Firewalld

Firewalld简介

RHEL 7系统中集成了多款防火墙管理工具，其中firewalld（Dynamic Firewall Manager of Linux systems，Linux系统的动态防火墙管理器）服务是默认的防火墙配置管理工具。
它拥有基于CLI（命令行界面）和基于GUI（图形用户界面）的两种管理方式。
firewalld支持动态更新技术并加入了区域（zone）的概念。简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。

firewalld中常见的区域名称（默认为public）以及相应的策略规则

区域

默认规则策略

trusted

允许所有的数据包

home

拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关，则允许流量

internal

等同于home区域

work

拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、ipp-client与dhcpv6-client服务相关，则允许流量

public

拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量

external

拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量

dmz

拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量

block

拒绝流入的流量，除非与流出的流量相关

drop

拒绝流入的流量，除非与流出的流量相关

firewall-cmd

firewall-cmd是firewalld防火墙配置管理工具的CLI（命令行界面）版本。它的参数一般都是以“长格式”来提供的，该命令可用Tab键自动补齐命令参数

firewall-cmd命令参数说明

参数

作用

--get-default-zone

查询默认的区域名称

--set-default-zone=<区域名称>

设置默认的区域，使其永久生效

--get-zones

显示可用的区域

--get-services

显示预先定义的服务

--get-active-zones

显示当前正在使用的区域与网卡名称

--add-source=

将源自此IP或子网的流量导向指定的区域

--remove-source=

不再将源自此IP或子网的流量导向某个指定区域

--add-interface=<网卡名称>

将源自该网卡的所有流量都导向某个指定区域

--change-interface=<网卡名称>

将某个网卡与区域进行关联

--list-all

显示当前区域的网卡配置参数、资源、端口以及服务等信息

--list-all-zones

显示所有区域的网卡配置参数、资源、端口以及服务等信息

--add-service=<服务名>

设置默认区域允许该服务的流量

--add-port=<端口号/协议>

设置默认区域允许该端口的流量

--remove-service=<服务名>

设置默认区域不再允许该服务的流量

--remove-port=<端口号/协议>

设置默认区域不再允许该端口的流量

--reload

让“永久生效”的配置规则立即生效，并覆盖当前的配置规则

--panic-on

开启应急状况模式

--panic-off

关闭应急状况模式

与Linux系统中其他的防火墙策略配置工具一样，使用firewalld配置的防火墙策略默认为运行时（Runtime）模式，又称为当前生效模式，而且随着系统的重启会失效。
如果想让配置策略一直存在，就需要使用永久（Permanent）模式了，方法就是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数，这样配置的防火墙策略就可以永久生效了。
但是，永久生效模式有一个“不近人情”的特点，就是使用它设置的策略只有在系统重启之后才能自动生效。如果想让配置的策略立即生效，需要手动执行firewall-cmd --reload命令。

firewall-cmd实验测试

查看firewalld服务当前所使用的区域

firewall-cmd --get-default-zone

查询eno16777728网卡在firewalld服务中的区域

firewall-cmd --get-zone-of-interface=eno16777728

把firewalld服务中eno16777728网卡的默认区域修改为external，并在系统重启后生效。分别查看当前与永久模式下的区域名称

firewall-cmd --permanent --zone=external --change-interface=eno16777728

firewall-cmd --get-zone-of-interface=eno16777728

firewall-cmd --permanent --get-zone-of-interface=eno16777728

把firewalld服务的当前默认区域设置为public

firewall-cmd --set-default-zone=public

firewall-cmd --get-default-zone

启动/关闭firewalld防火墙服务的应急状况模式，阻断一切网络连接（当远程控制服务器时请慎用）

firewall-cmd --panic-on

firewall-cmd --panic-off

查询public区域是否允许请求SSH和HTTPS协议的流量

firewall-cmd --zone=public --query-service=ssh

firewall-cmd --zone=public --query-service=https

把firewalld服务中请求HTTPS协议的流量设置为永久允许，并立即生效

firewall-cmd --zone=public --add-service=https --permanent

firewall-cmd --reload

把firewalld服务中请求HTTP协议的流量设置为永久拒绝，并立即生效

firewall-cmd --zone=public --remove-service=http --permanent

firewall-cmd --reload

把在firewalld服务中访问8080和8081端口的流量策略设置为允许，但仅限当前生效

firewall-cmd --zone=public --add-port=8080-8081/tcp

firewall-cmd --zone=public --list-ports

把原本访问本机888端口的流量转发到本机22端口，要且求当前和长期均有效

firewall-cmd --permanent --zone=public --add-forward-port="port=888:proto=tcp:toport=22:toaddr="

firewall-cmd --reload

# 流量转发命令格式为
# firewall-cmd --permanent --zone=<区域> 
# --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
# 本地转发（转发到本机）时 toaddr=后边的IP地址可省略

在firewalld服务中配置一条富规则，使其拒绝192.168.10.0/24网段的所有用户访问本机的ssh服务（22端口）

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" service name="ssh" reject"

firewall-cmd --reload

PreviousIptables NextTCP Wrappers

Last updated 1 year ago