互联网上提供了各种网络服务,而防火墙可以设置各种规则来限制访问,保护服务器。

概述

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。

Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率。

三种防火墙

netfilter

  • linux内核中实现包过滤防火墙的内部结构
  • 属于内核态的防火墙功能体系

iptables

  • 指管理linux防火墙的命令程序
  • 属于用户态的防火墙管理体系

Firewalld

  • CentOS 7默认的防火墙管理工具,取代之前的iptables防火墙
  • 属于用户态
  • firewalldiptables内部结构都指向netfilter这个强大的网络过滤子系统,以实现包过滤防火墙功能
  • 支持动态更新、加入防火墙zone概念
  • 支持IPv4IPv6地址
  • 字符管理工具firewall-cmd和图形化管理工具firewall-config

区别

名称 Firewalld iptables
配置文件 /usr/lib/firewalld/和/etc/firewalld/ /etc/sysconfig/iptables
对规则的修改 不需要全部刷新策略,不丢失现行连接 需要全部刷新策略,丢失连接
防火墙类型 动态防火墙 静态防火墙

网络区域

区域介绍

区域 描述
drop (丢弃) 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接
block (限制) 任何接收的网络连接都被IPv4icmp-host-prohibited信息和IPv6icmp6-adm-prohibited信息所拒绝
public (公共) 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接
external (外部) 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接
dmz (非军事区) 用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接
work (工作) 用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接
home (家庭) 用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接
internal (内部) 用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接
trusted (信任) 可接受所有的网络连接
  • 每个区域都具有不同限制程度的规则
  • 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
  • 默认情况下,public区域是默认区域,包含所有接口(网卡)

数据处理流程

检查数据来源的源地址

  • 若源地址关联到特定的区域,则执行该区域所指定的规则
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

配置方法

运行时配置

  • 实时生效,并持续至Firewalld重新启动或重新加载配置
  • 不中断现有连接
  • 不能修改服务配置

永久配置

  • 不立即生效,除非Firewalld重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置

配置文件

Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/ib/firewalld/中的配置

  • /etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/ib/firewalld/中拷贝

  • /usr/ib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置

图形工具

[root@localhost ~]# firewall-config

命令行工具

[root@localhost ~]# firewall-cmd 命令
  • 以下是整理的一些命令
--get-default-zone

显示网络连接或接口的默认区域

--set-default-zone=<zone>

设置网络连接或接口的默认区域

--get-active-zones

显示已激活的所有区域

--get-zone-of-interface=<interface>

显示指定接口绑定的区域

--zone=<zone> --add-interface=<interface>

为指定接口绑定区域

--zone=<zone> --change-interface=<interface>

为指定的区域更改绑定的网络接口

--zone=<zone> --remove-interface=<interface>

为指定的区域删除绑定的网络接口

--query-interface=<interface>

查询区域中是否包含某接口

--list-all-zones

显示所有区域及其规则

[--zone=<zone>] --list-all

显示所有指定区域的所有规则


[--zone=<zone>] --list-services

显示指定区域内允许访问的所有服务

[--zone=<zone>] --add-service=<service>

为指定区域设置允许访问的某项服务

[--zone=<zone>] --remove-service=<service>

删除指定区域已设置的允许访问的某项服务

[--zone=<zone>] --query-service=<service>

查询指定区域中是否启用了某项服务


[--zone=<zone>] --list-ports

显示指定区域内允许访问的所有端口号

[--zone=<zone>] --add-port=<port>[-<port>]/<protocol> [--timeout=<seconds>]

