add-source=source
1.3 zone配置文件
一个zone的xml配置文件的示例如下:
<?xml version="1.0" encoding="utf-8"?>
<zone target="DEFAULT">
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
<port protocol="tcp" port="80"/>
<port protocol="tcp" port="8080"/>
<source address="192.168.5.112">
<source address="10.12.18.0/24"/>
<rule family="ipv4">
<source address="10.12.18.0/24"/>
<port protocol="tcp" port="7180-7190"/>
<accept/>
</rule>
</zone>
每个标签的含义:
zone:给一个zone指定target,
target=“ACCEPT|%%REJECT%%|DROP”
可用于接受(ACCEPT)、拒绝(%%REJECT%%)或丢弃(DROP)与任何规则(端口、服务等)都不匹配的每个数据包,即指定该zone的默认的对连接(connection)、网口(interface)或源地址(source address)的行为,如果不指定target,则默认为default,default的行为与REJECT类似。
short:给该zone指定一个名字。
description:对该zone的描述
service:该zone开启的服务(service),service下一小节会讲
port:该zone打开的端口,protocol属性可以指定协议,通常为tcp或udp,port属性指定端口号
source:绑定到该zone的source,其效果等同于 firewall-cmd [–permanent] [–zone=zone] --add-source=source 指令
rule:为该zone添加的富语言规则(rich language rule)。rich language rule的写法可以参照官网https://firewalld.org/documentation/man-pages/firewalld.richlanguage
上述示例的富语言规则的含义为对10.12.18.X网段的source开放7180至7190所有端口的tcp连接请求。
二. Service的概念
service是预定义的一系列的本机的协议、端口、目标ip等,service可以让我们更加方便的让防火墙限制外部对本机的某些端口的访问。service的配置文件在/etc/firewalld/services或/usr/lib/firewalld/services文件夹下,每个service的配置都是一个xml文件。
2.1 service配置文件
系统在/usr/lib/firewalld/services文件夹下为我们预定义了一些列的service配置文件,我们也可以在/etc/firewalld/services定义自己的service。例如,ftp.xml的内容如下:
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>FTP</short>
<description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the vsftpd package installed for this option to be useful.</description>
<port protocol="tcp" port="21"/>
<module name="nf_conntrack_ftp"/>
</service>
这样,在某个zone的配置文件中可以引用这个service,例如,在public.xml中引入ftp service:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<service name="ftp"/>
</zone>
等价于:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<port protocol="tcp" port="21"/>
</zone>
2.2 service相关的指令
打印所有预定义的service(/usr/lib/firewalld/services或/etc/firewalld/services下每个xml配置文件就是一个预定义的service):
firewall-cmd [--permanent] --get-services
列出此zone开启的服务列表:
firewall-cmd [--permanent] [--zone=zone] [--permanent] [--policy=policy] --list-services
将一个service添加到一个zone,timeout可以为这个zone设置这个service的生效时间,过了这个生效时间,此service将从该zone中被移除。–timeout参数和–permanent参数是不兼容的
firewall-cmd [--permanent] [--zone=zone] [--permanent] [--policy=policy] --add-service=service [--timeout=timeval]
三. ipset的概念
ipset,顾名思义,就是可用于将多个IP或MAC地址分组在一起。通过使用ipset,可以将不同的ip地址进行分组,简化ip地址的管理和zone的配置。ipset的配置文件在/etc/firewalld/ipsets目录下,该目录下一个xml配置文件对应一个ipset。
例如,将以下ip地址组合为一个ipset,配置文件命名为ipset1.xml:
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:net">
<entry>10.12.18.201</entry>
<entry>192.168.5.201</entry>
</ipset>
将以下mac地址组合为一个ipset,配置文件命名为ipset2.xml:
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:mac">
<entry>00:11:22:33:44:55</entry>
<entry>11:22:33:44:55:66</entry>
</ipset>
在public.xml中引用这两个ipset:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<source ipset="ipset1" />
<source ipset="ipset2" />
<service name="dhcpv6-client"/>
<service name="ssh"/>
<rule family="ipv4">
<source ipset="ipset1" />
