一、防火墙基本概述

在CentOS7系统中集成了多款防火墙管理工具,默认启用的是firewalld(动态防火墙管理器)防火墙管理工具,
Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。

对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables的规则比较的麻烦,并且对网络有一定要求,
所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接
触CentOS7系统的人员直接学习Firewalld

需要注意的是:如果开启防火墙工具,并且没有配置任何允许的规则,那么从外部访问防火墙设备默认会被阻止,

但是如果直接从防火墙内部往外部流出的流量默认会被允许。

#firewalld默认规则是全部拒绝
#iptable默认规则是全部允许

firewalld 只能做和IP/Port相关的限制,web相关的限制无法实现。

二、防火墙使用区域管理

那么相较于传统的Iptables防火墙,firewalld支持动态更新,并加入了区域zone的概念

简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据不同的场景选择不同的策略模板,

从而实现防火墙策略之间的快速切换

需要注意的是Firewalld中的区域与接口

一个网卡仅能绑定一个区域, eth0 --> A区域 
但一个区域可以绑定多个网卡;  A区域 --> eth0 eth1 eth2
还可以根据来源的地址设定不同的规则。比如:所有人能访问80端口,但只有公司的IP才允许访问22端口。

1.区域

区域选项 默认规则策略
trusted 允许所有的数据包流入流出
home 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal 等同于home区域
work 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许流量
public 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
external 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block 拒绝流入的流量,除非与流出的流量相关
drop 拒绝流入的流量,除非与流出的流量相关 
#必须要记住的
trusted区域       #白名单
public区域        #默认
drop区域          #黑名单

三、防火墙基本指令参数

参数 作用
zone区域相关指令  
--get-default-zone 获取默认的区域名称
--set-default-zone=<区域名称> 设置默认的区域,使其永久生效
--get-active-zones 显示当前正在使用的区域与网卡名称
--get-zones 显示总共可用的区域
   
services服务相关命令  
--get-services 列出服务列表中所有可管理的服务
--add-service= 设置默认区域允许该填加服务的流量
--remove-service= 设置默认区域不允许该删除服务的流量
Port端口相关指令  
--add-port=<端口号/协议> 设置默认区域允许该填加端口的流量
--remove-port=<端口号/协议> 置默认区域不允许该删除端口的流量
Interface网卡相关指令  
--add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称> 将某个网卡与区域进行关联
--remove-interface=<网卡名称> 移除网卡
其他相关指令  
--list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息
--reload 让“永久生效”的配置规则立即生效,并覆盖当前的哦诶之规则
IP相关指令  
--add-source=<IP/位数> 设置默认区域允许该IP的流量
--remove-source=<IP/位数> 设置默认区域移除允许该IP的流量

四、防火墙区域配置策略

为了能正常使用firewalld服务和相关工具去管理防火墙,必须启动firewalld服务,同时关闭以前旧的防火墙相关服务,需要注意firewalld的规则分为两种状态:

runtime运行时: 修改规则马上生效,但如果重启服务则马上失效,测试建议。
permanent持久配置: 修改规则后需要reload重载服务才会生效,生产建议。

1.禁用其他防火墙

#禁用iptables
[root@web02 ~]# systemctl mask iptable
Created symlink from /etc/systemd/system/iptable.service to /dev/null.

#取消禁用iptables
[root@web02 ~]# systemctl unmask iptables
Removed symlink /etc/systemd/system/iptables.service.

2.启动firewalld

[root@web02 ~]# systemctl start firewalld

3.firewalld常用命令

#查看默认区域

[root@web02 ~]# firewall-cmd --get-default-zone

public

#查看区域规则(默认区域)

[root@web02 ~]# firewall-cmd --list-all

public

  target: default

  icmp-block-inversion: no

  interfaces:

  sources:

  services: dhcpv6-client ssh

  ports:

  protocols:

  masquerade: no

  forward-ports:

  source-ports:

  icmp-blocks:

  rich rules:

#查看区域规则(指定区域)

