firewalld防火墙
一、防火墙安全概述
在Centos7系统中继承了多款防火墙管理工具,默认启动的是firewalld(动态防火墙管理器)防火墙管理工具,Firewalld支持CLI(命令行)以及(图形)的两种管理方式。 对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较的麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,
相对Iptables来说要简单不少,所以建议刚接触Centos7系统的人员直接学习Firewalld。
需要注意的是:如果开启防火墙工具,并且没有配置任何允许的规则,那么从外部访问防火墙设备默认会被阻止,但是如果直接从防火墙内部往外部留出的流量默认会被允许。 firewalld 只能做和IP/Port相关的限制,web相关的限制无法实现。
二、防火墙区域管理
那么相较于传统发Iptables防火墙,firewalld支持动态更新,并加入了区域zone的概念 简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据不同的场景选择不同的策略模板,从而实现防火墙策略之间的快速切换
需要注意的是Firewalld中的区域与接口 一个网卡仅能绑定一个区域,ech0 -->A区域 但一个区域可以绑定多个网卡。A区域-->eth0 eth1 eth2 还可以根据来源的地址设定不同的规则。比如:所有人能访问80端口,但只有公司的IP才允许访问22端口。
区域
| 区域 | 默认规则策略 |
|---|---|
| trusted | 允许所有的数据包流入 |
| home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量 |
| internal | 等同于home区域 |
| work | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许流量 |
| public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量 |
| external | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| dmz | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| block | 拒绝流入的流量,除非与流出的流量相关 |
| drop | 拒绝流入的流量,除非与流出的流量相关 |
#必须要记住的三个区域,其他的无所谓 trusted 白名单 public 默认区域 drop 黑名单
三、防火墙基本指令参数
1.firewall-cmd命令分类列表
| 参数 | 作用 |
|---|---|
| zone区域相关指令 | |
| --get-default-zone | 获取默认的区域名称 |
| --set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
| --get-active-zones | 显示当前正在使用的区域与网卡名称 |
| --get-zones | 显示总共可用的区域 |
| --new-zone= | 新增区域 |
| services服务相关命令 | |
| --get-services | 列出服务列表中所有可管理的服务 |
| --add-service= | 设置默认区域允许该填加服务的流量 |
| --remove-service= | 设置默认区域不允许该删除服务的流量 |
| Port端口相关指令 | |
| --add-port=<端口号/协议> | 设置默认区域允许该填加端口的流量 |
| --remove-port=<端口号/协议> | 置默认区域不允许该删除端口的流量 |
| Interface网站相关指令 | |
| --add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
| --remove-interface=<网卡名称> | 取消网卡绑定区域 |
| sourceIP相关指令 | |
| --add-source=<IP/位数> | 设置默认IP允许服务的流量 |
| --remove-source=<IP/位数> | 移除设置的默认IP允许服务的流量 |
| 其他相关指令 | |
| --list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| --reload | 让“永久生效”的配置规则立即生效,并覆盖当前的规则 |
# 测试
# zone区域相关
[root@web02 ~]# systemctl start firewalld #启动防火墙
[root@web02 ~]# firewall-cmd --get-default-zone #获取默认的区域名称
public
[root@web02 ~]# firewall-cmd --get-active-zones #显示当前正在使用的区域与网卡名称
public
interfaces: eth0 eth1
[root@web02 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
# services服务相关
[root@web02 ~]# firewall-cmd --get-services #列出可管理的服务
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 ...
[root@web02 ~]# ll /usr/lib/firewalld/
total 16
drwxr-xr-x. 2 root root 224 Jun 14 2023 helpers
drwxr-xr-x. 2 root root 4096 Jun 14 2023 icmptypes
drwxr-xr-x. 2 root root 20 Jun 14 2023 ipsets
drwxr-xr-x. 2 root root 8192 Jun 14 2023 services #服务都在里面,xml可以直接添加
drwxr-xr-x. 2 root root 94 Jun 14 2023 xmlschema
drwxr-xr-x. 2 root root 163 Jun 14 2023 zones #zone都在这里面,xml可以直接添加
注: 修改或者新建服务/zone的xml后,执行 firewall-cmd --reload ,即可生效
[root@web02 ~]# firewall-cmd --list-all #查看允许的服务
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client #当前允许的服务
[root@web02 ~]# firewall-cmd --add-service=http #添加http服务
success
[root@web02 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client http #添加了http服务
[root@web02 ~]# vim /usr/lib/firewalld/services/http.xml
<port protocol="tcp" port="80"/> #本质上还是允许的端口
#注:一般情况下,直接允许端口即可。不清楚服务使用何端口时,才允许服务
[root@web02 ~]# firewall-cmd --remove-service=http #移除http服务
#Port端口相关
[root@web02 ~]# firewall-cmd --add-port=80/tcp #等效于上面添加http服务
success
[root@web02 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports: 80/tcp
# [root@web02 ~]# firewall-cmd --add-port=80/tcp --add-port=80/udp #追加tcp和udp协议
[root@web02 ~]# firewall-cmd --remove-port=80/tcp #移除
success
# [root@web02 ~]# firewall-cmd --remove-port={80/tcp,80/udp} #移除多个
[root@web02 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports:
四、防火墙区域配置策略
为了能正常使用firewalld服务和相关工具去管理防火墙,必须启动firewalld服务,同时关闭以前旧的防火墙相关服务,需要注意firewalld的规则分为两种状态: runtime运行时: 修改规则马上生效,但如果重启服务则失效,测试建议。 permanent持久配置: 修改规则后需要reload重载服务才会生效,生产建议。 # 例: #临时生效,reload后就没了 [root@web02 ~]# firewall-cmd --add-port=80/tcp --add-port=80/udp # 永久生效,加上--permanent参数 [root@web02 ~]# firewall-cmd --add-port=80/tcp --add-port=80/udp --permanent #添加完没生效,需要reload生效 [root@web02 ~]# firewall-cmd --reload [root@web02 ~]# firewall-cmd --list-all # 就能查看到已生效 # 一般情况下,先测试,如果测试不成功,立马reload。测试通过后,加上 --permanent即可,这样不用重启
1.禁用与取消禁用防火墙
# 禁用防火墙(iptables和firewall不要同时开) [root@web02 ~]# systemctl mask iptables.service Created symlink from /etc/systemd/system/iptables.service to /dev/null. # 取消禁用防火墙 [root@web02 ~]# systemctl unmask iptables.service Removed symlink /etc/systemd/system/iptables.service.
