1  概述

firewalldCentOS 7.0新推出的管理netfilter的工具,firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能

本文将结合实例介绍firewalld的功能和配置

2  配置和实例

.firewalld服务由firewalld包提供

.firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则

.归入zone顺序:

         .先根据数据包中源地址,将其纳为某个zone

         .纳为网络接口所属zone

         .纳入默认zone,默认为public zone,管理员可以改为其它zone

.网卡默认属于public zone,lo网络接口属于trusted zone 

 firewalldzone分类


 预定义服务


2.1  firewalld配置

.firewall-cmd --get-services 查看预定义服务列表

./usr/lib/firewalld/services/*.xml预定义服务的配置

.三种配置方法

.firewall-config firewall-config包)图形工具

.firewall-cmd firewalld包)命令行工具

.修改/etc/firewalld配置文件,一般不建议

2.2  firewall-cmd 命令选项

.--get-zones列出所有可用区域

.--get-default-zone查询默认区域

.--set-default-zone=设置默认区域

.--get-active-zones列出当前正使用的区域

.--add-source=[--zone=]添加源地址的流量到指定区域,如果无--zone= 选项,使用默认区域

.--remove-source= [--zone=]从指定区域中删除源地址的流量,如果无--zone= 选项,使用默认区域

.--add-interface=[--zone=]添加来自于指定接口的流量到特定区域,如果无--zone= 选项,使用默认区域

.--change-interface=[--zone=]改变指定接口至新的区域,如果无--zone= 选项,使用默认区域

.--list-all [--zone=]列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无--zone= 选项,使用默认区域

.--add-service=[--zone=]允许服务的流量通过,如果无--zone= 选项,使用默认区域

.--add-port=[--zone=]允许指定端口和协议的流量,如果无--zone= 选项,使用默认区域,可以用来指定非标准协议

 .--remove-service=[--zone=]从区域中删除指定服务,禁止该服务流量,如果无--zone= 选项,使用默认区域

.--remove-port=[--zone=]从区域中删除指定端口和协议,禁止该端口的流量,如果无--zone= 选项,使用默认区域

.--reload删除当前运行时配置,应用加载永久配置

2.3  firewall-cmd 命令示例

#查看默认zone
firewall-cmd  --get-default-zone
#默认zone设为dmz
firewall-cmd  --set-default-zone=dmz
#在internal  zone中增加源地址192.168.0.0/24的永久规则
firewall-cmd  --permanent --zone=internal --add-source=192.168.0.0/24
#--permanent这个选项表示要存盘,永久生效,不加该选项默认是runtime,临时性的
#在internalzone中增加协议mysql的永久规则,运行mysql服务
firewall-cmd  --permanent –zone=internal  --add-service=mysql
#添加ftp服务器
firewall-cmd  --add-service=ftp
#如果协议是非标准端口,用--add-port来指定非标准协议
firewall-cmd –add-port=8000/tccp
#加载新规则以生效
firewall-cmd  --reload

2.4  实验:配置firewalld

systemctl mask iptables
#mask是屏蔽,用start启动不了服务,必须先umask
systemctlmask ip6tables
systemctlstatus firewalld
systemctlenable firewalld
systemctlstart firewalld
firewall-cmd--get-default-zone
firewall-cmd--set-default-zone public
firewall-cmd--permanent --zone=public --list-all
firewall-cmd--permanent --zone=public --add-port  8080/tcp
firewall-cmd ---reload

