FirewallD 快速使用文档

Posted 2021-11-07 huakai201

FirewallD简介

FirewallD是CentOS7系列上代替iptables管理netfilter的配置工具，提供图形化和命令行，使用python开发（新版中计划使用c++重写），提供图形化和命令行两种管理方式，接下来我们来介绍下FirewallD的特性：

动态性

firewalld既然是作为iptables的替代品，那就不得不拿出iptables来比较，在iptables中我们将新的iptables规则写入/etc/sysconfig/iptables中，必须要执行命令service iptables reload 使变更的规则生效，在这个命令背后包含着两个步骤，

一、对旧的防火墙规则进行了清空，

二、重新完整的加载所有新的防火墙规则。

那么接下来我们看firewalld是怎么做的，

只需要将变更部分保存并更新到运行中的防火墙之中即可

在繁忙的系统中，firewalld无异于大大减少了防火墙对系统造成的不良影响。

易用性

比如我们要开放http服务，我们来看都是如何操作的：

iptables

~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT

firewalld

~]# firewall-cmd —add-service=http

iptables中你要明白INPUT链、tcp协议、80端口 还有accept才能放行http服务，而firewalld你只需要添加http服务即可。

其它特性持续更新。。。

 

FirewallD上手

系统要求

CentOS 7 +

查看FirewallD状态

~ ]# firewall-cmd --state running

~]# systemctl status firewalld |grep

active Active: active (running)

以上都说明FIrewallD处于运行状态

查看FirewallD规则

查看当前系统对外开放的端口

~]# firewall-cmd --list-ports

20/tcp 21/tcp 22/tcp 80/tcp 8888/tcp 39000-40000/tcp 888/tcp

20/tcp：当前系统开放的端口有当前系统开放的有tcp协议的22端口，

39000-40000:当前系统开放的端口39000-40000之间的所有端口

查看当前区域的所有配置

~]# firewall-cmd --list-all

public (active)

　　 target: default

　　 icmp-block-inversion: no

　　 interfaces: eth0 eth1

　　 sources: services: ssh dhcpv6-client

　　 ports:20/tcp 21/tcp 22/tcp 80/tcp 8888/tcp 39000-40000/tcp 888/tcp

　　 protocols:

　　 masquerade: yes

　　 forward-ports:

　　 source-ports:

　　 icmp-blocks:

　　 rich rules:

　　　　 rule family="ipv4" port port="80" protocol="tcp" accept

Ports 跟上一条命令执行结果相同

rich rules：是一些特殊的配置

其它我们在这里不做过多介绍

 

启动，关闭，重启

~]# systemctl start firewalld

~]# systemctl stop firewalld

~]# systemctl restart firewalld

Firewalld实战

放行http服务的三种方式

用过iptables的都知道，执行命令的规则如果没有save重启就会丢失，而firewall-cmd提供了—permanent来提供永久配置而不是重启就丢失

使用service

~]# firewall-cmd —add-service=http

修改配置文件方式

/etc/firewalld/zones/public.xml

<zone>

　　<service name="http"/> 
</zone>

此种配置方式适用于系统自带的服务

使用端口

~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" port port="80" protocol="tcp" accept"

修改配置文件方式

/etc/firewalld/zones/public.xml

<zone>

　　<port protocol="tcp" port="80"/> 
</zone>

此种配置方式适用于非系统自带的服务

使用自定义service

1.从自带的模版中复制一个模版

~ ]# cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services/ftp1.xml

2.修改ftp1.xml

<?xml version="1.0" encoding="utf-8"?>

<service>

　　 <short>ftp1</short>

　　 <description>zidingyi</description>

　　 <port protocol="tcp" port="6666"/>

</service>

 

3.添加自定义服务

~]# firewall-cmd —add-service=ftp1

4.查看

]# firewall-cmd --list-all public target: default icmp-block-inversion: no interfaces: sources: services: dhcpv6-client ssh ftp1

放行192.168.1.0/24整个网段

~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" accept"

放行192.168.1.0/24对80端口的访问

~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port port="80" protocol="tcp" accept"

放行192.168.1.1 对22端口访问

~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port port="22" protocol="tcp" accept"

nat代理上网稍后更新。

注意事项：

　　添加规则需要执行以下命令才能生效

　　　　firewall-cmd --reload

　　

 

写此博客主要是为了记录CentOS7上FirewallD的一些常规用法，并整理出来提供给需要快速完成firewalld需求的用户。话不多说，直接开整。