firewalld概述
firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式:临时模式、永久模式
firewalld与iptables 的区别:
1.iptables主要是基于接口,来设置规则,从而判断网络的安全性。
firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
2.iptables 在/etc/sysconfig/iptables中储存配置,
firewalld将配置储存在/etc/firewalld/(优先加载)和/usr/lib/firewalld/(默认的配置文件)中的各种XML文件里。
3.使用iptables每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新 的规则。
使用firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时 间内,改变设置而不丢失现行连接。
4.iptables防火墙类型为静态防火墙
firewalld防火墙类型为动态防火墙
firewalld区域的概念:
firewalldl防火墙为了简化管理,将所有网络流量分为多个区域(zone)。
然后根据数据包的源TP地址或传入的网络接口等条件将流量传入相应区域。
每个区域都定义了自己打开或者关闭的端口和服务列表。
这些区域配置文件存在于/usr/lib/firewalld/zones目录中,还有一个目录/etc/firewalld/zones。
firewalld使用规则时,会首先到/etc/firewalld/目录中查找,如果可以找到就直接使用,找不到会继续到/usr/lib/firewalld/目录中查找。
firewalld防火墙定义了9个区域
1.trusted(信任区域)允许所有的传入流量。
2.public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
3.external(外部区域)允许与ssh预定义服务匹配的传入流量其余均拒绝。
4.home(家庭区域)允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。
5.internal(内部区域)默认值与home区域相同。
6。work(工作区域)允许与ssh、dhcpv6-client预定义服务匹配的传入流量,其他均拒绝
7.dmz(隔离区域也称非军事区域)允许与ssh预定义服务匹配的传入流量,其他均拒绝。
8.block(限制区域)拒绝所有传入流量。
9.drop(丢弃区域)丢弃所有传入流量,并且不产生包含icmp的错误响应。
firewalld区域介绍
最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。
默认情况下,public区域是默认区域,包含所有接口(网卡)。
firewalld数据处理流程:
firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。
firewalld检查数据包的源地址的规则:
1.若源地址关联到特定的区域,则执行该区域所指定的规则
2.若源地址未关联到特定的区域,则使用传入网络接口的区域 并执行该区域所指定的规则
3.若网络接口未关联到特定的区域,则使用默认区域并执行该 区域所指定的规则
Firewalld防火墙的配置方法
1、firewall-config 图形化工具(生产环境一般只有字符界面,不使用这种方法)
2、firewall-cmd 命令行工具(生产环境中没有图形化界面,所以只能在命令行进行配置)
3、编写 /etc/firewalld 中的配置文件。
firewall-config 图形化工具
在命令行输入”firewall-config“,回车后会弹出图形化管理工具。生产环境一般只有字符界面,不使用这种方法。
firewall-cmd 命令行工具
常用的 firewall-cmd 命令选项:
不指定区域时,则对默认区域进行操作(默认区域可自定义,不修改则为public)
#默认区域
--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其网卡接口
--get-zones:显示所有可用的区域
#网络接口
--get-zone-of-interface=ens33 :查看指定接口ens33绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
--zone=<zone> --change-interface=<interface> :为指定区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定区域删除绑定的网络接口
#源地址
--zone=<zone> --add-source=<source>[/<mask>] :为指定源地址绑定区域
--zone=<zone> --change-source=<source>[/<mask>] :为指定的区域更改绑定的源地址