<port port="3306" protocol="tcp" />
<accept />
</rule>
<rule family="ipv4">
<source ipset="ipset2" />
<port port="8080" protocol="tcp" />
<accept />
</rule>
</zone>
这等同于:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<source address="10.12.18.201" />
<source address="192.168.5.201" />
<source mac="00:11:22:33:44:55" />
<source mac="11:22:33:44:55:66" />
<service name="dhcpv6-client"/>
<service name="ssh"/>
<rule family="ipv4">
<source address="10.12.18.201" />
<port port="3306" protocol="tcp" />
<accept />
</rule>
<rule family="ipv4">
<source address="192.168.5.201" />
<port port="3306" protocol="tcp" />
<accept />
</rule>
<rule family="ipv4">
<source mac="00:11:22:33:44:55" />
<port port="8080" protocol="tcp" />
<accept />
</rule>
<rule family="ipv4">
<source mac="11:22:33:44:55:66" />
<port port="8080" protocol="tcp" />
<accept />
</rule>
</zone>
显然,采用ipset可以极大简化配置。
四. direct.xml
除了使用zone来配置防火墙以外,还可以直接为防火墙添加iptables规则,这些规则会放在配置文件/etc/firewalld/direct.xml中。默认情况下,Centos 7没有这个文件,只有当用户为direct interface添加iptables规则时,才会生成这个文件。通过该方法添加的防火墙规则具有最高优先度,也就是说,如果direct.xml中的某条规则与zone的规则冲突时,以direct.xml为准。但firewalld官网并不推荐我们使用direct.xml。
给direct interface添加一条防火墙规则的指令如下:
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 10.48.186.6 -j ACCEPT
使用direct.xml需要用户本身对iptables的概念有一定基础(tables, chains, commands, parameters, targets),具体可以参考https://firewalld.org/documentation/man-pages/firewalld.direct.html。
direct interface后续可能会被弃用,被policies代替。
CentOS7下Firewall防火墙配置用法详解
“守护进程”
应用程序、守护进程和用户可以通过 D-BUS 请求启用一个防火墙特性。特性可以是预定义的防火墙功能,如:服务、端口和协议的组合、端口/数据报转发、伪装、ICMP 拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。
静态防火墙(system-config-firewall/lokkit)
使用 system-config-firewall 和 lokkit 的静态防火墙模型实际上仍然可用并将继续提供,但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。
使用iptables和ip6tables的静态防火墙规则
如果你想使用自己的 iptables 和 ip6tables 静态防火墙规则, 那么请安装 iptables-services 并且禁用 firewalld ,启用 iptables 和ip6tables:
yum install iptables-services systemctl mask firewalld.service systemctl enable iptables.service systemctl enable ip6tables.service
systemctl stop firewalld.service systemctl start iptables.service systemctl start ip6tables.service
什么是区域?
网络区域定义了网络连接的可信等级。这是一个一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。
预定义的服务
服务是端口和/或协议入口的组合。备选内容包括 netfilter 助手模块以及 IPv4、IPv6地址。
端口和协议
定义了 tcp 或 udp 端口,端口可以是一个端口或者端口范围。
ICMP阻塞
可以选择 Internet 控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。
私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。
端口转发
端口可以映射到另一个端口以及/或者其他主机。
哪个区域可用?
由firewalld 提供的区域按照从不信任到信任的顺序排序。
丢弃
任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。
阻塞
任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。
公开
用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。(You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.)
外部
用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。
隔离区(dmz)
用以允许隔离区(dmz)中的电脑有限地被外界网络访问。只接受被选中的连接。
工作
用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
家庭
用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
内部
用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
受信任的
允许所有网络连接。
我应该选用哪个区域?
例如,公共的 WIFI 连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。
如何配置或者增加区域?
