最新消息:为了带来更好的浏览和阅读体验,放弃了对IE6浏览器的支持,建议更换为Chrome,Firefox,Opera等国际主流浏览器。或者将IE6升级为IE7以及以上版本!

Linux防火墙FirewallD的基本操作

Linux VPSWe 1463浏览 0评论

 

FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。
相反,firewall daemon 动态管理防火墙,不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过,要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。另外,firewall daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则。

安装FirewallD,只需

# yum install firewalld

如果需要图形界面的话,则再安装

# yum install firewall-config

网络区域简介

通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。例如,互联网是不可信任的区域,而内部网络是高度信任的区域。网络安全模型可以在安装,初次启动和首次建立网络连接时选择初始化。该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式。有如下几种不同的初始化区域:

  • 阻塞区域(block):任何传入的网络数据包都将被阻止。
  • 工作区域(work):相信网络上的其他计算机,不会损害你的计算机。
  • 家庭区域(home):相信网络上的其他计算机,不会损害你的计算机。
  • 公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接。
  • 隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。
  • 信任区域(trusted):所有的网络连接都可以接受。
  • 丢弃区域(drop):任何传入的网络连接都被拒绝。
  • 内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。
  • 外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。

注:FirewallD的默认区域是public。

使用方法

 # systemctl start firewalld         # 启动,
 # systemctl enable firewalld        # 开机启动
 # systemctl stop firewalld          # 关闭
 # systemctl disable firewalld       # 取消开机启动
 # systemctl status firewalld        # 查看防火墙状态

具体的规则管理,可以使用 firewall-cmd,具体的使用方法可以

$ firewall-cmd --help

1. 查看规则

查看运行状态

$ firewall-cmd --state

显示支持的区域列表

$ firewall-cmd --get-zones 

查看当前区域

$ firewall-cmd --get-active-zones

查看指定接口的 Zone 信息

$ firewall-cmd --get-zone-of-interface=eth0
   public

查看指定级别的接口

$ firewall-cmd --zone=public --list-interfaces
   eth0

查看指定级别的所有信息,譬如 public

$ firewall-cmd --zone=public --list-all
  public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client http ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

查看所有级别被允许的信息

$ firewall-cmd --get-service

查看重启后所有 Zones 级别中被允许的服务,即永久放行的服务

$ firewall-cmd --get-service --permanent

2. 管理规则

 # firewall-cmd --panic-on           # 丢弃
 # firewall-cmd --panic-off          # 取消丢弃
 $ firewall-cmd --query-panic        # 查看丢弃状态
 # firewall-cmd --reload             # 更新规则,不重启服务
 # firewall-cmd --complete-reload    # 更新规则,重启服务

添加某接口至某信任等级,譬如添加 eth0 至 public,再永久生效

# firewall-cmd --zone=public --add-interface=eth0 --permanent

设置 public 为默认的信任级别

# firewall-cmd --set-default-zone=public

显示服务列表

Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:

# firewall-cmd --get-services

允许SSH服务通过

# firewall-cmd --enable service=ssh

禁止SSH服务通过

# firewall-cmd --disable service=ssh

临时允许Samba服务通过600秒

# firewall-cmd --enable service=samba --timeout=600

显示当前服务

# firewall-cmd --list-services

添加HTTP服务到内部区域(internal)

# firewall-cmd --permanent --zone=internal --add-service=http
 # firewall-cmd --reload    # 在不改变状态的条件下重新加载防火墙

a. 管理端口

列出 dmz 级别的被允许的进入端口

# firewall-cmd --zome=dmz --list-ports

允许 tcp 端口 8080 至 dmz 级别

# firewall-cmd --zone=dmz --add-port=8080/tcp

允许某范围的 udp 端口至 public 级别,并永久生效

# firewall-cmd --zome=public --add-port=5060-5059/udp --permanent

b. 管理服务

添加 smtp 服务至 work zone

# firewall-cmd --zone=work --add-service=smtp

移除 work zone 中的 smtp 服务

# firewall-cmd --zone=work --remove-service=smtp

c. 配置 ip 地址伪装

查看

# firewall-cmd --zone=external --query-masquerade

打开伪装

# firewall-cmd --zone=external --add-masquerade

关闭伪装

# firewall-cmd --zone=external --remove-masquerade

d. 端口转发

要打开端口转发,则需要先

# firewall-cmd --zone=external --add-masquerade

然后转发 tcp 22 端口至 3753

# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753

转发 22 端口数据至另一个 ip 的相同端口上

# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100

转发 22 端口数据至另一 ip 的 2055 端口上

# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100

特别需要注意的是firewalld服务有两份规则策略配置记录,必需要能够区分:

RunTime:当前正在生效的。

Permanent:永久生效的。

当下面实验修改的是永久生效的策略记录时,必须执行”–reload”参数后才能立即生效,否则要重启后再生效。

示例:

当前生效与永久有效的规则记录

firewall-cmd --zone=public --add-service=https
firewall-cmd --permanent --zone=public --add-service=https

永久生效的规则记录后读取记录

firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload

使用参数”–reload”让永久生效的配置文件立即生效:

firewall-cmd --reload

再允许http服务流量通过public区域,要求立即生效且永久生效

firewall-cmd --permanent --zone=public --remove-service=http

加入的端口操作

firewall-cmd --zone=public --list-ports
8080-8081/tcp
firewall-cmd --permanent --zone=public --list-ports
8080-8081/tcp

端口转发功能可以将原本到某端口的数据包转发到其他端口:

firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

将访问192.168.10.10主机888端口的请求转发至22端口:

firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success

关闭服务的方法

你也可以关闭目前还不熟悉的FirewallD防火墙,而使用iptables,命令如下:

systemctl stop firewalld
systemctl disable firewalld
yum install iptables-services
systemctl start iptables
systemctl enable iptables

 

转载请注明:VPSWe » Linux防火墙FirewallD的基本操作

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址