3  rich规则 

.当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则

.rich-rules 富规则,功能强,表达性语言,查看帮助:man 5firewalld.richlanguage

.Direct configuration rules 直接规则,灵活性差,查看帮助:man 5  firewalld.direct

 接下来将讲解rich规则的概念和配置

 3.1  管理rich 规则

.rich规则比基本的firewalld语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslogauditd,也可以实现端口转发,伪装和限制速率

rich规则实施顺序有以下四点

a.该区域的端口转发,伪造规则

b.该区域的日志规则

c.该区域的允许规则

d.该区域的拒绝规则

每个匹配的规则生效,所有规则都不匹配,该区域默认规则生效

3.2  rich语法:

rule  [source] [destination]  service|port|protocol|icmp-block|masquerade|forward-port  [log]  [audit]  [accept|reject|drop]

rich规则选项


rich规则示例

#拒绝从192.168.0.11的所有流量,当address 选项使用source或destination时,必须用family= ipv4|ipv6.
firewall-cmd  --permanent --zone=cla***oom  --add-rich-rule='rule family=ipv4  source address=192.168.0.11/32  reject‘
#--zone=cla***oom,自己定义新zone ,cla***oom
#限制每分钟只有两个连接到ftp服务
firewall-cmd  --add-rich-rule=’rule service name=ftp limitvalue=2/m  accept’
#抛弃esp(IPsec 体系中的一种主要协议)协议的所有数据包
firewall-cmd  --permanent  --add-rich-rule='rule protocol value=espdrop'
#接受所有192.168.1.0/24子网端口范置7900-7905的TCP流量
firewall-cmd  --permanent --zone=vnc  --add-rich-rule='rule family=ipv4 sourceaddress=192.168.1.0/24  port  port=7900-7905 protocol=tcpaccept'

3.3  rich日志规则

.log  [prefix="" [level=] [limitvalue=""]

.可以是emerg,alert,crit,error,warning,notice,info,debug.

.s:秒,m:分钟,h:小时, d:天

.audit  [limit value=""]

rich日志规则实例

.接受ssh新连接,记录日志到syslognotice级别,每分钟最多三条信息

firewall-cmd --permanent --zone=work--add-rich-rule='rule service name="ssh"  log prefix="ssh"  level="notice" limitvalue="3/m" accept’

.2001:db8::/64子网的DNS连接在5分钟内被拒绝,并记录到日志到audit,每小时最大记录一条信息。

firewall-cmd  --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"service name="dns" audit  limit value="1/h" reject'--timeout=300’

 #--timeout=300超时时间,300s

firewall-cmd --permanent --add-rich-rule='rule family=ipv4source address=172.18.50.73/32 service name="http" log level=noticeprefix="NEW HTTP " limit value="3/s" accept'
firewall-cmd  --reload

测试

tail -f /var/log/messages

curl http://serverX.example.com

4  伪造和端口转发

.NAT网络地址转换,firewalld支持伪造和端口转发两种NAT方式

.伪造NAT

firewall-cmd   --permanent --zone=  --add-masquerade
firewall-cmd   --permanent --zone= --add-rich-rule='rulefamily=ipv4 source address=192.168.0.0/24 masquerade'

4.1 普通规则端口转发

.端口转发:将发往本机的特定端口的流量转发到本机或不同机器的另一个端口。通常要配合地址伪造才能实现

语法

firewall-cmd  --permanent  --zone=  --add-forward-port=port=:proto=[:toport=][:toaddr=]

说明:toport=toaddr=至少要指定一个

.示例:

转发传入的连接513/TCP,到访火墙的132/TCPpublic zone 192.168.0.254

firewall-cmd  --permanent --zone=public  --add-forward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254

4.2  rich转发规则语法:

forward-port port=protocol=tcp|udp[to-port=][to-addr=
]

.示例:

转发从192.168.0.0/26来的,发往80/TCP的流量到防火墙的端口8080/TCP

firewall-cmd  --permanent --zone=work --add-rich-rule='rulefamily=ipv4 source address=192.168.0.0/26  forward-port port=80 protocol=tcpto-port=8080'

rich转发规则示例

firewall-cmd --permanent --add-rich-rule'rule family=ipv4 source address=172.25.X.10/32 forward-port port=443protocol=tcp to-port=22'
firewall-cmd --reload

测试

ssh  -p 443 serverX.example.com