1.簡介

? firewalld是CentOS 7.0新推出的管理netfilter的工具
? firewalld是配置和監(jiān)控防火墻規(guī)則的系統(tǒng)守護進程?？梢詫崿Fiptables,ip6tables,ebtables的功能
? firewalld服務由firewalld包提供
? firewalld支持劃分區(qū)域zone,每個zone可以設置獨立的防火墻規(guī)則
? 歸入zone順序：
? 先根據數據包中源地址，將其納為某個zone
? 納為網絡接口所屬zone
? 納入默認zone，默認為public zone,管理員可以改為其它zone
? 網卡默認屬于public zone,lo網絡接口屬于trusted zone

2.firewalld zone分類

Paste_Image.png

Paste_Image.png

3.firewalld配置

? firewall-cmd --get-services 查看預定義服務列表
? /usr/lib/firewalld/services/*.xml預定義服務的配置
? 三種配置方法
? firewall-config （firewall-config包）圖形工具
? firewall-cmd （firewalld包）命令行工具
? /etc/firewalld 配置文件，一般不建議

firewalld-cmd命令選項

? --get-zones 列出所有可用區(qū)域
? --get-default-zone 查詢默認區(qū)域
? --set-default-zone=<ZONE> 設置默認區(qū)域
? --get-active-zones 列出當前正使用的區(qū)域
? --add-source=<CIDR>[--zone=<ZONE>]
添加源地址的流量到指定區(qū)域，如果無--zone= 選項，使用默認區(qū)域
? --remove-source=<CIDR> [--zone=<ZONE>]
從指定區(qū)域中刪除源地址的流量，如果無--zone= 選項，使用默認區(qū)域
? --add-interface=<INTERFACE>[--zone=<ZONE>]
添加來自于指定接口的流量到特定區(qū)域，如果無--zone= 選項，使用默認區(qū)域
? --change-interface=<INTERFACE>[--zone=<ZONE>]
改變指定接口至新的區(qū)域，如果無--zone= 選項，使用默認區(qū)域
? --list-all [--zone=<ZONE>]
列出指定區(qū)域的所有配置信息，包括接口，源地址，端口，服務等，如果無--zone=選項，使用默認區(qū)域
? --add-service=<SERVICE> [--zone=<ZONE>]
允許服務的流量通過，如果無--zone= 選項，使用默認區(qū)域
? --add-port=<PORT/PROTOCOL>[--zone=<ZONE>]
允許指定端口和協(xié)議的流量，如果無--zone= 選項，使用默認區(qū)域
? --change-interface=<INTERFACE>[--zone=<ZONE>]
改變指定接口至新的區(qū)域，如果無--zone= 選項，使用默認區(qū)域
? --list-all [--zone=<ZONE>]
列出指定區(qū)域的所有配置信息，包括接口，源地址，端口，服務等，如果無--zone= 選項，使用默認區(qū)域
? --add-service=<SERVICE> [--zone=<ZONE>]
允許服務的流量通過，如果無--zone= 選項，使用默認區(qū)域
? --add-port=<PORT/PROTOCOL>[--zone=<ZONE>]
允許指定端口和協(xié)議的流量，如果無--zone= 選項，使用默認區(qū)域

eg:

? 查看默認zone
firewall-cmd --get-default-zone
? 默認zone設為dmz
firewall-cmd --set-default-zone=dmz
? 在internal zone中增加源地址192.168.0.0/24的永久規(guī)則
firewall-cmd --permanent --zone=internal --
add-source=192.168.0.0/24
? 在internal zone中增加協(xié)議mysql的永久規(guī)則
firewall-cmd --permanent –zone=internal --addservice=mysql
? 加載新規(guī)則以生效
firewall-cmd --reload

4.配置firewalld

? systemctl mask iptables
? systemctl mask ip6tables
? systemctl status firewalld
? systemctl enable firewalld
? systemctl start firewalld
? firewall-cmd --get-default-zone
? firewall-cmd --set-default-zone public
? firewall-cmd --permanent --zone=public --list-all
? firewall-cmd --permanent --zone=public --addport 8080/tcp
? firewall-cmd ---reload

