【Linux】firewall防火墙管理工具

区域(Zone)概念

相较于传统的防火墙管理配置工具，firewalld支持动态更新技术并加入了区域（zone）的概念。简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。

 

   区域             默认规则策略

• trusted    允许所有的数据包
• home    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务                相关，则允许流量
• internal    等同于home区域
• work    拒绝流入的流量，除非与流出的流量数相关；而如果流量与ssh、ipp-client与dhcpv6-client服务相关，则允许流量
• public    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量
• external    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
• dmz    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
• block    拒绝流入的流量，除非与流出的流量相关
• drop    拒绝流入的流量，除非与流出的流量相关

 

 

firewalld服务程序两种管理方式

命令行界面：firewall-cmd

图形化界面：firewall-config

 

firewalld策略两种生效模式

• Runtime：当前生效模式，但重启后失效。
• Permanent：重启后永久有效，但不能立即生效，配置策略时加上--permanment就可以了。

例如

[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https #当前有效，重启无效
success
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https #当前无效，重启后永久有效
success
[root@linuxprobe ~]# firewall-cmd --reload #是permanent立即生效
succes

 

 

firewall-cmd 常用命令（当前生效模式模式）

 

1.管理区域（策略模板）

firewall-cmd --get-default-zone #查看firewalld服务当前所使用的区域
firewall-cmd --get-zone-of-interface=eno16777728 #查询eno16777728网卡在firewalld服务中的区域

firewall-cmd --zone=external --change interface=eno16777728  #修改网卡默认区域为external 

 

2.设置服务策略

[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https  #查询
no
[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https   #设置区域public 允许https服务的流量
success
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https   #查询 
yes
[root@linuxprobe ~]# firewall-cmd --zone=public --remove-service=https  #设置区域public 不再允许https服务的流量
success
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https  #查询
no

3.设置端口策略

[root@linuxprobe ~]# firewall-cmd --zone=public --query-port=80/tcp  #查询
no
[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=80/tcp #设置public区域 允许80端口的流量
success
[root@linuxprobe ~]# firewall-cmd --zone=public --query-port=80/tcp  #查询
yes
[root@linuxprobe ~]# firewall-cmd --zone=public --remove-port=80/tcp #设置public区域 不再允许80端口的流量
success
[root@linuxprobe ~]# firewall-cmd --zone=public --query-port=80/tcp  #查询
no

 

4.端口转发

把原本访问本机888端口的流量转发到22端口，要且求当前和长期均有效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@linuxprobe ~]# firewall-cmd --reload
success

 

5.富规则

使其拒绝192.168.10.0/24网段的所有用户访问本机的ssh服务（22端口）：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success
[root@linuxprobe ~]# firewall-cmd --reload
success

 

 

firewall-config 图形化工具

firewall-config

1：选择运行时（Runtime）模式或永久（Permanent）模式的配置。

2：可选的策略集合区域列表。

3：常用的系统服务列表。

4：当前正在使用的区域。

5：管理当前被选中区域中的服务。

6：管理当前被选中区域中的端口。

7：开启或关闭SNAT（源地址转换协议）技术。

8：设置端口转发策略。

9：控制请求icmp服务的流量。

10：管理防火墙的富规则。

11：管理网卡设备。

12：被选中区域的服务，若勾选了相应服务前面的复选框，则表示允许与之相关的流量。

13：firewall-config工具的运行状态。

 

PS:如果想要配置的防火墙策略永久且立即生效，请在配置图形界面前勾选 1 永久（Permanent）模式 ，然后进行配置，配置好之后，选择Options  --> Reload Firewalld (相当于命令 firewall-cmd --reload)

 

 

 

参考自：https://www.linuxprobe.com/chapter-08.html