2.启动firewalld
[root@web02 ~]# systemctl stop firewalld [root@web02 ~]# systemctl start firewalld [root@web02 ~]# systemctl enable firewalld # 加入自启动
3.firewalld常用命令
# 查看默认使用的区域
[root@web02 ~]# firewall-cmd --get-default-zone
public
# 查看区域的规则
[root@web02 ~]# firewall-cmd --list-all
public (active) # active表示活跃的,在用的
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
# 指定查看区域规则
[root@web02 ~]# firewall-cmd --list-all --zone=public
public (active) #区域(活跃的)
target: default #状态:默认
icmp-block-inversion: no #ICMP块
interfaces: eth0 eth1 #区域绑定的网卡
sources: #允许流量的IP
services: ssh dhcpv6-client #允许流量的服务
ports: 80/tcp 80/udp #允许流量的端口
protocols: #允许流量的协议 {'tcp'|'udp'|'sctp'|'dccp'} 一般不特别指定协议
masquerade: no #ip伪装
forward-ports: #端口转发
source-ports: #来源端口
icmp-blocks:
rich rules: #富规则
#查询区域是否允许某服务
[root@web02 ~]# firewall-cmd --zone=public --query-service=ssh
no
[root@web02 ~]# firewall-cmd --list-all --zone=public #实际上用这命令即可
#重启防火墙(清理临时的设置)
[root@web02 ~]# firewall-cmd --reload
success
4.配置测试
配置要求:调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许
#配置默认区域拒绝所有的访问
[root@web02 ~]# firewall-cmd --list-all
public (active)
...
services: ssh dhcpv6-client
ports:
protocols:
[root@web02 ~]# firewall-cmd --remove-service={ssh,dhcpv6-client} # ssh删除就连不上了,但是已经连上的没事
success
[root@web02 ~]# firewall-cmd --list-all
public (active)
...
services:
ports:
protocols:
#配置允许的网段
#添加白名单,一定要配置在trusted,配置在public是不行的
[root@web02 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted
success
#查看使用的区域规则
[root@web02 ~]# firewall-cmd --get-active-zones
public
interfaces: eth0 eth1
trusted
sources: 10.0.0.0/24
五、防火墙配置放行策略
1.firewalld放行服务
[root@web02 ~]# firewall-cmd --add-service=http # http服务允许80端口(等同于放行80端口)
# 测试生没生效
[root@web02 ~]# yum install -y httpd # httpd服务接收80端口
[root@web02 ~]# systemctl start httpd
# 输入http://10.0.0.8/,查看是否可以连接
#可以自己配置服务添加(下面添加随便服务)
[root@web02 conf.d]# cp /usr/lib/firewalld/services/{http.xml,suibian.xml}
[root@web02 ~]# firewall-cmd --add-service=suibian
2.firewalld放行端口(推荐加端口,比加服务简单)
[root@web02 ~]# firewall-cmd --add-port=80/tcp success [root@web02 ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: 80/tcp #移除允许的端口 [root@web02 ~]# firewall-cmd --remove-port=80/tcp
3.放行网段
#配置允许的网段 [root@web02 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted success
六、防火墙配置端口转发策略
端口转发是指传统的目标地址映射,实现外网访问内网资源 流量转发语法为: firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
1.端口转发实现
实例: 需要将本地的10.0.0.8:5555端口转发至后端172.16.1.7:22端口
# web01模拟没有外网网卡的情况,关闭网卡 [root@web01 ~]# ifdown eth0 #1. 添加端口转发 (web02) [root@web02 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.7 success #2. 开启IP伪装, masquerade #ip伪装(web02转发给web01时,把源头ip10.0.0.1伪装成web02的ip,这样web01返回时能返回web02,否则返回10.0.0.1不通) [root@web02 ~]# firewall-cmd --add-masquerade success #3. 查看规则 [root@web02 ~]# firewall-cmd --list-all ... masquerade: yes forward-ports: port=5555:proto=tcp:toport=22:toaddr=172.16.1.7 #4. 测试连接 [C:\~]$ ssh 10.0.0.8 5555
七、防火墙富规则
firewalld中的富语言规则表示更细致,更详细的防火墙策略配置,他可以针对系统服务、端口号、原地址和目标地址等诸多信息进行更有针对性的策略配置,
优先级在所有的防火墙策略中也是最高的,下面为firewalld富语言规则帮助手册