[root@web02 ~]# firewall-cmd --list-all --zone=trusted

trusted							#区域名称

  target: ACCEPT				 #状态:接收(默认状态)

  icmp-block-inversion: no		  #icmp块

  interfaces: 					 #绑定的网卡

  sources: 						 #允许通过的IP地址、网段

  services: 					 #允许通过的服务

  ports: 						 #允许访问的端口

  protocols: 					 #允许通过的协议 (TCP/UDP/DCCP/SCTP)

  masquerade: no				 #IP伪装

  forward-ports: 				 #转发的端口

  source-ports: 				 #源端口

  icmp-blocks: 					 #icmp块

  rich rules:					 #富规则

#查询一个区域是否有某条规则

[root@web02 ~]# firewall-cmd --query-service=ssh

yes

[root@web02 ~]# firewall-cmd --query-service=http

no

#重启防火墙(清理默认的规则)

[root@web02 ~]# firewall-cmd --reload

success

五、防火墙配置放行策略

1.firewalld放行服务

[root@web02 ~]# firewall-cmd --add-service=http

success

#放行多个服务

[root@web02 ~]# firewall-cmd --add-service={https,mysql,redis}

success

#所有可放行的服务全都写在这个目录,可以自行修改

[root@web02 /usr/lib/firewalld/services]# pwd

/usr/lib/firewalld/services

#自定义配置服务

[root@web02 ~]# firewall-cmd --add-service=nginx

Error: INVALID_SERVICE: nginx

[root@web02 /usr/lib/firewalld/services]# cp http.xml nginx.xml

[root@web02 ~]# firewall-cmd --reload

success

[root@web02 ~]# firewall-cmd --add-service=nginx

success

2.firewalld放行端口

#开放端口必须加上协议

[root@web02 ~]# firewall-cmd --add-port=80/tcp

success

#添加多个端口

[root@web02 ~]# firewall-cmd --add-port={443/tcp,80/udp}

success

[root@web02 ~]# firewall-cmd --list-all

public (active)

  target: default

  icmp-block-inversion: no

  interfaces: eth0

  sources:

  services: dhcpv6-client ssh

  ports: 80/tcp 443/tcp 80/udp

  protocols:

  masquerade: no

  forward-ports:

  source-ports:

  icmp-blocks:

  rich rules:

3.放行ip

#允许一个IP所有的操作

[root@web02 ~]# firewall-cmd --add-source=10.0.0.1 --zone=trusted

success

六、防火墙端口转发策略

1.语法

端口转发是指传统的目标地址映射,实现外网访问内网资源

流量转发命令格式为:

	firewalld-cmd --permanent --zone=<区域> --add-forward-port=    

port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

2.配置实例

#将本地的10.0.0.8:5555端口映射到172.16.1.7:22端口,可以连接
1.配置端口转发

[root@web02 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.7success

2.开启IP伪装

[root@web02 ~]# firewall-cmd --add-masquerade

success

3.连接测试

[c:\~]$ ssh 10.0.0.8 5555

Connecting to 10.0.0.8:5555...

Connection established.

To escape to local shell, press 'Ctrl+Alt+]'.

Last login: Mon Sep 14 09:04:43 2020 from 10.0.0.1

[root@web01 ~]#

七、防火墙富规则

firewalld中的富语言规则表示更细致,更详细的防火墙策略配置,他可以针对系统服务、端口号、原地址
和目标地址等诸多信息进行更有针对性的策略配置,优先级在所有的防火墙策略中也是最高的,下面为firewalld富语言规则帮助手册

1.富规则语法

[root@web02 ~]# man firewalld.richlanguage

rule

  [source]

  [destination]

  service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port

  [log]

  [audit]

  [accept|reject|drop|mark]

rule [family="ipv4|ipv6"]

source [not] address="address[/mask]"|mac="mac-address"|ipset="ipset"

destination [not] address="address[/mask]"

service name="service name"

	port port="port value" protocol="tcp|udp"

	protocol value="protocol value"

	forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="addr

ess"

	source-port port="port value" protocol="tcp|udp"

[accept|reject|drop|mark]

