Linux Firewalld 基础介绍

互联网上提供了各种网络服务，而防火墙可以设置各种规则来限制访问，保护服务器。

---

概述

Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙。

Linux系统的防火墙体系基于内核编码实现，具有非常稳定的性能和极高的效率。

三种防火墙

netfilter

• 指linux内核中实现包过滤防火墙的内部结构
• 属于内核态的防火墙功能体系

iptables

• 指管理linux防火墙的命令程序
• 属于用户态的防火墙管理体系

Firewalld

• CentOS 7默认的防火墙管理工具，取代之前的iptables防火墙
• 属于用户态
• firewalld和iptables内部结构都指向netfilter这个强大的网络过滤子系统，以实现包过滤防火墙功能
• 支持动态更新、加入防火墙zone概念
• 支持IPv4和IPv6地址
• 字符管理工具firewall-cmd和图形化管理工具firewall-config

区别

名称	Firewalld	iptables
配置文件	/usr/lib/firewalld/和/etc/firewalld/	/etc/sysconfig/iptables
对规则的修改	不需要全部刷新策略，不丢失现行连接	需要全部刷新策略，丢失连接
防火墙类型	动态防火墙	静态防火墙

网络区域

区域介绍

区域	描述
drop (丢弃)	任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络连接
block (限制)	任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝
public (公共)	在公共区域内使用，不能相信网络内的其他计算机不会对您的计算机造成危害，只能接收经过选取的连接
external (外部)	特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算，不能相信它们不会对您的计算机造成危害，只能接收经过选择的连接
dmz (非军事区)	用于您的非军事区内的电脑，此区域内可公开访问，可以有限地进入您的内部网络，仅仅接收经过选择的连接
work (工作)	用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接
home (家庭)	用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接
internal (内部)	用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接
trusted (信任)	可接受所有的网络连接

• 每个区域都具有不同限制程度的规则
• 可以使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口
• 默认情况下，public区域是默认区域，包含所有接口(网卡)

数据处理流程

检查数据来源的源地址

• 若源地址关联到特定的区域，则执行该区域所指定的规则
• 若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
• 若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

配置方法

运行时配置

• 实时生效，并持续至Firewalld重新启动或重新加载配置
• 不中断现有连接
• 不能修改服务配置

永久配置

• 不立即生效，除非Firewalld重新启动或重新加载配置
• 中断现有连接
• 可以修改服务配置

配置文件

Firewalld会优先使用/etc/firewalld/中的配置，如果不存在配置文件，则使用/usr/ib/firewalld/中的配置

• /etc/firewalld/：用户自定义配置文件，需要时可通过从/usr/ib/firewalld/中拷贝

• /usr/ib/firewalld/：默认配置文件，不建议修改，若恢复至默认配置，可直接删除/etc/firewalld/中的配置

图形工具

[root@localhost ~]# firewall-config

命令行工具

[root@localhost ~]# firewall-cmd 命令

• 以下是整理的一些命令

--get-default-zone
显示网络连接或接口的默认区域

--set-default-zone=<zone>
设置网络连接或接口的默认区域

--get-active-zones
显示已激活的所有区域

--get-zone-of-interface=<interface>
显示指定接口绑定的区域

--zone=<zone> --add-interface=<interface>
为指定接口绑定区域

--zone=<zone> --change-interface=<interface>
为指定的区域更改绑定的网络接口

--zone=<zone> --remove-interface=<interface>
为指定的区域删除绑定的网络接口

--query-interface=<interface>
查询区域中是否包含某接口

--list-all-zones
显示所有区域及其规则

[--zone=<zone>] --list-all
显示所有指定区域的所有规则

[--zone=<zone>] --list-services
显示指定区域内允许访问的所有服务

[--zone=<zone>] --add-service=<service>
为指定区域设置允许访问的某项服务

[--zone=<zone>] --remove-service=<service>
删除指定区域已设置的允许访问的某项服务

[--zone=<zone>] --query-service=<service>
查询指定区域中是否启用了某项服务

[--zone=<zone>] --list-ports
显示指定区域内允许访问的所有端口号

[--zone=<zone>] --add-port=<port>[-<port>]/<protocol> [--timeout=<seconds>]
启用区域端口和协议组合，可选配置超时时间

[--zone=<zone>] --remove-port=<port>[-<port>]/<protocol>
禁用区域端口和协议组合

[--zone=<zone>] --query-port=<port>[-<port>]/<protocol>
查询区域中是否启用了端口和协议组合

[--zone=<zone>] --list-icmp-blocks
显示指定区域内阻塞的所有ICMP类型

[--zone=<zone>] --add-icmp-block=<icmptype>
为指定区域设置阻塞的某项ICMP类型

[--zone=<zone>] --remove-icmp-block=<icmptype>
删除指定区域已阻塞的某项ICMP类型

[--zone=<zone>] --query-icmp-block=<icmptype>
查询指定区域的ICMP阻塞功能

firewall-cmd

状态操作

• 停止、启动

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl start firewalld

• 禁止/允许开机启动

[root@localhost ~]# systemctl disable firewalld
[root@localhost ~]# systemctl enable firewalld

• 查看状态

[root@localhost ~]# systemctl status firewalld
[root@localhost ~]# firewall-cmd --state
running

获取预定义信息

预定义信息主要包括三种：可用的区域、可用的服务以及可用的ICMP阻塞类型

• 显示预定义的区域

[root@localhost ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

• 显示预定义的服务

[root@localhost ~]# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

• 显示预定义的icmp阻塞类型

[root@localhost ~]# firewall-cmd --get-icmptypes
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option

