11.Firewalld防火墙

Firewalld防火墙

目录

• Firewalld防火墙
  • Firewalld概述
    • Firewalld
    • Firewalld和iptables的关系
      • netfilter
      • Firewalld/iptables
      • Firewalld和iptables区别
  • Firewalld区域的概念
    • Firewalld防火墙定义了9个区域
    • Firewalld网络区域
      • 区域介绍
      • Firewalld数据处理流程
  • Firewalld防火墙的配置方法
    • 运行时配置
    • 永久配置
      • 配置方法
      • /etc/firewalld/中的配置文件
        • firewall-cmd命令行配置
        • 区域管理
        • 服务管理
        • 端口管理
        • 使用firewalld来实现SNAT、DNAT地址转换

Firewalld概述

Firewalld

firewalld防火墙是centos7系统默认防火墙的防火墙管理工具，取代了之前的iptables防火墙，也是工作在网络层，属于包过滤防火墙。

1. 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
2. 至此IPv4、IPv6防火墙设置以及以太网桥
3. 支持服务或引用程序直接添加防火墙规则接口
4. 拥有两种配置模式

• 运行时配置
• 永久配置

Firewalld和iptables的关系

firewalld和iptables都是用来管理防火墙的工具（属于用户态）来定义防火墙的各种规则功能，内部结果都指向netfilter网络过滤子系统（属于内核态）来实现防火墙功能。

netfilter

• 位于linux内核中的包过滤功能体系
• 称为linux防火墙的“内核态”

Firewalld/iptables

• centos7默认的管理防火墙规则工具（firewalld）
• 称为linux防火墙的“用户态”

Firewalld和iptables区别

不同点	firewalld	iptables
配置文件	/usr/lib/firewalld /etc/firewalld	/etc/sysconfig/iptables
对规则的修改	不需要全部刷新策略，不丢失现有连接	需要全部刷新策略，丢失连接
反获取类型	动态防火墙	静态防火墙
设置规则	是基于区域根据不同的区域这只不同的规则，从而保证网络安全	主要基于接口，来设置规则，从而判断网络的安全性

Firewalld区域的概念

• firewalld防火墙为了简化管理，将所有网络流量分为多个区域（zone）。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应的区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

Firewalld防火墙定义了9个区域

区域	作用
trusted（信任区域）	允许所有的传入流量。
public（公共区域）	允许与ssh或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。是新添加网络接口的默认区域。
external（外部区域）	允许与ssh预定义服务匹配的传入流量其余均拒绝。
home（家庭区域）	允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量，其他均拒绝。
internal（内部区域）	默认值与home区域相同。
work（工作区域）	允许与ssh、dhcpv6-client预定义服务匹配的传入流量，其他均拒绝
dmz（隔离区域也称非军事区域）	允许与ssh预定义服务匹配的传入流量，其他均拒绝。
block（限制区域）	拒绝所有传入流量。
drop（丢弃区域）	丢弃所有传入流量，并且不产生包含icmp的错误响应。

Firewalld网络区域

区域介绍

• 区域如同进入主机的安全门，每个区域都具有不同限制程度的规则
• 可以使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口
• 默认情况下，public区域是默认区域，包含所有接口（网卡）

Firewalld数据处理流程

• 检查数据来源的源地址
• 若源地址关联到特定的区域，则执行该区域所指定的规则
• 若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
• 若网络接口未关联到特定的区域，则使用默认区域并执行该区域的所有指定的规则