启用区域端口和协议组合,可选配置超时时间

[--zone=<zone>] --remove-port=<port>[-<port>]/<protocol>

禁用区域端口和协议组合

[--zone=<zone>] --query-port=<port>[-<port>]/<protocol>

查询区域中是否启用了端口和协议组合


[--zone=<zone>] --list-icmp-blocks

显示指定区域内阻塞的所有ICMP类型

[--zone=<zone>] --add-icmp-block=<icmptype>

为指定区域设置阻塞的某项ICMP类型

[--zone=<zone>] --remove-icmp-block=<icmptype>

删除指定区域已阻塞的某项ICMP类型

[--zone=<zone>] --query-icmp-block=<icmptype>

查询指定区域的ICMP阻塞功能

firewall-cmd

状态操作

  • 停止、启动
[root@localhost ~]# systemctl stop firewalld

[root@localhost ~]# systemctl start firewalld
  • 禁止/允许开机启动
[root@localhost ~]# systemctl disable firewalld

[root@localhost ~]# systemctl enable firewalld
  • 查看状态
[root@localhost ~]# systemctl status firewalld

[root@localhost ~]# firewall-cmd --state

running

获取预定义信息

预定义信息主要包括三种:可用的区域、可用的服务以及可用的ICMP阻塞类型

  • 显示预定义的区域
[root@localhost ~]# firewall-cmd --get-zones

block dmz drop external home internal public trusted work
  • 显示预定义的服务
[root@localhost ~]# firewall-cmd --get-services

RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
  • 显示预定义的icmp阻塞类型
[root@localhost ~]# firewall-cmd --get-icmptypes

address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
  • 各种阻塞类型的含义分别如下所示:

destination-unreachable:目的地址不可达。

echo-reply:应答回应(pong)。

parameter-problem:参数问题。

redirect:重新定向。

router-advertisement:路由器通告。

router-solicitation:路由器征寻。

source-quench:源端抑制。

time-exceeded:超时。

timestamp-reply:时间戳应答回应。

timestamp-request:时间戳请求。

区域管理

使用firewall-cmd命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。

--get-default-zone

显示网络连接或接口的默认区域

--set-default-zone=<zone>

设置网络连接或接口的默认区域

--get-active-zones

显示已激活的所有区域

--get-zone-of-interface=<interface>

显示指定接口绑定的区域

--zone=<zone> --add-interface=<interface>

为指定接口绑定区域

--zone=<zone> --change-interface=<interface>

为指定的区域更改绑定的网络接口

--zone=<zone> --remove-interface=<interface>

为指定的区域删除绑定的网络接口

--list-all-zones

显示所有区域及其规则

[--zone=<zone>] --list-all

显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
  • 显示当前系统中的默认区域
[root@localhost ~]# firewall-cmd --get-default-zone

public
  • 显示默认区域的所有规则
[root@localhost ~]# firewall-cmd --list-all

public (active)

  target: default

  icmp-block-inversion: no

  interfaces: ens33

  sources:

  services: ssh dhcpv6-client

  ports:

  protocols:

  masquerade: no

  forward-ports:

  source-ports:

  icmp-blocks:

  rich rules:
  • 显示网络接口ens33对应的区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33

public
  • 将网络接口ens33对应区域改为internal区域
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33

The interface is under control of NetworkManager, setting zone to 'internal'.

success

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33

internal
  • 显示internal区域下有哪些网络接口
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces

ens33
  • 显示所有已激活的区域
[root@localhost ~]# firewall-cmd --get-active-zones

internal

  interfaces: ens33

服务管理

为了方便管理,firewalld预先定义了很多服务,存放在/usr/lib/firewalld/services/目录中,服务通过单个的XML配置文件来指定。

这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如ssh服务等。

与之对应的配置文件中记录了各项服务所使用的tcp/udp端口。在最新版本的firewalld中默认已经定义了70多种服务供我们使用,对于每个网络区域,均可以配置允许访问的服务。

当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将service配置文件放置在/etc/firewalld/services/目录中。

service配置具有以下优点。

  • 通过服务名字来管理规则更加人性化。
  • 通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
[--zone=<zone>] --list-services

显示指定区域内允许访问的所有服务

[--zone=<zone>] --add-service=<service>

为指定区域设置允许访问的某项服务

[--zone=<zone>] --remove-service=<service>

删除指定区域已设置的允许访问的某项服务

[--zone=<zone>] --list-ports

显示指定区域内允许访问的所有端口号

[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>

为指定区域设置允许访问的某个/某段端口号(包括协议名)