5.其他規(guī)則

? 當基本firewalld語法規(guī)則不能滿足要求時，可以使用以下更
復雜的規(guī)則
? rich-rules 富規(guī)則，功能強,表達性語言
? Direct configuration rules 直接規(guī)則，靈活性差
幫助：man 5 firewalld.direct

(1)管理rich規(guī)則

? rich規(guī)則比基本的firewalld語法實現更強的功能，不僅實現
允許/拒絕，還可以實現日志syslog和auditd，也可以實現端
口轉發(fā)，偽裝和限制速率
? rich語法：
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
? man 5 firewalld.richlanguage
rich規(guī)則選項

Paste_Image.png

? 拒絕從192.168.0.11的所有流量，當address 選項使用source 或 destination時，必須用family= ipv4 |ipv6.
firewall-cmd --permanent --zone=classroom --add-richrule='rule family=ipv4 source address=192.168.0.11/32 reject‘
? 限制每分鐘只有兩個連接到ftp服務
firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/m accept’
? 拋棄esp（ IPsec 體系中的一種主要協(xié)議）協(xié)議的所有數據包
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp drop'
? 接受所有192.168.1.0/24子網端口范置7900-7905的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'

(2)rich服務

? log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limit value="<RATE/DURATION>"]
? <LOGLEVEL> 可以是 emerg,alert, crit, error, warning, notice, info, debug.
? <DURATION> s：秒, m：分鐘, h：小時, d：天
? audit [limit value="<RATE/DURATION>"]
eg:

? 接受ssh新連接，記錄日志到syslog的notice級別，每分鐘最多三條信息
firewall-cmd --permanent --zone=work --add-richrule='rule service name="ssh" log prefix="ssh " level="notice" limit value="3/m" accept
? 從2001:db8::/64子網的DNS連接在5分鐘內被拒絕，并記錄到日志到audit,每小時最大記錄一條信息。
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300

6.規(guī)則演示

? firewall-cmd --permanent --add-rich-rule='rule
family=ipv4 source address=172.25.X.10/32 service
name="http" log level=notice prefix="NEW HTTP "
limit value="3/s" accept'
? firewall-cmd --reload
? tail -f /var/log/messages
? curl http://serverX.example.com

7.偽造和端口轉發(fā)

? NAT網絡地址轉換，firewalld支持偽造和端口轉發(fā)兩種NAT方式
? 偽造NAT
? firewall-cmd --permanent --zone=<ZONE> --addmasquerade
? firewall-cmd --permanent --zone=<ZONE> --addrich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'

(1)端口轉發(fā)

? 端口轉發(fā)：將發(fā)往本機的特定端口的流量轉發(fā)到本機或不同機器的另一個端口。通常要配合地址偽造才能實現
? firewall-cmd --permanent --zone=<ZONE> --addforwardport=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]
說明：toport= 和toaddr= 至少要指定一個
? 示例：
轉發(fā)傳入的連接513/TCP，到訪火墻的132/TCP到public zone的192.168.0.254
firewall-cmd --permanent --zone=public --addforward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254

(2)rich規(guī)則語法

? rich規(guī)則語法：
? forward-port port=<PORTNUM> protocol=tcp|udp [toport=<PORTNUM>]
[to-addr=<ADDRESS>]
? 示例：
轉發(fā)從192.168.0.0/26來的，發(fā)往80/TCP的流量到防火墻的端口8080/TCP
firewall-cmd --permanent --zone=work --add-richrule='rule
family=ipv4 source address=192.168.0.0/26
forward-port port=80 protocol=tcp to-port=8080'
eg：

? firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25.X.10/32 forwardport port=443 protocol=tcp to-port=22'
? firewall-cmd --reload
? ssh -p 443 serverX.example.com