防火墻 之 firewalld介紹

1 概述

firewalld是CentOS 7.0新推出的管理netfilter的工具,firewalld是配置和監(jiān)控防火墻規(guī)則的系統(tǒng)守護(hù)進(jìn)程??梢詫?shí)現(xiàn)iptables,ip6tables,ebtables的功能
本文將結(jié)合實(shí)例介紹firewalld的功能和配置

2 配置和實(shí)例

.firewalld服務(wù)由firewalld包提供
.firewalld支持劃分區(qū)域zone,每個(gè)zone可以設(shè)置獨(dú)立的防火墻規(guī)則
.歸入zone順序:
.先根據(jù)數(shù)據(jù)包中源地址,將其納為某個(gè)zone
.納為網(wǎng)絡(luò)接口所屬zone
.納入默認(rèn)zone,默認(rèn)為public zone,管理員可以改為其它zone
.網(wǎng)卡默認(rèn)屬于public zone,lo網(wǎng)絡(luò)接口屬于trusted zone
** firewalldzone****分類**


** ****預(yù)定義服務(wù)**

2.1 firewalld配置
.firewall-cmd --get-services 查看預(yù)定義服務(wù)列表
./usr/lib/firewalld/services/*.xml預(yù)定義服務(wù)的配置
.三種配置方法
.firewall-config (firewall-config包)圖形工具
.firewall-cmd (firewalld包)命令行工具
.修改/etc/firewalld配置文件,一般不建議
2.2 firewall-cmd 命令選項(xiàng)
.--get-zones列出所有可用區(qū)域
.--get-default-zone查詢默認(rèn)區(qū)域
.--set-default-zone=<ZONE>設(shè)置默認(rèn)區(qū)域
.--get-active-zones列出當(dāng)前正使用的區(qū)域
.--add-source=<CIDR>[--zone=<ZONE>]添加源地址的流量到指定區(qū)域,如果無--zone= 選項(xiàng),使用默認(rèn)區(qū)域
.--remove-source=<CIDR> [--zone=<ZONE>]從指定區(qū)域中刪除源地址的流量,如果無--zone= 選項(xiàng),使用默認(rèn)區(qū)域
.--add-interface=<INTERFACE>[--zone=<ZONE>]添加來自于指定接口的流量到特定區(qū)域,如果無--zone= 選項(xiàng),使用默認(rèn)區(qū)域
.--change-interface=<INTERFACE>[--zone=<ZONE>]改變指定接口至新的區(qū)域,如果無--zone= 選項(xiàng),使用默認(rèn)區(qū)域
.--list-all [--zone=<ZONE>]列出指定區(qū)域的所有配置信息,包括接口,源地址,端口,服務(wù)等,如果無--zone= 選項(xiàng),使用默認(rèn)區(qū)域
.--add-service=<SERVICE>[--zone=<ZONE>]允許服務(wù)的流量通過,如果無--zone= 選項(xiàng),使用默認(rèn)區(qū)域
.--add-port=<PORT/PROTOCOL>[--zone=<ZONE>]允許指定端口和協(xié)議的流量,如果無--zone= 選項(xiàng),使用默認(rèn)區(qū)域,可以用來指定非標(biāo)準(zhǔn)協(xié)議
.--remove-service=<SERVICE>[--zone=<ZONE>]從區(qū)域中刪除指定服務(wù),禁止該服務(wù)流量,如果無--zone= 選項(xiàng),使用默認(rèn)區(qū)域
.--remove-port=<PORT/PROTOCOL>[--zone=<ZONE>]從區(qū)域中刪除指定端口和協(xié)議,禁止該端口的流量,如果無--zone= 選項(xiàng),使用默認(rèn)區(qū)域
.--reload刪除當(dāng)前運(yùn)行時(shí)配置,應(yīng)用加載永久配置
2.3 firewall-cmd 命令示例
#查看默認(rèn)zone
firewall-cmd --get-default-zone
#默認(rèn)zone設(shè)為dmzfirewall-cmd --set-default-zone=dmz
#在internal zone中增加源地址192.168.0.0/24的永久規(guī)則
firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24
#--permanent這個(gè)選項(xiàng)表示要存盤,永久生效,不加該選項(xiàng)默認(rèn)是runtime,臨時(shí)性的
#在internalzone中增加協(xié)議mysql的永久規(guī)則,運(yùn)行mysql服務(wù)
firewall-cmd --permanent –zone=internal --add-service=mysql
#添加ftp服務(wù)器
firewall-cmd --add-service=ftp
#如果協(xié)議是非標(biāo)準(zhǔn)端口,用--add-port來指定非標(biāo)準(zhǔn)協(xié)議firewall-cmd –add-port=8000/tccp#加載新規(guī)則以生效
firewall-cmd --reload

2.4 實(shí)驗(yàn):配置firewalld
systemctl mask iptables#mask是屏蔽,用start啟動(dòng)不了服務(wù),必須先umasksystemctlmask ip6tablessystemctlstatus firewalldsystemctlenable firewalldsystemctlstart firewalldfirewall-cmd--get-default-zonefirewall-cmd--set-default-zone publicfirewall-cmd--permanent --zone=public --list-allfirewall-cmd--permanent --zone=public --add-port 8080/tcpfirewall-cmd ---reload

