用活firewalld防火墙之service

原文地址：http://www.excelib.com/article/291/show

前面学生已经给大家介绍了在firewalld中service的概念以及在zone中怎么使用service，但是service本身怎么配置我们还没讲，本节学生就来给大家介绍service本身的配置。

service配置文件

service相对于zone来说结构要简单的多，其整体配置文件结构如下

 <service [version="string"]>
      [<short>short description</short>]
      [<description>description</description>]
      [<port [port="portid[-portid]"] protocol="protocol"/>]
      [<module name="helper"/>]
      [<destination ipv4="address[/mask]" ipv6="address[/mask]"/>]
 </service>

firewall-cmd分别提供了两个命令来创建和删除service

 firewall-cmd --permanent --new-service='service'
 firewall-cmd --permanent --delete-service='service'

不过我们如果直接编辑xml文件应该更简单，前面学生给大家介绍service概念的时候已经给大家介绍过了操作service配置文件的方法了，大部分服务在“/usr/lib/firewalld/services/”目录下都可以找到，不过我们不要直接修改而要复制一份到“/etc/firewalld/services/”中然后再进行修改，当然如果想自己创建一个服务也可以直接在“/etc/firewalld/services/”目录中创建，另外，更好的做法是在“/usr/lib/firewalld/services/”中找一个类似的服务复制一份到“/etc/firewalld/services/”目录中，然后修改文件名和其中的内容。

下面学生对service中的每个配置项给大家解释一下

version

version是service节点的一个可选属性，用于表示service的版本。

short

short在zone、icmptype等配置文件中也存在，其作用是简介，主要是让我们对所配置的内容有所了解，类似于注释的作用。

description

作用跟short相同，不过描述信息更加详细。

port

服务所对应的端口，这项是service中非常重要的一个配置项，大部分service主要就是对port进行绑定的，当一个service绑定了指定端口之后，该端口接收到的连接就会当成这个service，然后到所对应的zone中去查询规则，从而判断是否可以放行。

一个service中可以配置多个port节点，这在有的时候是非常有用的，比如

port节点有两可个配置的属性：port和protocol

port属性

port用来配置所使用的端口号，可以是单个端口也可以是一个端口段，比如port=100-105表示100到105之间的端口号，另外，port属性是个可选属性，可以不进行设置。

protocol属性

protocol属性用于指定所对应的协议，如果port属性不为空，那么protocol应该设置为tcp或者udp，如果port属性为空（没设置），那么protocol可以设置为/etc/protocols中所包含的任意协议。

module

module用于设置netfilter的helper。学生前面给大家介绍过，firewalld其实是基于netfilter进行工作的，netfilter中的helper主要用于连接的跟踪，这样就可以实现“有状态的防火墙”，也就是将相关的连接管理到一起。一个典型的例子就是ftp的连接，我们知道一般来说ftp使用的是21号端口，不过21号端口主要是用来传输命令的，实际传输文件又会使用一个其他的端口，不过这两个连接还有内在的联系，这种情况就可以使用netfilter中的helper来处理，在我们这里service中就是module节点。我们看一下firewalld默认给我们提供的ftp的service配置文件ftp.xml

 <?xml version="1.0" encoding="utf-8"?>
 <service>
   <short>FTP</short>
   <description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the vsftpd package installed for this option to be useful.</description>
   <port protocol="tcp" port=""/>
   <module name="nf_conntrack_ftp"/>
 </service>

这里就使用了nf_conntrack_ftp这个helper，关于netfilter中helper的更多详细内容大家可以查看学生在参考文献中给大家列出的两个链接地址。

destination

destination非常简单，他就表示目标地址，也就是根据目标地址来绑定服务，他有两个属性：ipv4和ipv6，分别用于绑定ipv4和ipv6的地址，可以使用单个地址也可以使用掩码。

另外，在一个service中destination最多只能出现一次。

使用service

编辑完service配置文件后我们就可以在zone中使用了，具体使用方法学生在前面已经给大家介绍过，这里就不再重述了。

参考文献

1、http://blog.chinaunix.net/uid-23069658-id-3169450.html 
2、http://blog.csdn.net/appletreesujie/article/details/6838218