你可以使用任何一种 firewalld 配置工具来配置或者增加区域,以及修改配置。工具有例如 firewall-config 这样的图形界面工具, firewall-cmd 这样的命令行工具,以及D-BUS接口。或者你也可以在配置文件目录中创建或者拷贝区域文件。 @[email protected]/lib/firewalld/zones 被用于默认和备用配置,/etc/firewalld/zones 被用于用户创建和自定义配置文件。
如何为网络连接设置或者修改区域
区域设置以 ZONE= 选项 存储在网络连接的ifcfg文件中。如果这个选项缺失或者为空,firewalld 将使用配置的默认区域。
由NetworkManager控制的网络连接
防火墙不能够通过 NetworkManager 显示的名称来配置网络连接,只能配置网络接口。因此在网络连接之前 NetworkManager 将配置文件所述连接对应的网络接口告诉 firewalld 。如果在配置文件中没有配置区域,接口将配置到 firewalld 的默认区域。如果网络连接使用了不止一个接口,所有的接口都会应用到 fiwewalld。接口名称的改变也将由 NetworkManager 控制并应用到firewalld。
由脚本控制的网络
对于由网络脚本控制的连接有一条限制:没有守护进程通知 firewalld 将连接增加到区域。这项工作仅在 ifcfg-post 脚本进行。因此,此后对网络连接的重命名将不能被应用到firewalld。同样,在连接活动时重启 firewalld 将导致与其失去关联。现在有意修复此情况。最简单的是将全部未配置连接加入默认区域。
使用firewalld
你可以通过图形界面工具 firewall-config 或者命令行客户端 firewall-cmd 启用或者关闭防火墙特性。
使用firewall-cmd
命令行工具 firewall-cmd 支持全部防火墙特性。对于状态和查询模式,命令只返回状态,没有其他输出。
一般应用
获取 firewalld 状态
firewall-cmd --state
firewall-cmd --state && echo "Running" || echo "Not running"
# rpm -qf $( which firewall-cmd ) firewalld-0.3.3-2.fc19.noarch# firewall-cmd --state not running
firewall-cmd --reload
firewall-cmd --get-zones
firewall-cmd --get-services
firewall-cmd --get-icmptypes
firewall-cmd --list-all-zones
<zone> interfaces: <interface1> .. services: <service1> .. ports: <port1> .. forward-ports: <forward port1> .. icmp-blocks: <icmp type1> ....
firewall-cmd [--zone=<zone>] --list-all
firewall-cmd --get-default-zone
firewall-cmd --set-default-zone=<zone>
firewall-cmd --get-active-zones
<zone1>: <interface1> <interface2> ..<zone2>: <interface3> ..
firewall-cmd --get-zone-of-interface=<interface>
firewall-cmd [--zone=<zone>] --add-interface=<interface>
firewall-cmd [--zone=<zone>] --change-interface=<interface>
firewall-cmd [--zone=<zone>] --remove-interface=<interface>
firewall-cmd [--zone=<zone>] --query-interface=<interface>
firewall-cmd [ --zone=<zone> ] --list-services
firewall-cmd --panic-on
firewall-cmd --panic-off
| 代码如下 | 复制代码 |
|
应急模式在 0.3.0 版本中发生了变化
在 0.3.0 之前的 FirewallD版本中, panic 选项是 –enable-panic 与 –disable-panic. |
|
firewall-cmd --query-panic
firewall-cmd --query-panic && echo "On" || echo "Off"
处理运行时区域
运行时模式下对区域进行的修改不是永久有效的。重新加载或者重启后修改将失效。
firewall-cmd [--zone=<zone>] --add-service=<service> [--timeout=<seconds>]
firewall-cmd --zone=home --add-service=ipp-client --timeout=60
firewall-cmd --add-service=http
firewall-cmd [--zone=<zone>] --remove-service=<service>
firewall-cmd --zone=home --remove-service=http