#富语言规则相关命令

--add-rich-rule='<RULE>'        #在指定的区域添加一条富语言规则

--remove-rich-rule='<RULE>'     #在指定的区删除一条富语言规则

--query-rich-rule='<RULE>'      #找到规则返回0,找不到返回1

--list-rich-rules               #列出指定区里的所有富语言规则

2.富规则实例一

允许10.0.0.1主机能够访问http服务,允许172.16.1.0/24能访问111端口

#允许10.0.0.1主机能够访问http服务

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 service name=http accept'

success

#允许172.16.1.0/24能访问111端口

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port=111 protocol=tcp accept'

success

3.富规则实例二

默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器

[root@web02 ~]# firewall-cmd --add-service=ssh

#但拒绝172.16.1.0/24网段通过ssh连接服务器

1.方式一:

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh reject'

success

#连接返回结果

[root@web01 ~]# ssh 172.16.1.8 22

ssh: connect to host 172.16.1.8 port 22: Connection refused

2.方式二:

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'

success

#连接返回结果

[root@web01 ~]# ssh 172.16.1.8 22

ssh: connect to host 172.16.1.8 port 22: Connection timed out

#drop和reject区别

reject直接拒绝,返回拒绝

drop是丢弃,直到超时

3.富规则实例三

当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 forward-port port=5555 protocol=tcp to-port=22 to-addr=172.16.1.7'

success

[root@web02 ~]# firewall-cmd --add-masquerade

success

4.查看富规则

[root@web02 ~]# firewall-cmd --list-all

public

  target: default

  icmp-block-inversion: no

  interfaces:

  sources:

  services: dhcpv6-client ssh

  ports:

  protocols:

  masquerade: yes

  forward-ports:

  source-ports:

  icmp-blocks:

  rich rules:

	rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.7"

#之查看富规则

[root@web02 ~]# firewall-cmd --list-rich-rules

rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.7"

5.防火墙配置网站禁ping

[root@web02 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 protocol value=icmp drop'

success

八、防火墙规则备份

#防火墙规则永久生效后,会写入配置文件

[root@web02 ~]# ll /etc/firewalld/zones/

total 12

-rw-r--r--  1 root root 515 Sep 15 18:49 public.xml

-rw-r--r--. 1 root root 366 Sep 15 18:46 public.xml.old

-rw-r--r--  1 root root 193 Sep 15 18:52 trusted.xml

#备份可以备份整个目录

#添加新机器,需要配置防火墙,直接把规则拷贝过去启动即可

九、防火墙内部共享上网

在指定的带有公网IP的实例上启动Firewalld防火墙的NAT地址转换,以此达到内部主机上网。

1.开启IP伪装

[root@m01 ~]# firewall-cmd --add-masquerade

success

2.开启内核转发

注意这一步只有CentOS6系统需要做,CentOS7中默认已经开启。

#配置内核转发

[root@m01 ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

#在CentOS6中开启之后生效命令

[root@m01 ~]# sysctl -p

#查看内核转发是否开启

[root@m01 ~]# sysctl -a|grep net.ipv4.ip_forward

net.ipv4.ip_forward = 1

3.配置内网机器的网关地址

[root@web01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1

#添加以下两行

GATEWAY=172.16.1.61

DNS1=223.5.5.5

#重启网卡

[root@web02 ~]# ifdown eth1 && ifup eth1

4.测试访问外网

[root@web02 ~]# ping baidu.com

PING baidu.com (39.156.69.79) 56(84) bytes of data.

64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=1 ttl=127 time=33.3 ms

64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=2 ttl=127 time=31.1 ms

64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=3 ttl=127 time=39.8 ms

64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=4 ttl=127 time=30.9 ms

第二十三章 Firewalld的防火墙的更多相关文章

  1. 《Linux命令行与shell脚本编程大全》 第二十三章 学习笔记

    第二十三章:使用数据库 MySQL数据库 MySQL客户端界面 mysql命令行参数 参数 描述 -A 禁用自动重新生成哈希表 -b 禁用 出错后的beep声 -B 不使用历史文件 -C 压缩客户端和 ...

  2. Gradle 1.12用户指南翻译——第二十三章. Java 插件

    其他章节的翻译请参见: http://blog.csdn.net/column/details/gradle-translation.html 翻译项目请关注Github上的地址: https://g ...

  3. “全栈2019”Java多线程第二十三章:活锁(Livelock)详解

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java多 ...

  4. “全栈2019”Java第二十三章:流程控制语句中决策语句switch上篇

    难度 初级 学习时间 10分钟 适合人群 零基础 开发语言 Java 开发环境 JDK v11 IntelliJ IDEA v2018.3 文章原文链接 "全栈2019"Java第 ...

