Firewalld防火墙

1.Firewalld概述

       动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以

分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

      系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。

2.  firewalld和iptables service 之间最本质的不同是:

         iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在

/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.

         使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。

3.Firewalld区域管理

    基于用户对网络中设备和交通所给与的信任程度,防火墙可以用来将网络分割成不同的区域。

    NetworkManager通知firewalld一个接口归属某个区域,新加入的接口被分配到默认区域。

<a href="http://s1.51cto.com/wyfs02/M01/87/BA/wKioL1ff_c7hlWnTAAJInwKVvjY987.png" target="_blank"></a>

4.管理防火墙

    4.1安装防火墙软件:

        # yum install -y firewalld firewall-config

    4.2启动和禁用防火墙:

        # systemctl start firewalld ; systemctl enable firewalld

        # systemctl disable firewalld ; systemctl stop firewalld

    4.3使用iptables服务:

        # yum install -y iptables-services

        # systemctl start iptables ; systemctl start ip6tables

        # systemctl enable iptables ; systemctl enable ip6tables

    4.4使用命令行接口配置防火墙

     4.4.1火墙策略查看

        # firewall-cmd    --list-all 

     4.4.2图形化配置火墙（打钩表示允许）

        # firewall-config  

    4.4.3查看firewalld的状态:

        # firewall-cmd --state

    4.4.4查看当前活动的区域,并附带一个目前分配给它们的接口列表:

        # firewall-cmd --get-active-zones

    4.4.5查看默认区域:

        # firewall-cmd --get-default-zone

    4.4.6查看所有可用区域:

        # firewall-cmd --get-zones

    4.4.7列出指定域的所有设置:

        # firewall-cmd --zone=public --list-all

    4.4.8列出所有预设服务:

        # firewall-cmd --get-services

        (这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意:配置文件是以服务本身命名的

service-name. xml)

    4.4.9列出所有区域的设置:

        # firewall-cmd --list-all-zones

    4.4.10设置默认区域:

        # firewall-cmd --set-default-zone=dmz

    4.4.11设置网络地址到指定的区域:

        # firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24

        (--permanent参数表示永久生效设置,如果没有指定--zone参数,那么会加入默认区域)

    4.412删除指定区域中的网路地址:

        # firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24

    4.4.13添加、改变、删除网络接口:

        # firewall-cmd --permanent --zone=internal --add-interface=eth0

        # firewall-cmd --permanent --zone=internal --change-interface=eth0

        # firewall-cmd --permanent --zone=internal --remove-interface=eth0

    4.4.14添加、删除服务:

        # firewall-cmd --permanent --zone=public --add-service=smtp

        # firewall-cmd --permanent --zone=public --remove-service=smtp

    4.4.15列出、添加、删除端口:

        # firewall-cmd --zone=public --list-ports

        # firewall-cmd --permanent --zone=public --add-port=8080/tcp

        # firewall-cmd --permanent --zone=public --remove-port=8080/tcp

    4.4.16重载防火墙:

        # firewall-cmd --reload

        (注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)

        firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到

配置防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认模板。

5.Direct Rules

    通过 firewall-cmd 工具,可以使用 --direct 选项在运行时间里增加或者移除链。如果不熟悉 iptables ,使用直接接口非常危险,因为您可能无意间导致防火墙被入侵。直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用。

    添加规则:

    # firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j

ACCEPT

    删除规则:

    # firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport 80 -j

    列出规则:

    # firewall-cmd --direct --get-all-rules

6.Rich Rules

        通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分区,也仍然支持现行的配置方式。

添加规则:

# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept'

允许172.25.0.10主机所有连接。

# firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'

每分钟允许2个新连接访问ftp服务。

# firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'

同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。

# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24"

service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'

允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。

# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'

丢弃所有icmp包

# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 reject' --

timeout=10

当使用source和destination指定地址时,必须有family参数指定ipv4或ipv6。如果指定超时,

规则将在指定的秒数内被激活,并在之后被自动移除。

# firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service

name="dns" audit limit value="1/h" reject' --timeout=300

拒绝所有来自2001:db8::/64子网的主机访问dns服务,并且每小时只审核记录1次日志。

# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source

address=172.25.0.0/24 service name=ftp accept'

允许172.25.0.0/24网段中的主机访问ftp服务

# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port

to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"'

转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012

7.伪装和端口转发

伪装:

# firewall-cmd --permanent --zone=&lt;ZONE&gt; --add-masquerade

# firewall-cmd --permanent --zone=&lt;ZONE&gt; --add-rich-rule='rule family=ipv4 source

addres=172.25.0.0/24 masquerade'

端口转发:

# firewall-cmd --permanent --zone=&lt;ZONE&gt; --add-forward-port=

port=80:proto=tcp:toport=8080:toaddr=172.25.0.10

address=172.25.0.0/24 forward-port port=80 protocol=tcp to-port=8080'

8.管理SELinux端口标签

列出端口标签:

# semanage port -l

添加端口标签:

# semanage port -a -t http_port_t -p tcp 82

删除端口标签:

# semanage port -d -t http_port_t -p tcp 82

本文转自willis_sun 51CTO博客，原文链接：http://blog.51cto.com/willis/1854297，如需转载请自行联系原作者