--zone=<zone> --remove-source=<source>[/<mask>] :为指定的区域删除绑定的源地址
#显示指定区域的所有规则
--list-all-zones :显示所有区域及其规则
--zone=<zone> --list-all :显示所有指定区域的所有规则,若不指定区域表示仅对默认的区域操作
#服务管理
--zone=<zone> --list-service :显示指定区域内允许访问的所有服务
--zone=<zone> --add-service=<service> :为指定的区域设置允许访问的某项服务
--zone=<zone> --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
#端口管理
--zone=<zone> --list-ports:x显示指定区域内允许访问的所有端口号
--zone=<zone> --add-port=<poreid>[-portid]/<portocol>:为指定的区域设置允许访问的某个端口号/某段端口号(包括协议)
--zone=<zone> --remove-port=<poreid>[-portid]/<portocol>:删除指定区域已设置允许访问的端口号(包括协议)
#icmp协议
--zone=<zone> --list-icmp-blocks :显示指定区域内拒接访问的所有icmp类型
--zone=<zone> --add-icmp-block=<icmptype>:为指定区域设置允许访问的某项icmp类型
--zone=<zone> --remove-icmp-block=<icmptype>删除指定区域已设置允许访问的某项icmp类型
firealld-cmd --get-icmptypes :显示所有icmp类型
Firewalld两种配置模式
运行时配置:
- 实时生效,并持续至Firewalld重新启动或重新加载配置文件
- 不中断现有连接
- 不能修改服务器配置
永久配置:
- 不立即生效,除非Firewaddl重新启动或重新加载配置
- 中断现有连接
- 可以修改服务配置
运行时配置(临时配置)
运行时配置,实时生效,不会中断现有连接。重启后丢失。
示例1:查看和设置默认区域
--get-default-zone :显示当前默认区域
--set-default-zone=< zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其网卡接口
[root@yuji ~]# firewall-cmd --get-default-zone //显示当前默认区域
public
[root@yuji ~]# firewall-cmd --get-active-zone //当前正在使用的区域及其网卡接口
public
interfaces: ens33
[root@yuji ~]# firewall-cmd --set-default-zone=home //将默认区域设置为home
success
[root@yuji ~]# firewall-cmd --get-default-zone //显示当前默认区域
home
[root@yuji ~]# firewall-cmd --set-default-zone=public //将默认区域设置为public success
示例2:对指定网卡进行操作
add 增加绑定,change修改,remove 删除
#增加绑定
[root@yuji ~]# firewall-cmd --get-active-zone
public
interfaces: ens34 ens33
[root@yuji ~]# firewall-cmd --zone=work --add-interface=ens33
The interface is under control of NetworkManager, setting zone to 'work'.
success
[root@yuji ~]# firewall-cmd --get-active-zone
work
interfaces: ens33
public
interfaces: ens34
#修改网卡绑定的区域
[root@yuji ~]# firewall-cmd --zone=home --change-interface=ens33
The interface is under control of NetworkManager, setting zone to 'home'.
success
[root@yuji ~]# firewall-cmd --get-active-zone
home
interfaces: ens33
public
interfaces: ens34
#删除网卡和区域的绑定关系
[root@yuji ~]# firewall-cmd --zone=home --remove-interface=ens33
The interface is under control of NetworkManager, setting zone to default.