也就说明了区域的优先级：源地址绑定、大于、网卡绑定、大于、默认区域。

Firewalld防火墙的配置方法

运行时配置

• 实时生效，并持续至Firewalld重新启动或重新加载配置文件
• 不中断现有连接
• 不能修改服务器配置

永久配置

• 不立即生效，除非Firewaddl重新启动或重新加载配置
• 中断现有连接
• 可以修改服务配置

配置方法

• firewall-config 图形化工具（只需要点点点即可）
• firewall-cmd 命令行工具（生成环境中没有图形化界面所有只能在命令行进行配置）

/etc/firewalld/中的配置文件

firewalld会优先使用/etc/firewalld/中的配置，如果不存在配置文件，则使用/usr/lib/firewalld/中的配置

• /etc/firewalld/：用户自定义配置文件，需要时可通过从/usr/lib/firewalld/中拷贝
• /usr/lib/firewalld/：默认配置文件，不建议修改，若恢复至默认配置，可直接删除/etc/firewalld/中的配置

示例：图形化界面

firewall-cmd命令行配置

常用firewall-cmd命令选项

--get-default-zone :显示当前默认区域

示例：

--set-default-zone=<zone> :设置默认区域

示例：

--get-active-zones ：显示当前正在使用的区域及其网卡接口

示例：

--get-zones ：显示所有可用的区域

示例：

--get-zone-of-interface=<interface> :显示指定接口绑定的区域

示例：

--zone=<zone> --add-interface=<interface>:为指定接口绑定区域

示例：

--zone=<zone> --change-interface=<interface> :为指定区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定区域删除绑定的网络接口

示例：

--add-source=<source> --zone=<zone> :为指定源地址绑定区域
--change-source=<source> --zone=<zone> ：为指定的区域更改绑定的源地址
--remove-source=<source> --zone=<zone> ：为指定的区域删除绑定的源地址

示例：

--list-all-zones ：显示所有区域及其规则

示例：

--list-all --zone=<zone> :显示所有指定区域的所有规则，若不指定区域表示仅对默认的区域操作

示例：

--zone=<zone> --list-service:显示指定区域内允许访问的所有服务
--zone=<zone> --add-service=<service>：为指定的区域设置允许访问的某项服务
--zone=<zone> --remove-service=<service>：删除指定区域已设置的允许访问的某项服务

示例：

--zone=<zone> --list-ports:x显示指定区域内允许访问的所有端口号
--zone=<zone> --add-port=<poreid>[-portid]/<portocol>:为指定的区域设置允许访问的某个端口号/某段端口号（包括协议）
--zone=<zone> --remove-port=<poreid>[-portid]/<portocol>:删除指定区域已设置允许访问的端口号（包括协议）

示例：

--zone=<zone> --list-icmp-blocks :显示指定区域内拒接访问的所有icmp类型
--zone=<zone> --add-icmp-block=<icmptype>：为指定区域设置允许访问的某项icmp类型
--zone=<zone> --remove-icmp-block=<icmptype>删除指定区域已设置允许访问的某项icmp类型
firealld-cmd --get-icmptypes ：显示所有icmp类型

示例：

区域管理

显示当前系统中的默认区域
firewall-cmd --get-default-zone
显示默认区域的所有规则
firewall-cmd --list-all
显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones
设置默认区域
firewall-cmd --set-default-zone=home

服务管理

查看默认区域内允许访问的所有服务
firewall-cmd --list-service
添加http服务到public区域
firewall-cmd --add-service=http --zone=public
同时添加http、https服务器到默认区域，设置成永久生效
firewall-cmd --add-service={http,https,ftp} --zone=public --permanent

示例：

端口管理

允许tcp的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
从internal区域将tcp443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp
允许udp的2048-2050端口到默认区域
firewall-cmd  --add-port=2048-2050/tcp

使用firewalld来实现SNAT、DNAT地址转换

清空指定表名所有规则
iptables -t nat -F
指定区域在public区域设置转发指定ipv4发送指定表名nat在末行添加POSTROUTING链修改数据包的源地址为192.168.239网段的出站IP为12.0.0.1
firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.239.0/24 -j SNAT --to-source 12.0.0.1
指定区域在public区域设置转发指定ipv4发送指定表名nat在末行添加PREROUTING链修改数据包的目的地址为12.0.0.1TCP协议80号端口的入站ip为192.168.239.100
firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.239.100

示例：