[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol>

删除指定区域已设置的允许访问的端口号(包括协议名)

[--zone=<zone>] --list-icmp-blocks

显示指定区域内拒绝访问的所有 ICMP 类型

[--zone=<zone>] --add-icmp-block=<icmptype>

为指定区域设置拒绝访问的某项 ICMP 类型

[--zone=<zone>] --remove-icmp-block=<icmptype>

删除指定区域已设置的拒绝访问的某项 ICMP 类型,省略--zone=<zone>时表示对默认区域操作
  • 显示默认区域允许访问的所有服务
[root@localhost ~]# firewall-cmd --list-services

ssh dhcpv6-client
  • 设置默认区域允许访问http服务
[root@localhost ~]# firewall-cmd --add-service=http

success
  • 设置默认区域允许访问https服务
[root@localhost ~]# firewall-cmd --add-service=https

success
  • 显示默认区域允许访问的所有服务
[root@localhost ~]# firewall-cmd --list-services

ssh dhcpv6-client http https
  • 显示internal区域内允许访问的所有服务
[root@localhost ~]# firewall-cmd --zone=internal --list-services

ssh mdns samba-client dhcpv6-client
  • 设置internal区域允许访问mysql服务
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql

success
  • 设置internal区域不允许访问samba-client服务
[root@localhost ~]# firewall-cmd --zone=internal --remove-service=samba-client

success
  • 显示internal区域内允许访问的所有服务
[root@localhost ~]# firewall-cmd --zone=internal --list-services

ssh mdns dhcpv6-client mysql

端口管理

在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。

但是,对于非预定义的服务只能手动为指定的区域添加端口。

  • internal区域打开443/TCP端口
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp

success
  • internal区域禁止443/TCP端口访问
[root@localhost ~]# firewall-cmd --zone=internal --remove-port=443/tcp

success

两种配置模式

前面提到firewall-cmd命令工具有两种配置模式:

  • 运行时模式Runtime mode表示当前内存中运行的防火墙配置,在系统或firewalld服务重启、停止时配置将失效。
  • 永久模式Permanent mode表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。

firewall-cmd命令工具与配置模式相关的选项有三个。

  • --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。

  • --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动firewalld或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则。

  • --runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性。

[root@localhost ~]# firewall-cmd --runtime-to-permanent

success

Linux Firewalld 基础介绍的更多相关文章

  1. Linux Firewalld 简明介绍

    防火墙作为保护服务器不受外部网络流量影响的一种方式.可以让用户定义一系列规则来控制外部网络中流入的流量,从而达到允许或阻塞的效果.firewalld 是防火墙服务的一个守护程序,实现了动态修改拥有 D ...

  2. Linux入门基础介绍

    概述: 1. linux是一个开源.免费的操作系统,其稳定性.安全性.处理多并发已经得到业界的认可,目前很多企业级的项目        都会部署到Linux/unix系统上. 2. 常见的操作系统(w ...

  3. Linux Firewalld 基础实例

    本次是一个Firewalld的基础操作实例,利用Firewalld图形操作界面进行访问控制操作. 实验拓扑 需求分析 首先拓扑涉及到两个区域,这里使用work和public区域,分别做相应的规则. 1 ...

  4. Linux基础介绍【第一篇】

    Linux简介 什么是操作系统? 操作系统,英文名称Operating System,简称OS,是计算机系统中必不可少的基础系统软件,它是应用程序运行以及用户操作必备的基础环境支撑,是计算机系统的核心 ...

  5. .Neter玩转Linux系列之四:Linux下shell介绍以及TCP、IP基础

    基础篇 .Neter玩转Linux系列之一:初识Linux .Neter玩转Linux系列之二:Linux下的文件目录及文件目录的权限 .Neter玩转Linux系列之三:Linux下的分区讲解 .N ...