**3 rich規(guī)則 **

.當(dāng)基本firewalld語法規(guī)則不能滿足要求時(shí),可以使用以下更復(fù)雜的規(guī)則
.rich-rules 富規(guī)則,功能強(qiáng),表達(dá)性語言,查看幫助:man 5firewalld.richlanguage
.Direct configuration rules 直接規(guī)則,靈活性差,查看幫助:man 5 firewalld.direct
接下來將講解rich規(guī)則的概念和配置
** 3.1 管理rich 規(guī)則**
.rich規(guī)則比基本的firewalld語法實(shí)現(xiàn)更強(qiáng)的功能,不僅實(shí)現(xiàn)允許/拒絕,還可以實(shí)現(xiàn)日志syslog和auditd,也可以實(shí)現(xiàn)端口轉(zhuǎn)發(fā),偽裝和限制速率
rich規(guī)則實(shí)施順序有以下四點(diǎn)
a.該區(qū)域的端口轉(zhuǎn)發(fā),偽造規(guī)則
b.該區(qū)域的日志規(guī)則
c.該區(qū)域的允許規(guī)則
d.該區(qū)域的拒絕規(guī)則
每個(gè)匹配的規(guī)則生效,所有規(guī)則都不匹配,該區(qū)域默認(rèn)規(guī)則生效
3.2 rich語法:
rule [source] [destination] service|port|protocol|icmp-block|masquerade|forward-port [log] [audit] [accept|reject|drop]
rich****規(guī)則選項(xiàng)


rich****規(guī)則示例
#拒絕從192.168.0.11的所有流量,當(dāng)address 選項(xiàng)使用source或destination時(shí),必須用family= ipv4|ipv6.
firewall-cmd --permanent --zone=classroom --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject‘
#--zone=classroom,自己定義新zone ,classroom#限制每分鐘只有兩個(gè)連接到ftp服務(wù)
firewall-cmd --add-rich-rule=’rule service name=ftp limitvalue=2/m accept’
#拋棄esp(IPsec 體系中的一種主要協(xié)議)協(xié)議的所有數(shù)據(jù)包
firewall-cmd --permanent --add-rich-rule='rule protocol value=espdrop'
#接受所有192.168.1.0/24子網(wǎng)端口范置7900-7905的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 sourceaddress=192.168.1.0/24 port port=7900-7905 protocol=tcpaccept'
3.3 rich****日志規(guī)則
.log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limitvalue="<RATE/DURATION>"]
.<LOGLEVEL>可以是emerg,alert,crit,error,warning,notice,info,debug.
.<DURATION>s:秒,m:分鐘,h:小時(shí), d:天
.audit [limit value="<RATE/DURATION>"]
rich****日志規(guī)則實(shí)例
.接受ssh新連接,記錄日志到syslog的notice級別,每分鐘最多三條信息
firewall-cmd --permanent --zone=work--add-rich-rule='rule service name="ssh" log prefix="ssh" level="notice" limitvalue="3/m" accept’
.從2001:db8::/64子網(wǎng)的DNS連接在5分鐘內(nèi)被拒絕,并記錄到日志到audit,每小時(shí)最大記錄一條信息。
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"service name="dns" audit limit value="1/h" reject'--timeout=300’

--timeout=300超時(shí)時(shí)間,300s

firewall-cmd --permanent --add-rich-rule='rule family=ipv4source address=172.18.50.73/32 service name="http" log level=noticeprefix="NEW HTTP " limit value="3/s" accept'firewall-cmd --reload
測試
tail -f /var/log/messages
curl http://serverX.example.com

?4 偽造和端口轉(zhuǎn)發(fā)

.NAT網(wǎng)絡(luò)地址轉(zhuǎn)換,firewalld支持偽造和端口轉(zhuǎn)發(fā)兩種NAT方式
.偽造NAT
firewall-cmd --permanent --zone=<ZONE> --add-masqueradefirewall-cmd --permanent --zone=<ZONE> --add-rich-rule='rulefamily=ipv4 source address=192.168.0.0/24 masquerade'
4.1 普通規(guī)則端口轉(zhuǎn)發(fā)
.端口轉(zhuǎn)發(fā):將發(fā)往本機(jī)的特定端口的流量轉(zhuǎn)發(fā)到本機(jī)或不同機(jī)器的另一個(gè)端口。通常要配合地址偽造才能實(shí)現(xiàn)
語法
firewall-cmd --permanent --zone=<ZONE> --add-forward-port=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]
說明:toport=和toaddr=至少要指定一個(gè)
.示例:
轉(zhuǎn)發(fā)傳入的連接513/TCP,到訪火墻的132/TCP到public zone 的192.168.0.254
firewall-cmd --permanent --zone=public --add-forward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254
4.2 rich轉(zhuǎn)發(fā)規(guī)則語法:
forward-port port=<PORTNUM>protocol=tcp|udp[to-port=<PORTNUM>][to-addr=<ADDRESS>]
.示例:
轉(zhuǎn)發(fā)從192.168.0.0/26來的,發(fā)往80/TCP的流量到防火墻的端口8080/TCP
firewall-cmd --permanent --zone=work --add-rich-rule='rulefamily=ipv4 source address=192.168.0.0/26 forward-port port=80 protocol=tcpto-port=8080'
rich轉(zhuǎn)發(fā)規(guī)則示例
firewall-cmd --permanent --add-rich-rule'rule family=ipv4 source address=172.25.X.10/32 forward-port port=443protocol=tcp to-port=22'firewall-cmd --reload
測試
ssh -p 443 serverX.example.com

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容