Linux firewalld 防火墙

Linux firewalld 防火墙

 简介

　　RHEL 7 系统中集成了多款防火墙管理工具，其中 firewalld（Dynamic Firewall Manager of Linux systems，Linux 系统的动态防火墙管理器）服务是默认的防火墙配置管理工具，它拥有基于 CLI（命令行界面）和基于 GUI（图形用户界面）的两种管理方式。

　　相较于传统的防火墙管理配置工具，firewalld 支持动态更新技术并加入了区域（zone）的概念。简单来说，区域就是 firewalld 预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。

　　例如：我们有一台笔记本电脑，每天都要在办公室、咖啡厅和家里使用。按常理来讲，这三者的安全性按照由高到低的顺序来排列，应该是家庭、公司办公室、咖啡厅。当前，我们希望为这台笔记本电脑指定如下防火墙策略规则：在家中允许访问所有服务；在办公室内仅允许访问文件共享服务；在咖啡厅仅允许上网浏览。在以往，我们需要频繁地手动设置防火墙策略规则，而现在只需要预设好区域集合，然后只需轻点鼠标就可以自动切换了，从而极大地提升了防火墙策略的应用效率。firewalld 中常见的区域名称（默认为 public）以及相应的策略规则。

firewalld 中常用的区域名称及策略规则

区域	默认策略规则
trusted	允许所有的数据包
home	拒绝流入的流量，除非与流出的流量相关；而如果流量与 ssh、mdns、ipp-client、amba-client 与 dhcpv6-client 服务相关，则允许流量
internal	等同于 home 区域
work	拒绝流入的流量，除非与流出的流量数相关；而如果流量与 ssh、ipp-client 与 dhcv6-client 服务相关则允许流量
public	拒绝流入的流量，除非与流出的流量相关；而如果流量与 ssh、dhcpv6-client 服务 相关则允许流量
external	拒绝流入的流量，除非与流出的流量相关；而如果流量与 ssh 服务相关，则允许流量
dmz	拒绝流入的流量，除非与流出的流量相关；而如果流量与 ssh 服务相关，则允许流量
block	拒绝流入的流量，除非与流出的流量相关
drop	拒绝流入的流量，除非与流出的流量相关

---

终端管理工具 firewall-cmd

firewall-cmd 是 firewalld 防火墙配置管理工具的 CLI（命令行界面）版本。它的参数一般都是以“长格式”来提供。

firewall-cmd 命令中使用的参数以及作用

参数	作用
--get-default-zone	查询默认的区域名称
--set-default-zone=<区域名称>	设置默认的区域，使其永久生效
--get-zones	显示可用的区域
--get-services	显示预先定义的服务
--get-active-zones	显示当前正在使用的区域与网卡名称
--add-source=	将源自此 IP 或子网的流量导向指定的区域
--remove-source=	不再将源自此 IP 或子网的流量导向某个指定区域
--add-interface=<网卡名称>	将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>	将某个网卡与区域进行关联
--list-all	显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones	显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>	设置默认区域允许该服务的流量
--add-port=<端口号/协议>	设置默认区域允许该端口的流量
--remove-service=<服务名>	设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>	设置默认区域不再允许该端口的流量
--reload	让“永久生效”的配置规则立即生效，并覆盖当前的配置规则
--panic-on	开启应急状况模式
--panic-off	关闭应急状况模式

---

知识点

　　与 Linux 系统中其他的防火墙策略配置工具一样，使用 firewalld 配置的防火墙策略默认为运行时（Runtime）模式，又称为当前生效模式，而且随着系统的重启会失效。如果想让配置策略一直存在，就需要使用永久（Permanent）模式了，方法就是在用 firewall-cmd 命令正常设置防火墙策略时添加--permanent 参数，这样配置的防火墙策略就可以永久生效了。但是，永久生效模式有一个“不近人情”的特点，就是使用它设置的策略只有在系统重启之后才能自动生效。如果想让配置的策略立即生效，需要手动执行 firewall-cmd --reload 命令。

注意：Runtime 模式与 Permanent 模式。如果不关注这个细节，就算是正确配置了防火墙策略，也可能无法达到预期的效果。

使用

---

查询操作

---

• # 查看当前所使用的区域
• firewall-cmd --get-default-zone

---

• # 查看指定网卡在firewalld服务中的区域
• firewall-cmd --get-zone-of-interface=网卡名

---

• # 查询指定服务在指定区域下当前是否允许请求服务协议的流量
• firewall-cmd --zone=区域 --query-service=服务名

---

• # 查看指定服务在指定区域下当前的端口所有状态
• firewall-cmd --zone=区域 --list-ports

---

• # 查看指定区域下当前所有状态
• firewall-cmd --zone=区域 --list-all

---

配置策略

---

• # 修改指定网卡内使用的永久模式区域、系统重启后生效
• firewall-cmd --permanent --zone=区域 --change-interface=网卡名称

