firewalld(动态防火墙后台程序) 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

       系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户

端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。

        firewalld和iptables service 之间最本质的不同是:

     1.iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.


     2 使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。

 


   1.配置firewalld

    firewall-cmd --state    ##查看firewalld状态

wKiom1k1DWCTmYQtAAAll23DoiQ878.png

    firewall-cmd --get-active-zones  ##查看当前活动的区域,并附带一个目前分配给它们的接    口列表


wKiom1k1DX3jA5W_AAA0kmYyJ00714.png

    firewall-cmd --get-default-zone  ##查看默认区域


firewalld_第1张图片

     firewall-cmd --get-zones  ##查看所有可用区域

wKiom1k1DsbhgvxvAAA6KyX9xk8750.png


 

     firewall-cmd --zone=public --list-all   ##列出指定域的所有设置


firewalld_第2张图片

     firewall-cmd --get-services  ##列出所有预设服务


firewalld_第3张图片

     firewall-cmd --list-all-zones  ##列出所有区域

firewalld_第4张图片


     firewall-cmd --set-default-zone=trusted   ##设置默认区域为trusted


wKiom1k1Md6yQEs0AAAqzcjqL5Q793.png

   **测试

firewalld_第5张图片



   firewall-cmd --permanent --add-source=172.25.254.74  ##设置网络地址到指定的区域,默认                                          是public,--permanent表示永久

   

   firewall-cmd --reload   ##重新加载服务,不中断服务

   firewall-cmd -complete--reload   ##重新加载服务,中断服务

 


firewalld_第6张图片



   firewall-cmd --permanent --remove-source=172.25.254.74  ##移除指定区域的网络地址

firewalld_第7张图片


  

   firewall-cmd --permanent --zone=trusted --add-source=172.25.254.74 

wKioL1k1NumA8oeTAAA3dffEics390.png  

   **测试

firewalld_第8张图片




   firewall-cmd --remove-interface=eth0 --zone=public   ##从public区域移除eth0端口 

   firewall-cmd --add-interface=eth0 --zone=trusted    ##添加eth0端口到trusted

firewalld_第9张图片


   **测试

   可以访问eth0端口,不可以访问eth1端口


firewalld_第10张图片

firewalld_第11张图片



   firewall-cmd --add-service=http --zone=public  ##添加http服务

firewalld_第12张图片


    firewall-cmd --remove-service=ssh --zone=public   ##删除ssh服务

firewalld_第13张图片


  

  firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.74 -p tcp --dport    22 -j ACCEPT  ##设置除了74主机22端口不可访问,其他主机22端口都可以访问

wKioL1k1OWujTcbIAAA6othoCjE887.png

  **测试

  74主机

wKioL1k1OdXT8gZWAABJUvqdb2k406.png

  其他主机

firewalld_第14张图片

  2.rich rules

  *  通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分 区,也仍然支持现行的配置方式。



  3.伪装和端口转发

  实验之前打开地址伪装

 firewall-cmd --permanent --zone=public --add-masquerade

wKioL1k1O3vjB0eNAABCWB-YXmY454.png

 ** masquerade : yes


   firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source    address=172.25.254.74 masquerade'   ##伪装

firewalld_第15张图片

  **测试

  不同网段的IP可以连接

firewalld_第16张图片

  


  

   firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.74

    ##端口转发

firewalld_第17张图片

  **测试

  ssh连接123主机,实际连接74主机

firewalld_第18张图片