firewall-cmd [--zone=<zone>] --query-service=<service>
firewall-cmd [--zone=<zone>] --add-port=<port>[-<port>]/<protocol> [--timeout=<seconds>]
firewall-cmd [--zone=<zone>] --remove-port=<port>[-<port>]/<protocol>
firewall-cmd [--zone=<zone>] --query-port=<port>[-<port>]/<protocol>
firewall-cmd [--zone=<zone>] --add-masquerade
firewall-cmd [--zone=<zone>] --remove-masquerade
firewall-cmd [--zone=<zone>] --query-masquerade
firewall-cmd [--zone=<zone>] --add-icmp-block=<icmptype>
firewall-cmd [--zone=<zone>] --remove-icmp-block=<icmptype>
firewall-cmd [--zone=<zone>] --query-icmp-block=<icmptype>
firewall-cmd --zone=public --add-icmp-block=echo-reply
firewall-cmd [--zone=<zone>] --add-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }
firewall-cmd [--zone=<zone>] --remove-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }
firewall-cmd [--zone=<zone>] --query-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }
firewall-cmd --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2
处理永久区域
永久选项不直接影响运行时的状态。这些选项仅在重载或者重启服务时可用。为了使用运行时和永久设置,需要分别设置两者。 选项 –permanent 需要是永久设置的第一个参数。
firewall-cmd --permanent --get-services
firewall-cmd --permanent --get-icmptypes
firewall-cmd --permanent --get-zones
firewall-cmd --permanent [--zone=<zone>] --add-service=<service>
firewall-cmd --permanent [--zone=<zone>] --remove-service=<service>
firewall-cmd --permanent [--zone=<zone>] --query-service=<service>
firewall-cmd --permanent --zone=home --add-service=ipp-client
firewall-cmd --permanent [--zone=<zone>] --add-port=<port>[-<port>]/<protocol>
firewall-cmd --permanent [--zone=<zone>] --remove-port=<port>[-<port>]/<protocol>
firewall-cmd --permanent [--zone=<zone>] --query-port=<port>[-<port>]/<protocol>
firewall-cmd --permanent --zone=home --add-port=443/tcp
firewall-cmd --permanent [--zone=<zone>] --add-masquerade
firewall-cmd --permanent [--zone=<zone>] --remove-masquerade
firewall-cmd --permanent [--zone=<zone>] --query-masquerade
firewall-cmd --permanent [--zone=<zone>] --add-icmp-block=<icmptype>
firewall-cmd --permanent [--zone=<zone>] --remove-icmp-block=<icmptype>
firewall-cmd --permanent [--zone=<zone>] --query-icmp-block=<icmptype>
firewall-cmd --permanent --zone=public --add-icmp-block=echo-reply
firewall-cmd --permanent [--zone=<zone>] --add-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }
firewall-cmd --permanent [--zone=<zone>] --remove-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }
firewall-cmd --permanent [--zone=<zone>] --query-forward-port=port=<port>[-<port>]:proto=<protocol> { :toport=<port>[-<port>] | :toaddr=<address> | :toport=<port>[-<port>]:toaddr=<address> }
firewall-cmd --permanent --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2
直接选项
直接选项主要用于使服务和应用程序能够增加规则。 规则不会被保存,在重新加载或者重启之后必须再次提交。传递的参数 <args> 与 iptables, ip6tables 以及 ebtables 一致。
firewall-cmd --direct --passthrough { ipv4 | ipv6 | eb } <args>
firewall-cmd --direct --add-chain { ipv4 | ipv6 | eb } <table> <chain>
firewall-cmd --direct --remove-chain { ipv4 | ipv6 | eb } <table> <chain>
firewall-cmd --direct --query-chain { ipv4 | ipv6 | eb } <table> <chain>
firewall-cmd --direct --get-chains { ipv4 | ipv6 | eb } <table>
firewall-cmd --direct --add-rule { ipv4 | ipv6 | eb } <table> <chain> <priority> <args>
firewall-cmd --direct --remove-rule { ipv4 | ipv6 | eb } <table> <chain> <args>
firewall-cmd --direct --query-rule { ipv4 | ipv6 | eb } <table> <chain> <args>
firewall-cmd --direct --get-rules { ipv4 | ipv6 | eb } <table> <chain>
当前的firewalld特性
D-BUS接口
D-BUS 接口提供防火墙状态的信息,使防火墙的启用、停用或查询设置成为可能。
区域
网络或者防火墙区域定义了连接的可信程度。firewalld 提供了几种预定义的区域。区域配置选项和通用配置信息可以在firewall.zone(5)的手册里查到。
服务
服务可以是一系列本读端口、目的以及附加信息,也可以是服务启动时自动增加的防火墙助手模块。预定义服务的使用使启用和禁用对服务的访问变得更加简单。服务配置选项和通用文件信息在 firewalld.service(5) 手册里有描述。
ICMP类型
Internet控制报文协议 (ICMP) 被用以交换报文和互联网协议 (IP) 的错误报文。在 firewalld 中可以使用 ICMP 类型来限制报文交换。 ICMP 类型配置选项和通用文件信息可以参阅 firewalld.icmptype(5) 手册。
直接接口
直接接口主要用于服务或者应用程序增加特定的防火墙规则。这些规则并非永久有效,并且在收到 firewalld 通过 D-Bus 传递的启动、重启、重载信号后需要重新应用。
运行时配置
运行时配置并非永久有效,在重新加载时可以被恢复,而系统或者服务重启、停止时,这些选项将会丢失。
永久配置
永久配置存储在配置文件种,每次机器重启或者服务重启、重新加载时将自动恢复。
托盘小程序
托盘小程序 firewall-applet 为用户显示防火墙状态和存在的问题。它也可以用来配置用户允许修改的设置。
图形化配置工具
firewall daemon 主要的配置工具是 firewall-config 。它支持防火墙的所有特性(除了由服务/应用程序增加规则使用的直接接口)。 管理员也可以用它来改变系统或用户策略。
命令行客户端
firewall-cmd是命令行下提供大部分图形工具配置特性的工具。
对于ebtables的支持
要满足libvirt daemon的全部需求,在内核 netfilter 级上防止 ip*tables 和 ebtables 间访问问题,ebtables 支持是需要的。由于这些命令是访问相同结构的,因而不能同时使用。
/usr/lib/firewalld中的默认/备用配置
该目录包含了由 firewalld 提供的默认以及备用的 ICMP 类型、服务、区域配置。由 firewalld 软件包提供的这些文件不能被修改,即使修改也会随着 firewalld 软件包的更新被重置。 其他的 ICMP 类型、服务、区域配置可以通过软件包或者创建文件的方式提供。
存储在此的系统或者用户配置文件可以是系统管理员通过配置接口定制的,也可以是手动定制的。这些文件将重载默认配置文件。
正在开发的特性
富语言
富语言特性提供了一种不需要了解iptables语法的通过高级语言配置复杂 IPv4 和 IPv6 防火墙规则的机制。
锁定
锁定特性为 firewalld 增加了锁定本地应用或者服务配置的简单配置方式。它是一种轻量级的应用程序策略。
永久直接规则
这项特性处于早期状态。它将能够提供保存直接规则和直接链的功能。通过规则不属于该特性。更多关于直接规则的信息请参阅Direct options。