---

• # 修改当前区域修改成指定区域
• firewall-cmd --set-default-zone=区域

---

• # 修改指定服务在指定区域下当前允许协议流量访问、立即生效、重启后失效
• firewall-cmd --zone=区域 --add-service=服务名

---

• # 修改指定服务在指定区域下永久允许协议流量访问、重启后生效
• firewall-cmd --permanent --zone=区域 --add-service=服务名

---

• # 修改指定服务再指定区域下当前拒绝协议流量访问、立即生效、重启后失效
• firewall-cmd --zone=区域 --remove-service=服务名

---

• # 修改指定服务再指定区域下永久拒绝协议流量访问、重启生效
• firewall-cmd --permanent --zone=区域 --remove-service=服务名

---

• # 允许指定端口再指定区域下当前允许访问、立即生效
• firewall-cmd --zone=区域 --add-port=端口号/tcp

---

• # 允许指定端口再指定区域下永久允许访问、重启生效
• firewall-cmd --permanent --zone=区域 --add-port=端口号/tcp

---

• # 把访问指定源端口再指定区域下临时转发到指定目标端口、立即生效
• firewall-cmd --zone=区域 --add-forward-port=port=源端口:proto=tcp:toport=目标端口:toaddr=目标IP地址

---

• # 把访问指定源端口再指定区域下永久转发到指定目标端口、重启生效
• firewall-cmd --permanent --zone=区域 --add-forward-port=port=源端口:proto=tcp:toport=目标端口:toaddr=目标IP地址

---

• # 把指定源端口再指定区域下临时转发到目标网段端口、立即生效
• firewall-cmd --zone=区域 --add-rich-rule 'rule family="ipv4" source address="网段/掩码位" forward-port port="源端口" protocol="tcp" to-port="目标端口"'

---

• # 把指定源端口再指定区域下永久转发到目标网段端口、重启生效
• firewall-cmd --permanent --zone=区域 --add-rich-rule 'rule family="ipv4" source address="网段/掩码位" forward-port port="源端口" protocol="tcp" to-port="目标端口"'

---

• # 指定区域下临时禁用指定IP地址的访问、accept 为允许
• firewall-cmd --zone=区域 --add-rich-rule='rule family=ipv4 source address="IP地址" reject'

---

• # 指定区域下永久禁用指定IP地址的访问、重启生效、accept 为允许
• firewall-cmd --permanent --zone=区域 --add-rich-rule='rule family="ipv4" source address="IP地址" reject'

---

• # 指定区域下指定服务临时拒绝一个网段访问、适用于单个IP、accept 为允许
• firewall-cmd --zone=区域 --add-rich-rule="rule family="ipv4" source address="网段/掩码位" service name="服务名" reject"

---

• # 指定区域下指定服务永久拒绝一个网段访问、重启生效、适用于单个IP、accept 为允许
• firewall-cmd --permanent --zone=区域 --add-rich-rule="rule family="ipv4" source address="网段/掩码位" service name="服务名" reject"

---

• # 指定区域下指定端口临时拒绝一个网段访问、适用于单个IP、accept 为允许
• firewall-cmd --zone=区域 --add-rich-rule="rule family="ipv4" source address="网段/掩码位" port protocol="tcp" port="端口号" reject"

---

• # 指定区域下指定端口永久拒绝一个网段访问、重启生效、适用于单个IP、accept 为允许
• firewall-cmd --permanent --zone=区域 --add-rich-rule="rule family="ipv4" source address="网段/掩码位" port protocol="tcp" port="端口号" reject"

---

其他操作

---

• # 启动/关闭 firewalld 防火墙服务的应急状况模式，阻断一切网络连接（当远程控制服务器时请慎用）
• firewall-cmd --panic-on
• firewall-cmd --panic-off

---

• # 保存设置、可立即生效permanent配置
• firewall-cmd --reload

---

• # 删除操作、将参数签的 add 改为 remove
• firewall-cmd .. --zone=区域 --remove-..  

---

其他知识

---

REJECT 与 DROP

1、REJECT动作会返回一个拒绝(终止)数据包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE)，明确的拒绝对方的连接动作。

2、DROP动作只是简单的直接丢弃数据，并不反馈任何回应。需要Client等待超时，Client容易发现自己被防火墙所阻挡。

---