#富规则语法 [root@web01 ~]# man firewalld.richlanguage rule [source] [destination] service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port [log] [audit] [accept|reject|drop|mark] rule [family="ipv4|ipv6"] source address="address[/mask]" [invert="True"] service name="service name port port="port value" protocol="tcp|udp" protocol value="protocol value" forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address" accept | reject [type="reject type"] | drop # reject拒绝,drop直接丢弃。一般用drop,不用reject #富语言规则相关命令 --add-rich-rule='<RULE>' #在指定的区域添加一条富语言规则 --remove-rich-rule='<RULE>' #在指定的区域删除一条富语言规则 --query-rich-rule='<RULE>' #找到规则返回0,找不到返回1 --list-rich-rules #列出指定区里的所有富语言规则
1.实例一
例题:允许10.0.0.1主机能够访问http服务,允许172.16.1.0/24能访问10050端口
#允许10.0.0.1主机能够访问http服务(注意这里要添加服务,需要一条命令,一条命令添加) [root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 service name=http accept' #允许172.16.1.0/24能访问10050端口** [root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port=10050 protocol=tcp accept' #查看富规则 [root@web02 ~]# firewall-cmd --list-all
2.示例二
例题: 默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器
# 如果使用reject,通过ssh连接会返回拒绝;如果用drop,ssh连接不会收到返回信息 [root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop' [root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh reject' #drop和reject drop直接丢弃,不返回任何内容 reject拒绝,返回拒绝的内容
3.实例三
例题: 当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口
[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 forward-port port=5555 protocol=tcp to-port=22 to-addr=172.16.1.7' [root@web02 ~]# firewall-cmd --add-masquerade #测试 [C:\~]$ ssh 10.0.0.8 5555 #在web01上测试 [root@web01 ~]# ssh 10.0.0.8 -p 5555 ssh: connect to host 10.0.0.8 port 5555: No route to host
4.查看富规则
[root@web02 ~]# firewall-cmd --list-rich-rules rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.7"
5.firewalld配置禁ping
[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 protocol value=icmp drop'
注:一般所有的拒绝或接受都配置在默认区域,当指定IP访问指定端口或者服务的时候使用富规则
八、防火墙规则备份
#把web02上的public区规则复制到web01机器上。web01重新加载即可生效 [root@web02 ~]# scp /etc/firewalld/zones/public.xml 172.16.1.7:/etc/firewalld/zones/ #我们防火墙的配置,永久生效后会保存在/etc/firewalld/zones/这个目录下面,所以如果进行服务器集群扩展,或者配置相同防火墙时,
只需要把该文件拿过来启动防火墙(或重新加载)即可 #备份以上目录(/etc/firewalld/zones/这个目录) #备份文件一定是在永久生效后才会在目录下多生成一个文件(或修改内部内容,富规则可以直接修改xml内容,复制修改整个<rule>标签,防火墙reload即可生效) # 注:scp是基于ssh协议的,允许ssh协议,scp就能用
九、防火墙内部共享上网
在指定的带有公网IP的实例上启动Firewalld防火墙的NAT地址转换,以此达到内部主机上网。 在公司里面,服务器上没有外网的,除非使用路由器,或者使用防火墙实现内部共享上网
firewalld所在的机器可以上网,客户端把网关改成firewalld机器的网关,通过firewalld机器上网(必须开启IP伪装)
1.开启IP伪装
[root@web02 ~]# firewall-cmd --add-masquerade success [root@web02 ~]# firewall-cmd --add-masquerade --permanent success
注:firewalld开启ip伪装,会自动开启内核转发
2.开启内核转发(如果使用iptables必须手动开启,firewalld不需要手动开启)
#配置内核转发 [root@web02 ~]# vim /etc/sysctl.conf net.ipv4.ip_forward = 1 #在CentOS6中开启之后生效命令 [root@web02 ~]# sysctl -p #查看内核转发是否开启 [root@web02 ~]# sysctl -a|grep net.ipv4.ip_forward net.ipv4.ip_forward = 1
3.配置没有外网机器的网关地址
[root@web01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1 ... # 最后添加 GATEWAY=172.16.1.8 DNS1=223.5.5.5 # 重启网卡 [root@web01 ~]# systemctl restart network
4.测试访问外网
# 测试连接 [root@web01 ~]# ping www.baidu.com
标签:cmd,--,45,防火墙,firewall,web02,规则,root,port From: https://www.cnblogs.com/ludingchao/p/17980262