FirewallD 提供了支持网络 / 防火墙区域 (zone) 定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。
相反,firewall daemon 动态管理防火墙,不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过,要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。另外,firewall daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则。
安装 FirewallD,只需
# yum install firewalld
如果需要图形界面的话,则再安装
# yum install firewall-config
网络区域简介
通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。例如,互联网是不可信任的区域,而内部网络是高度信任的区域。网络安全模型可以在安装,初次启动和首次建立网络连接时选择初始化。该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式。有如下几种不同的初始化区域:
- 阻塞区域(block):任何传入的网络数据包都将被阻止。
- 工作区域(work):相信网络上的其他计算机,不会损害你的计算机。
- 家庭区域(home):相信网络上的其他计算机,不会损害你的计算机。
- 公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接。
- 隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。
- 信任区域(trusted):所有的网络连接都可以接受。
- 丢弃区域(drop):任何传入的网络连接都被拒绝。
- 内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。
- 外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。
注:FirewallD 的默认区域是 public。
使用方法
# systemctl start firewalld # 启动,
# systemctl enable firewalld # 开机启动
# systemctl stop firewalld # 关闭
# systemctl disable firewalld # 取消开机启动
# systemctl status firewalld # 查看防火墙状态
具体的规则管理,可以使用 firewall-cmd
,具体的使用方法可以
$ firewall-cmd --help
1. 查看规则
查看运行状态
$ firewall-cmd --state
显示支持的区域列表
$ firewall-cmd --get-zones
查看当前区域
$ firewall-cmd --get-active-zones
查看指定接口的 Zone 信息
$ firewall-cmd --get-zone-of-interface=eth0
public
查看指定级别的接口
$ firewall-cmd --zone=public --list-interfaces
eth0
查看指定级别的所有信息,譬如 public
$ firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client http ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
查看所有级别被允许的信息
$ firewall-cmd --get-service
查看重启后所有 Zones 级别中被允许的服务,即永久放行的服务
$ firewall-cmd --get-service --permanent
2. 管理规则
# firewall-cmd --panic-on # 丢弃
# firewall-cmd --panic-off # 取消丢弃
$ firewall-cmd --query-panic # 查看丢弃状态
# firewall-cmd --reload
# 更新规则,不重启服务
# firewall-cmd --complete-reload # 更新规则,重启服务
添加某接口至某信任等级,譬如添加 eth0 至 public,再永久生效
# firewall-cmd --zone=public --add-interface=eth0 --permanent
设置 public 为默认的信任级别
# firewall-cmd --set-default-zone=public
显示服务列表
Amanda, FTP, Samba 和 TFTP 等最重要的服务已经被 FirewallD 提供相应的服务,可以使用如下命令查看:
# firewall-cmd --get-services
允许 SSH 服务通过
# firewall-cmd --enable service=ssh
禁止 SSH 服务通过
# firewall-cmd --disable service=ssh
临时允许 Samba 服务通过 600 秒
# firewall-cmd --enable service=samba --timeout=600
显示当前服务
# firewall-cmd --list-services
添加 HTTP 服务到内部区域(internal)
# firewall-cmd --permanent --zone=internal --add-service=http
# firewall-cmd --reload # 在不改变状态的条件下重新加载防火墙
a. 管理端口
列出 dmz 级别的被允许的进入端口
# firewall-cmd --zome=dmz --list-ports
允许 tcp 端口 8080 至 dmz 级别
# firewall-cmd --zone=dmz --add-port=8080/tcp
允许某范围的 udp 端口至 public 级别,并永久生效
# firewall-cmd --zome=public --add-port=5060-5059/udp --permanent
b. 管理服务
添加 smtp 服务至 work zone
# firewall-cmd --zone=work --add-service=smtp
移除 work zone 中的 smtp 服务
# firewall-cmd --zone=work --remove-service=smtp
c. 配置 ip 地址伪装
查看
# firewall-cmd --zone=external --query-masquerade
打开伪装
# firewall-cmd --zone=external --add-masquerade
关闭伪装
# firewall-cmd --zone=external --remove-masquerade
d. 端口转发
要打开端口转发,则需要先
# firewall-cmd --zone=external --add-masquerade
然后转发 tcp 22 端口至 3753
# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753
转发 22 端口数据至另一个 ip 的相同端口上
# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100
转发 22 端口数据至另一 ip 的 2055 端口上
# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100
特别需要注意的是 firewalld 服务有两份规则策略配置记录,必需要能够区分:
RunTime:当前正在生效的。
Permanent:永久生效的。
当下面实验修改的是永久生效的策略记录时,必须执行”–reload”参数后才能立即生效,否则要重启后再生效。
示例:
当前生效与永久有效的规则记录
firewall-cmd --zone=public --add-service=https
firewall-cmd --permanent --zone=public --add-service=https
永久生效的规则记录后读取记录
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload
使用参数”–reload”让永久生效的配置文件立即生效:
firewall-cmd --reload
再允许 http 服务流量通过 public 区域,要求立即生效且永久生效
firewall-cmd --permanent --zone=public --remove-service=http
加入的端口操作
firewall-cmd --zone=public --list-ports
8080-8081/tcp
firewall-cmd --permanent --zone=public --list-ports
8080-8081/tcp
端口转发功能可以将原本到某端口的数据包转发到其他端口:
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标 IP 地址>
将访问 192.168.10.10 主机 888 端口的请求转发至 22 端口:
firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
关闭服务的方法
你也可以关闭目前还不熟悉的 FirewallD 防火墙,而使用 iptables,命令如下:
systemctl stop firewalld
systemctl disable firewalld
yum install iptables-services
systemctl start iptables
systemctl enable iptables