  5. 20190928 On Java8 第二十三章 注解

    第二十三章 注解 定义在 java.lang 包中的5种标准注解: @Override:表示当前的方法定义将覆盖基类的方法.如果你不小心拼写错误,或者方法签名被错误拼写的时候,编译器就会发出错误提示. ...

  6. Introduction to 3D Game Programming with DirectX 12 学习笔记之 --- 第二十三章:角色动画

    原文:Introduction to 3D Game Programming with DirectX 12 学习笔记之 --- 第二十三章:角色动画 学习目标 熟悉蒙皮动画的术语: 学习网格层级变换 ...

  7. 第二十三章 多项目集中权限管理及分布式会话——《跟我学Shiro》

    二十三章 多项目集中权限管理及分布式会话——<跟我学Shiro> 博客分类: 跟我学Shiro 跟我学Shiro  目录贴:跟我学Shiro目录贴 在做一些企业内部项目时或一些互联网后台时 ...

  8. 第二十三章、软件安装: RPM, SRPM 与 YUM 功能

    SRPM 的使用 : rpmbuild 包含Source code 的 SRPM 新版的 rpm 已经将 RPM 与 SRPM 的命令分开了,SRPM 使用的是 rpmbuild 这个命令,而不是 r ...

  9. 【WPF学习】第二十三章 列表控件

    WPF提供了许多封装项的集合的控件,本章介绍简单的ListBox和ComboBox控件,后续哈会介绍更特殊的控件,如ListView.TreeView和ToolBar控件.所有这些控件都继承自Item ...

随机推荐

  1. 分别用canvas和css3的transform做出钟表的效果

    两种方式实际上在js上的原理都是一样的.都是获取时间对象,再获取时间对象的时分秒,时分秒乘以其旋转一刻度(一秒.一分.一小时)对应的角度.css3中要赋值于transform:rotate(角度),c ...

  2. HTTP协议(二)---请求和响应

    HTTP通过请求和响应的交换达成通信. HTTP请求 请求报文由请求行(请求方法.请求URI.协议版本).请求首部字段以及内容实体(可能没有)构成. 下面是一个GET请求,没有内容实体: 下面是 一个 ...

  3. Fork Join 并发任务执行框架

    Fork Join 体现了分而治之 什么是分而治之? 规模为N的问题,如果N<阈值,直接解决,N>阈值,将N分解为K个小规模子问题,子问题互相对立,与原问题形式相同,将子问题的解合并得到原 ...

  4. c语言之结构

    定义结构: struct point { int x; int y; }; 定义结构并声明变量: struct point { int x; int y; }pt1,pt2,pt3; 声明结构变量 s ...

  5. canvas的简单绘制及设置

    <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> </head> ...

  6. 1.UiPath账密安全保存常见方法

    今天在写流程的时候突然用到密码保存,看到同事不同项目中所用到的方法不同,就看了一下别的同学博客,总结的特别好,自己跟着实操了一遍,受益匪浅. RPA适合于登录不同的系统代替人工操作,而登录系统时难免要 ...

  7. Ubuntu中发生git Connection refused

    今天在提交代码的时候: ssh: connect to host github.com port 22: Connection refused fatal: 无法读取远程仓库. 请确认您有正确的访问权 ...

  8. iNeuOS工业互联平台,机床&PLC硬件网关与平台无缝对接,进行数据交互

    目       录 1.      概述... 2 2.      平台演示... 2 3.      硬件网关的基本操作... 3 3.1           数据采集... 3 3.2       ...

  9. spring源码之bean的初始化及循环引用

    实例化方法,把bean实例化,并且包装成BeanWrapper 1.点进这个方法里面. 这个方法是反射调用类中的 factoryMethod 方法. 这要知道@Bean 方法的原理, 实际上sprin ...

  10. JSP2.2自定义标签、EL函数

    简介 JSTL是一个JSP标准标签库,可以解决大部分问题,但是如果我们需要一些更特殊的功能,就需要自定义类似JSTL中标签的标签.如果EL表达式无法满足我们的需求,我们也可以自定义EL函数. tld后 ...