• 各种阻塞类型的含义分别如下所示：

destination-unreachable：目的地址不可达。

echo-reply：应答回应（pong）。

parameter-problem：参数问题。

redirect：重新定向。

router-advertisement：路由器通告。

router-solicitation：路由器征寻。

source-quench：源端抑制。

time-exceeded：超时。

timestamp-reply：时间戳应答回应。

timestamp-request：时间戳请求。

区域管理

使用firewall-cmd命令可以实现获取和管理区域，为指定区域绑定网络接口等功能。

--get-default-zone
显示网络连接或接口的默认区域

--set-default-zone=<zone>
设置网络连接或接口的默认区域

--get-active-zones
显示已激活的所有区域

--get-zone-of-interface=<interface>
显示指定接口绑定的区域

--zone=<zone> --add-interface=<interface>
为指定接口绑定区域

--zone=<zone> --change-interface=<interface>
为指定的区域更改绑定的网络接口

--zone=<zone> --remove-interface=<interface>
为指定的区域删除绑定的网络接口

--list-all-zones
显示所有区域及其规则

[--zone=<zone>] --list-all
显示所有指定区域的所有规则，省略--zone=<zone>时表示仅对默认区域操作

• 显示当前系统中的默认区域

[root@localhost ~]# firewall-cmd --get-default-zone
public

• 显示默认区域的所有规则

[root@localhost ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources:
  services: ssh dhcpv6-client
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

• 显示网络接口ens33对应的区域

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public

• 将网络接口ens33对应区域改为internal区域

[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33
The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
internal

• 显示internal区域下有哪些网络接口

[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces
ens33

• 显示所有已激活的区域

[root@localhost ~]# firewall-cmd --get-active-zones
internal
  interfaces: ens33

服务管理

为了方便管理，firewalld预先定义了很多服务，存放在/usr/lib/firewalld/services/目录中，服务通过单个的XML配置文件来指定。

这些配置文件则按以下格式命名：service-name.xml，每个文件对应一项具体的网络服务，如ssh服务等。

与之对应的配置文件中记录了各项服务所使用的tcp/udp端口。在最新版本的firewalld中默认已经定义了70多种服务供我们使用，对于每个网络区域，均可以配置允许访问的服务。

当默认提供的服务不适用或者需要自定义某项服务的端口时，我们需要将service配置文件放置在/etc/firewalld/services/目录中。

service配置具有以下优点。

• 通过服务名字来管理规则更加人性化。
• 通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。

[--zone=<zone>] --list-services
显示指定区域内允许访问的所有服务

[--zone=<zone>] --add-service=<service>
为指定区域设置允许访问的某项服务

[--zone=<zone>] --remove-service=<service>
删除指定区域已设置的允许访问的某项服务

[--zone=<zone>] --list-ports
显示指定区域内允许访问的所有端口号

[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>
为指定区域设置允许访问的某个/某段端口号（包括协议名）

[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol>
删除指定区域已设置的允许访问的端口号（包括协议名）

[--zone=<zone>] --list-icmp-blocks
显示指定区域内拒绝访问的所有 ICMP 类型

[--zone=<zone>] --add-icmp-block=<icmptype>
为指定区域设置拒绝访问的某项 ICMP 类型

[--zone=<zone>] --remove-icmp-block=<icmptype>
删除指定区域已设置的拒绝访问的某项 ICMP 类型，省略--zone=<zone>时表示对默认区域操作

• 显示默认区域允许访问的所有服务

[root@localhost ~]# firewall-cmd --list-services
ssh dhcpv6-client

• 设置默认区域允许访问http服务

[root@localhost ~]# firewall-cmd --add-service=http
success

• 设置默认区域允许访问https服务

[root@localhost ~]# firewall-cmd --add-service=https
success

• 显示默认区域允许访问的所有服务

[root@localhost ~]# firewall-cmd --list-services
ssh dhcpv6-client http https

• 显示internal区域内允许访问的所有服务

[root@localhost ~]# firewall-cmd --zone=internal --list-services
ssh mdns samba-client dhcpv6-client

• 设置internal区域允许访问mysql服务

[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql
success

• 设置internal区域不允许访问samba-client服务

[root@localhost ~]# firewall-cmd --zone=internal --remove-service=samba-client
success

• 显示internal区域内允许访问的所有服务

[root@localhost ~]# firewall-cmd --zone=internal --list-services
ssh mdns dhcpv6-client mysql

端口管理

在进行服务配置时，预定义的网络服务可以使用服务名配置，服务所涉及的端口就会自动打开。

但是，对于非预定义的服务只能手动为指定的区域添加端口。

• 在internal区域打开443/TCP端口

[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp
success

• 在internal区域禁止443/TCP端口访问

[root@localhost ~]# firewall-cmd --zone=internal --remove-port=443/tcp
success

两种配置模式

前面提到firewall-cmd命令工具有两种配置模式：

• 运行时模式Runtime mode表示当前内存中运行的防火墙配置，在系统或firewalld服务重启、停止时配置将失效。
• 永久模式Permanent mode表示重启防火墙或重新加载防火墙时的规则配置，是永久存储在配置文件中的。

firewall-cmd命令工具与配置模式相关的选项有三个。

• --reload：重新加载防火墙规则并保持状态信息，即将永久配置应用为运行时配置。

• --permanent：带有此选项的命令用于设置永久性规则，这些规则只有在重新启动firewalld或重新加载防火墙规则时才会生效；若不带有此选项，表示用于设置运行时规则。

• --runtime-to-permanent：将当前的运行时配置写入规则配置文件中，使之成为永久性。

[root@localhost ~]# firewall-cmd --runtime-to-permanent
success