| 在CentOS7系统中集成了多款防火墙管理工具,默认启用的是firewalld(动态防火墙管理器)防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。 |
| |
| 对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较的麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习Firewalld。 |
| 需要注意的是:如果开启防火墙工具,并且没有配置任何允许的规则,那么从外部访问防火墙设备默认会被阻止,但是如果直接从防火墙内部往外部流出的流量默认会被允许。 |
| |
| firewalld 只能做和IP/Port相关的限制,web相关的限制无法实现。 |
| 那么相较于传统的Iptables防火墙,firewalld支持动态更新,并加入了区域zone的概念 |
| |
| 简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据不同的场景选择不同的策略模板,从而实现防火墙策略之间的快速切换 |
| 区域选项 |
默认规则策略 |
| trusted |
允许所有的数据包流入流出 |
| home |
拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量 |
| internal |
等同于home区域 |
| work |
拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许流量 |
| public |
拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量 |
| external |
拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| dmz |
拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| block |
拒绝流入的流量,除非与流出的流量相关 |
| drop |
拒绝流入的流量,除非与流出的流量相关 |
| |
| trusted 白名单 |
| public 默认区域 |
| drop 黑名单 |
| 参数 |
作用 |
| zone区域相关指令 |
|
| –get-default-zone |
获取默认的区域名称 |
| –set-default-zone=<区域名称> |
设置默认的区域,使其永久生效 |
| –get-active-zones |
显示当前正在使用的区域与网卡名称 |
| –get-zones |
显示总共可用的区域 |
| –new-zone= |
新增区域 |
| services服务相关命令 |
|
| –get-services |
列出服务列表中所有可管理的服务 |
| –add-service= |
设置默认区域允许该填加服务的流量 |
| –remove-service= |
设置默认区域不允许该删除服务的流量 |
| Port端口相关指令 |
|
| –add-port=<端口号/协议> |
设置默认区域允许该填加端口的流量 |
| –remove-port=<端口号/协议> |
置默认区域不允许该删除端口的流量 |
| Interface网站相关指令 |
|
| –add-interface=<网卡名称> |
将源自该网卡的所有流量都导向某个指定区域 |
| –change-interface=<网卡名称> |
将某个网卡与区域进行关联 |
| source相关指令 |
|
| –add-source=<IP/子网掩码> |
一般配置在女默认区域的富规则中或者黑白名单中 |
| –remove-source=<IP/子网掩码> |
|
| 其他相关指令 |
|
| –list-all |
显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| –reload |
让“永久生效”的配置规则立即生效,并覆盖当前的配置规则 |
| 为了能正常使用firewalld服务和相关工具去管理防火墙,必须启动firewalld服务,同时关闭以前旧的防火墙相关服务, |
| |
| 需要注意firewalld的规则分为两种状态: |
| runtime运行时: 修改规则马上生效,但如果重启服务则马上失效,测试建议。 |
| permanent持久配置: 修改规则后需要reload重载服务才会生效,生产建议。 |
| |
| [root@web01 ~] |
| Created symlink from /etc/systemd/system/iptables.service to /dev/null. |
| |
| |
| [root@web01 services] |
| Removed symlink /etc/systemd/system/iptables.service |
| [root@web01 ~] |
| [root@web01 ~] |
| [root@web01 ~] |
| |
| |
| [root@web01 ~] |
| [root@web01 ~] |
| public (active) |
| target: default |
| icmp-block-inversion: no |
| interfaces: eth0 eth1 |
| sources: |
| services: ssh |
| ports: |
| protocols: |
| masquerade: no |
| forward-ports: |
| source-ports: |
| icmp-blocks: |
| rich rules: |
| [root@web01 ~] |
| |
| trusted |
| target: ACCEPT |
| icmp-block-inversion: no |
| interfaces: |
| sources: |
| services: |
| ports: |
| protocols: |
| masquerade: no |
| forward-ports: |
| source-ports: |
| icmp-blocks: |
| rich rules: |
| [root@m01 ~] |
| yes |
| [root@m01 ~] |
| no |
| [root@web01 ~] |
| [root@web01 ~] |
| success |
| [root@web01 ~] |
| success |
| |
| 1.去除配置中的规则 |
| [root@web01 ~] |
| success |
| |
| 2.配置允许10.0.0.0/24网段 |
| [root@web01 ~] |
| success |
| 端口转发是指传统的目标地址映射,实现外网访问内网资源 |
| |
| 流量转发命令语法为: |
| firewalld-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址> |
实例:需要将本地的10.0.0.7:5555端口转发至172.16.1.4:22端口
| |
| [root@web01 ~] |
| success |
| |
| |
| [root@web01 ~] |
| success |
| |
| |
| [root@web01 ~] |
| public (active) |
| target: default |
| icmp-block-inversion: no |
| interfaces: eth0 eth1 |
| sources: |
| services: |
| ports: |
| protocols: |
| masquerade: yes |
| forward-ports: port=5555:proto=tcp:toport=22:toaddr=172.16.1.4 |
| source-ports: |
| icmp-blocks: |
| rich rules: |
| |
| |
| [C:\~]$ ssh 10.0.0.7 5555 |
| |
| Connecting to 10.0.0.7:5555... |
| Connection established. |
| To escape to local shell, press 'Ctrl+Alt+]'. |
| |
| Last login: Mon Dec 14 10:59:58 2020 from 10.0.0.1 |
| [root@lb01 ~] |
| firewalld中的富语言规则表示更细致,更详细的防火墙策略配置,他可以针对系统服务、端口号、原地址和目标地址等诸多信息进行更有针对性的策略配置,优先级在所有的防火墙策略中也是最高的,下面为firewalld富语言规则帮助手册 |
