linux初学者-firewall篇

 linux初学者-firewall篇

firewalld是防火墙的另一种程序，与iptables相同，但是使用起来要比iptables简单的点，不需要了解3张表和5条链也可以使用。

1、firewall的基本命令

"firewall-cmd --list-all"。查看当前的firewall的信息和配置。

"firewall-cmd --reload"。重新加载firewall配置，

"firewall-cmd --add-service=xxxx"。添加一个服务，例如下图，添加http，使得这个服务的数据可以通过，但是这个添加是临时的，重新加载配置后就会消失。

"firewall-cmd --permanent --add-service=xxxx"。可以永久添加这个服务。

"vim /etc/firewalld/zones/public.xml"。firewall的默认模式"public"的配置文件，如下图所示，可以看到添加的服务都在里面，如果在其中按照格式添加"ftp"，重新加载后就添加了这个服务了。

"firewall-cmd --remove-service=xxxx"。可以去掉某一个服务。

"cd /usr/lib/firewalld/services/"。进入这个目录后，如下图所示，输入"ls"，就可以看到可以添加哪些服务，并且可以看到这些服务的名称了。

"firewall-cmd --permanent --add-port=xxxx/tcp"。使某个端口的数据可以通过。例如在Apache配置文件中将端口改为8080，则即使firewall中添加了htpp也无法访问，因为其设置的可以通过的端口是80。此时需要用上述命令，添加8080端口，完成后，即可使用Apache访问。

"firewall-cmd --permanent --add-source=172.25.254.102 --zone=trusted"。表示来自"172.25.254.102"的数据全部通过。如果开启，firewall不添加http，且改为8080端口后不添加到firewall，"172.25.254.102"主机也可以访问Apache。"add"改为"remove"可以取消。

"firewall-cmd --permanent --remove-interface=eth1 --zone=public"。将eth1网卡从public模式下移除。

"firewall-cmd --permanent --add-interface=eth1 --zone=trusted"。将eth1网卡添加到trusted模式下。但是完成后需要重启防火墙"systemctl restart firewalld"才可以生效。

2、firewall的模式

"firewall-cmd --get-default-zone"。查看firewall的默认模式，是public。

"firewall-cmd --get-zones"。查看firewall都有哪几种模式。

"firewall-cmd --set-default-zone=xxx"。将firewall的默认模式改为xxx，这是一个临时更改。

firewall中常用的几种模式如下所示：

trusted：信任。可接受所有的网络连接。

home   ：家庭。用于家庭网络，仅接受dhcpv6-client ipp-client mdns samba-client ssh服务连接。

work   ：工作。工作网络，仅接受dhcpv6-client ipp-client ssh服务连接。

public ：公共。公共区域使用，仅接受dhcpv6-client ssh服务连接，这是firewalld的默认区域。

external：外部。出去的ipv4网络连接通过此区域伪装和转发，仅接受ssh服务连接。

dmz    ：非军事区。仅接受ssh服务连接。

block  ：限制。拒绝所有网络连接。

drop   ：丢弃。任何接收的网络数据包都被丢弃，没有任何回复。

3、firewall的应用

例如下图所示，client的主机可以通过ssh连接上server主机。去掉server主机上所添加的ssh服务，这样所有主机都不能连接了。然后在server主机上配置"firewall-cmd --permanent --direct --add-rule -ipv4 filter INPUT 0 ! -s 172.25.254.102 -p tcp --dport 22 -j ACCEPT"，该策略表示除了172.25.254.102的主机的数据都可以通过22端口。添加后可以使用"firewall-cmd --direct --get-all-rules"来查看所添加的策略。

完成后用client测试，重新通过ssh连接，发现就连接不上了。

去除这条策略将"add"改为"remove"即可。

4、firewall的路由策略

与iptables相同，firewall也可以添加路由策略，使得不同网段的主机也可以连接。三台主机的IP与网关与iptables篇中相同。

"firewall-cmd --list-all"。基本上是最初的样子。

firewall的路由策略配置如下所示：

"firewall-cmd --permanent --add-masquerade"。打开地址伪装功能。

"firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=172.25.254.202 masquerade""。该策略表示，将通过server主机的数据都封装为IP"172.25.254.202"。

"firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=172.25.254.0/24 forward-port port=22 protocol=tcp to-port=22 to-addr=172.25.2.102""。该条策略表示，将所有"172.25.254"网段的通过22端口的数据转到"172.25.2.102"主机上。

完成后重启firewall生效。"firewall-cmd --list-all"可以看到这些策略。

测试时，"2"网段的client主机可以成功连接"254"网段的"172.25.254.2"主机。与iptables相同，"172.25.254.2"的主机上看到的依旧是"172.25.254.202"的连接，ssh连接这个IP就会自动连接到"2"网段的client主机。

iptables和firewall是防火墙中常用的两种程序，可以灵活运用。