这项特性处于早期状态。它将尽可能提供由iptables,ip6tables 和 ebtables 服务配置转换为永久直接规则的脚本。此特性在由firewalld提供的直接链集成方面可能存在局限性。
计划和提议功能
防火墙抽象模型
在 ip*tables 和 ebtables 防火墙规则之上添加抽象层使添加规则更简单和直观。要抽象层功能强大,但同时又不能复杂,并不是一项简单的任务。为此,不得不开发一种防火墙语言。使防火墙规则拥有固定的位置,可以查询端口的访问状态、访问策略等普通信息和一些其他可能的防火墙特性。
对于conntrack的支持
要终止禁用特性已确立的连接需要 conntrack 。不过,一些情况下终止连接可能是不好的,如:为建立有限时间内的连续性外部连接而启用的防火墙服务。
用户交互模型
这是防火墙中用户或者管理员可以启用的一种特殊模式。应用程序所有要更改防火墙的请求将定向给用户知晓,以便确认和否认。为一个连接的授权设置一个时间限制并限制其所连主机、网络或连接是可行的。配置可以保存以便将来不需通知便可应用相同行为。 该模式的另一个特性是管理和应用程序发起的请求具有相同功能的预选服务和端口的外部链接尝试。服务和端口的限制也会限制发送给用户的请求数量。
用户策略支持
管理员可以规定哪些用户可以使用用户交互模式和限制防火墙可用特性。
端口元数据信息(由 Lennart Poettering 提议)
拥有一个端口独立的元数据信息是很好的。当前对 /etc/services 的端口和协议静态分配模型不是个好的解决方案,也没有反映当前使用情况。应用程序或服务的端口是动态的,因而端口本身并不能描述使用情况。
- 允许外部访问文件共享应用程序或服务
- 允许外部访问音乐共享应用程序或服务
- 允许外部访问全部共享应用程序或服务
- 允许外部访问 torrent 文件共享应用程序或服务
- 允许外部访问 http 网络服务
第一种是添加到 netfilter (内核空间)。好处是每个人都可以使用它,但也有一定使用限制。还要考虑用户或系统空间的具体信息,所有这些都需要在内核层面实现。
第二种是添加到 firewall daemon 中。这些抽象的规则可以和具体信息(如:网络连接可信级、作为具体个人/主机要分享的用户描述、管理员禁止完全共享的应归则等)一起使用。
第二种解决方案的好处是不需要为有新的元数据组和纳入改变(可信级、用户偏好或管理员规则等等)重新编译内核。这些抽象规则的添加使得 firewall daemon 更加自由。即使是新的安全级也不需要更新内核即可轻松添加。
现在仍有 sysctl 设置没有正确应用。一个例子是,在 rc.sysinit 正运行时,而提供设置的模块在启动时没有装载或者重新装载该模块时会发生问题。
防火墙规则
netfilter 防火墙总是容易受到规则顺序的影响,因为一条规则在链中没有固定的位置。在一条规则之前添加或者删除规则都会改变此规则的位置。 在静态防火墙模型中,改变防火墙就是重建一个干净和完善的防火墙设置,且受限于 system-config-firewall / lokkit 直接支持的功能。也没有整合其他应用程序创建防火墙规则,且如果自定义规则文件功能没在使用 s-c-fw / lokkit 就不知道它们。默认链通常也没有安全的方式添加或删除规则而不影响其他规则。
*filter :INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]:FORWARD_ZONES - [0:0]:FORWARD_direct - [0:0]:INPUT_ZONES - [0:0]:INPUT_direct - [0:0]:IN_ZONE_public - [0:0]:IN_ZONE_public_allow - [0:0]:IN_ZONE_public_deny - [0:0]:OUTPUT_direct - [0:0]-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -j INPUT_direct -A INPUT -j INPUT_ZONES -A INPUT -p icmp -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -j FORWARD_direct -A FORWARD -j FORWARD_ZONES -A FORWARD -p icmp -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A OUTPUT -j OUTPUT_direct -A IN_ZONE_public -j IN_ZONE_public_deny -A IN_ZONE_public -j IN_ZONE_public_allow -A IN_ZONE_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT -A IN_ZONE_public_allow -d 224.0.0.251/32 -p udp -m udp --dport 5353 -m conntrack --ctstate NEW -j ACCEPT -A IN_ZONE_public_allow -p udp -m udp --dport 631 -m conntrack --ctstate NEW -j ACCEPT
以上是关于Centos7 防火墙配置详解(非常详细!)的主要内容,如果未能解决你的问题,请参考以下文章