  6. Linux基础介绍【第八篇】

    Linux网络基础 网线 568A 568B 线序:橙白橙 绿白蓝 蓝白绿 棕白棕 交换机.路由器 交换机:DLINK.H3C.CISCO 交换机(Switch)是一种用于电信号转发的网络设备.它可以 ...

  7. Linux命令基础1-环境介绍

    1.linux的简单历史 1)先有unix,后来有linux 2)linux操作系统是开源和免费的,里面的软件可能部分要收费 3)linux有不同发行版本,redhat,centos等. 4)1991 ...

  8. Linux实战教学笔记06:Linux系统基础优化

    第六节 Linux系统基础优化 标签(空格分隔):Linux实战教学笔记-陈思齐 第1章 基础环境 第2章 使用网易163镜像做yum源 默认国外的yum源速度很慢,所以换成国内的. 第一步:先备份 ...

  9. Kali Linux渗透基础知识整理(四):维持访问

    Kali Linux渗透基础知识整理系列文章回顾 维持访问 在获得了目标系统的访问权之后,攻击者需要进一步维持这一访问权限.使用木马程序.后门程序和rootkit来达到这一目的.维持访问是一种艺术形式 ...

随机推荐

  1. [笔记] nice-upload 与 nice-static-server

    1.request 支持流模式,管道流pipe,抓取图片并保存就很方便了 request('https://s.gravatar.com/avatar/184a1f14c759795b94ae1d01 ...

  2. 每天一道Rust-LeetCode(2019-06-05)

    每天一道Rust-LeetCode(2019-06-05) 最长回文子串 坚持每天一道题,刷题学习Rust. 接续昨天,最长会问字符串的另一种解法 题目描述 解题过程 //leetcode最快解法 / ...

  3. leetcode189. 旋转数组

    方法 4:使用反转算法 这个方法基于这个事实:当我们旋转数组 k 次, k\%nk%n 个尾部元素会被移动到头部,剩下的元素会被向后移动. 在这个方法中,我们首先将所有元素反转.然后反转前 k 个元素 ...

  4. $O(k^2)$ 求前缀 $k$ 次幂和(与长度无关)

    接下来求解前缀幂次和 求解 \(\sum_{i = 1}^{k} i^k\) \[ \begin{aligned} (p+1)^k - 1 = (p+1)^k - p^k + p^k - (p-1)^ ...

  5. bash shell——sum

    #!/bin/bash # sum.sh # 获取随机数量的参数,相加并打印结果 # total= # # $# 表示参数的数量 # for 循环获取每个参数 # ${!i} 表示返回第i个参数 # ...

  6. PowerShell常用命令及美化(现代化的CMD)

    PowerShell可谓现代终端,是微软用来替代古老的CMD的. PowerShell拥有面向对象的思想,非常方便. 常用命令 下载文件(此处以install.ps1文件为例) $client = n ...

  7. oracle--sqlplus格式化输出

    01,日期格式化输出 SQL> alter session set NLS_DATE_FORMAT='YYYY-MM-DD HH24:mi:ss'; SQL> select sysdate ...

  8. navicat 11.2.7破解

    1,软件安装包目录 2,根据电脑系统安装x64或者x86,安装完成之后将PatchNavicat.exe放到navicat的安装目录下 3,右键以管理员身份运行PatchNavicat.exe,或者双 ...

  9. ffmpeg Operation not permitted 报错的解决过程记录

    问题重现 由于视频的录制过程出现了一些小问题,需要重新将视频文件切割和合并,找了几个视频编辑软件来做这个事情,最终的结果都不是特别满意,当时已经挺晚的了,本来打算上床睡觉第二天再去想辙,从椅子上起身的 ...

  10. CentOS7 Hive 安装

    hive的安装模式有2种,一种是使用自带的derby数据库,另一种是使用mysql作为元数据库.derby方式一般没人用,因为它是单用户模式.这里主要讲解mysql方式. hive仅仅是一个客户端工具 ...