防火墙——firewalld

介绍

firewald是对于iptables的一个封装，可以让你更容易地管理iptables规则。firewalld是iptables前端控制器，用于实现持久地网络流量规则。

一、对比

firewalld与直接控制地iptables相对比：

• firewalld使用区域和服务而不是链式规则。
• firewalld动态地管理规则集，允许更新规则而不破坏现有回话和连接。
• firewalld的规则是默认拒绝，iptables的规则默认是允许。

二、区域

firewalld可以将网卡对应到不同区域，一共有九个区域。

区域	默认策略规则
trusted	允许所有的流量包进出
home	拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client dhcpv6-client服务相关，则允许进入。
internal	等同于home区域
work	拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh、ipp-client、dhcpv6-client服务相关，则允许进入。
public	拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许进入。
external	拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh服务相关，则允许进入。
dmz	拒绝进入的流量，除非与出去的流量相关；而如果流量与ssh服务相关，则允许进入。
block	拒绝进入的流量，除非与出去的流量相关；
drop	拒绝进入的流量，除非与出去的流量相关；

相对应的这九个区域的配置文件存在于/usr/lib/firewalld/zones下。

默认情况下，在/etc/firewalld/zones下面有一个public.xml。如果给任何一个区域做一些改动，并永久保存，/etc/firewalld/zones就会自动生成对应的配置文件。

三、服务

在/usr/lib/firewalld/services目录中，还保存了另外一类配置文件，每个文件对应一项具体的网络服务，例如ssh服务等。与之对应的配置文件中记录了各项服务所使用的tcp/udp端口。当默认的服务不够用或者需要重新定义默认的服务端口时，就可以在此目录下进行配置。

优点： 通过服务名字来管理规则更加人性化；用服务来组织端口分组更加高效，如果一个服务需要多个端口，则在服务配置文件中就可以直接操作多个端口的开启和关闭。

四、命令

1、基础信息

#firewalld启动关闭重启

systemctl start firewalld

systemctl stop firewalld

systemctl restart firewalld

#查看firewalld的版本

firewall-cmd -V | firewall-cmd --version

#显示帮助

firewall-cmd -h | firewall-cmd --help

#显示防火墙的状态

firewall-cmd --state  |  systemctl status firewalld

#重新加载防火墙配置

firewall-cmd --reload

2、区域相关

#查看所有区域的名称

firewall-cmd --get-zones

#查看默认的区域名称

firewall-cmd --get-default-zone

#设置默认的区域

firewall-cmd --set-default-zone=区域名称

#显示正在使用的区域和对应的网卡名称

firewall-cmd --get-active-zone

#默认public区域拒绝所有流量，但如果来源IP是192.168.10.0/24网段则允许

[root@localhost ~]# firewall-cmd --zone=public --list-services   #查看publicq区域中默认通行的服务
dhcpv6-client telnet

[root@localhost ~]# firewall-cmd --zone=public --remove-service=dhcpv6-client --remove-service=telnet   #删除public区域中的默认服务

success
[root@localhost ~]# firewall-cmd --zone=trusted --add-source=192.168.10.0/24   #将所有来自192.168.10.0/24的端口设置为通行
success
[root@localhost ~]# firewall-cmd --reload
success

3、端口相关

#查看当前开放的端口

firewall-cmd --list-ports

#开启指定端口，允许所有端口访问

[root@localhost ~]# firewall-cmd --zone=public --add-port=443/tcp --permanent
success
[root@localhost ~]# firewall-cmd --reload
success

#移除某个开启的端口，允许所有端口访问

[root@localhost ~]# firewall-cmd --zone=public --remove-port=443/tcp --permanent
success
[root@localhost ~]# firewall-cmd --reload
success

#查看某个端口是否开放

[root@localhost ~]# firewall-cmd --query-port=80/tcp
yes

4、富规则相关

#查看目前拥有的富规则

firewall-cmd --list-rich-rules

#开放某个端口只允许指定IP访问

[root@localhost ~]# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.10.11" port protocol="tcp" port="443" accept" --permanent
success
[root@localhost ~]# firewall-cmd --reload
success

#移除某个富规则

[root@localhost ~]# firewall-cmd --remove-rich-rule="rule family="ipv4" source address="192.168.10.11" port protocol="tcp" port="3306" accept" --permanent
success
[root@localhost ~]# firewall-cmd --reload
success

5、转发规则

#允许TCP端口转发

[root@localhost ~]# firewall-cmd --zone=public --add-masquerade
success
[root@localhost ~]# firewall-cmd --reload
success

#将访问到本机的443端口的流量转发到192.168.10.10的80端口上

[root@localhost ~]# firewall-cmd --add-forward-port=port=443:proto=tcp:toport=80:toaddr=192.168.10.10 --permanent
success
[root@localhost ~]# firewall-cmd --reload
success

#去除某条转发规则

[root@localhost ~]# firewall-cmd --remove-forward-port=port=443:proto=tcp:toport=80:toaddr=192.168.10.10 --permanent
success
[root@localhost ~]# firewall-cmd --reload
success

#查看所有转发规则

[root@localhost ~]# firewall-cmd --list-forward-ports
port=80:proto=tcp:toport=80:toaddr=192.168.10.11
port=3306:proto=tcp:toport=80:toaddr=192.168.10.13

6、服务相关

#允许192.168.10.10主机访问ssh服务，等同于开放22端口

[root@localhost zones]# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.10.10" service name="ssh" accept" --zone=public
success
[root@localhost zones]# firewall-cmd --reload
success

#每分钟允许两个新连接访问ftp服务

[root@localhost ~]# firewall-cmd --add-rich-rule="rule service name=ftp limit value=2/m accept" --permanent
success
[root@localhost ~]# firewall-cmd --reload
success

#允许IPV6地址为1:2:3:4:6::子网的主机访问dns服务，并且每小时审核以西，300秒后自动取消

[root@localhost ~]# firewall-cmd --add-rich-rule="rule family="ipv6" source address="1:2:3:4:6::" service name="dns" audit limit value=1/h accept" --timeout=300
success

7、网卡相关

#查看指定网卡所对应的区域

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public

#修改指定网卡对应的区域

[root@localhost ~]# firewall-cmd --zone=drop --change-interface=ens33
success

#将来自某个网卡的流量全部作用于drop区域

[root@localhost ~]# firewall-cmd --zone=drop --add-interface=ens33
success
[root@localhost ~]# firewall-cmd --reload
success

8、应急状况

此方法是防火墙的应急状况模式，启动后远程连接也会断掉

#检查应急状况是否开启

[root@localhost ~]# firewall-cmd --query-panic
no

#开启应急状况

[root@localhost ~]# firewall-cmd --panic-on  #拒绝所有流量，远程连接会立即断掉，只能本地登录

success

#关闭应急状况

[root@localhost ~]# firewall-cmd --panic-off  #取消应急模式，但需要重新启动firewalld后才可以远程ssh
success