success
[root@yuji ~]# firewall-cmd --get-active-zone
public
interfaces: ens33
示例3:对源地址进行操作
[root@yuji ~]# firewall-cmd --add-source=2.2.2.2 --zone=work //将源地址绑定到work区域
success
[root@yuji ~]# firewall-cmd --get-active-zone
work
sources: 2.2.2.2
public
interfaces: ens33 ens34
[root@yuji ~]# firewall-cmd --remove-source=2.2.2.2 --zone=work //删除源地址和work区域的绑定关系
success
[root@yuji ~]# firewall-cmd --get-active-zone
public
interfaces: ens33 ens34
复制代码
示例4:查看指定区域的所有规则
不指定区域时,则对默认区域进行操作(默认区域可自定义,不修改则为public)
firewall-cmd --list-all-zones:显示所有区域及其规则
firewall-cmd --list-all : 不指定区域时,查看的是默认区域
firewall-cmd --list-all --zone=work:显示work区域的所有规则
[root@yuji ~]# firewall-cmd --list-all-zones //显示所有区域及其规则
[root@yuji ~]# firewall-cmd --list-all //不指定区域时查看的是默认区域
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 //绑定的
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@yuji ~]# firewall-cmd --list-all --zone=work //查看work区域的规则
work
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
复制代码
示例5:服务管理
显示、添加、删除指定区域的某个服务:
[root@yuji ~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client
[root@yuji ~]# firewall-cmd --zone=work --add-service=http
success
[root@yuji ~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client http
[root@yuji ~]# firewall-cmd --zone=work --remove-service=http
success
[root@yuji ~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client
复制代码
向默认区域中添加允许通过的服务:
[root@yuji ~]# firewall-cmd --add-service=http
success
[root@yuji ~]# firewall-cmd --list-services --zone=public
ssh dhcpv6-client http
复制代码
一次性添加多个服务:
[root@yuji ~]# firewall-cmd --zone=work --add-service={http,https,ftp}
success
[root@yuji ~]# firewall-cmd --list-services --zone=work
ssh dhcpv6-client http https ftp
复制代码
示例6:端口管理
添加、删除某个协议的端口。
[root@yuji ~]# firewall-cmd --zone=work --add-port=80/tcp
success
[root@yuji ~]# firewall-cmd --zone=work --list-ports
80/tcp
[root@yuji ~]# firewall-cmd --zone=work --list-all
work
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client http https ftp
ports: 80/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
复制代码
添加连续的端口:
[root@yuji ~]# firewall-cmd --add-port=3000-5000/udp
success
[root@yuji ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 ens34
sources:
services: ssh dhcpv6-client http
ports: 3000-5000/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[root@yuji ~]# firewall-cmd --remove-port=3000-5000/udp
success
复制代码
永久配置
永久配置不立即生效,需要重启服务或重新加载后才生效。重启服务或重新加载时会中断现有连接。下次重启后不会丢失,永久存在。
示例:
1、--permanent 设置成永久生效,需要重启服务或重新加载 后才生效。
#同时添加 httpd、https 服务到默认区域,并设置成永久生效。
firewall-cmd --add-service={http,https} --permanent
firewall-cmd --reload
#添加使用 --permanent选项表示设置成永久生效,需要重新启动 firewalld 服务或执行firewall-cmd --reload 命令重新加载后才生效;
复制代码
2、把运行时配置转换成永久配置
firewall-cmd --runtime-to-permanent
#将当前的运行时配置,写入规则配置文件中,使之成为永久性配置。
复制代码
示例1:直接进行永久配置
同时添加 httpd、https 服务到默认区域,并设置成永久生效。
[root@yuji ~]# firewall-cmd --add-service={http,https} --permanent
success
[root@yuji ~]# firewall-cmd --reload
success
[root@yuji ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: ssh dhcpv6-client http https
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
复制代码
示例2:把运行时配置 转换成 永久配置
将当前的运行时配置,写入规则配置文件中,使之成为永久性配置。
[root@yuji ~]# firewall-cmd --runtime-to-permanent
success
复制代码
设置SNAT规则和DNAT规则
设置SNAT策略:
[root@yuji ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.72.0/24 -j SNAT --to-source 12.0.0.254
success
[root@yuji ~]# iptables -t nat -nL POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.72.0/24 0.0.0.0/0 to:12.0.0.254
复制代码
设置DNAT策略:
[root@yuji ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10
success
[root@yuji ~]# iptables -t nat -nL PREROUTINGChain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 12.0.0.254 tcp dpt:80 to:192.168.72.10
复制代码
小贴士:
拒绝某个地址访问所有服务,可以通过block和drop区域,即将这个源地址和block区域绑定(或者和drop区域绑定)。但是拒绝这个源地址访问单个服务,要通过富规则实现。
例如现在有个地址192.168.89.10,只想拒绝它使用ssh服务,其他都放行。需要通过富规则实现。
firewall-cmd --add-rich-rule=...
