防火墙 之 firewalld介绍

1 概述

firewalld是CentOS 7.0新推出的管理netfilter的工具,firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能
本文将结合实例介绍firewalld的功能和配置


2 配置和实例

.firewalld服务由firewalld包提供
.firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则
.归入zone顺序:
.先根据数据包中源地址,将其纳为某个zone
.纳为网络接口所属zone
.纳入默认zone,默认为public zone,管理员可以改为其它zone
.网卡默认属于public zone,lo网络接口属于trusted zone
** firewalldzone****分类**

防火墙 之 firewalld介绍_第1张图片

** ****预定义服务**
防火墙 之 firewalld介绍_第2张图片

2.1 firewalld配置
.firewall-cmd --get-services 查看预定义服务列表
./usr/lib/firewalld/services/*.xml预定义服务的配置
.三种配置方法
.firewall-config (firewall-config包)图形工具
.firewall-cmd (firewalld包)命令行工具
.修改/etc/firewalld配置文件,一般不建议
2.2 firewall-cmd 命令选项
.--get-zones列出所有可用区域
.--get-default-zone查询默认区域
.--set-default-zone=设置默认区域
.--get-active-zones列出当前正使用的区域
.--add-source=[--zone=]添加源地址的流量到指定区域,如果无--zone= 选项,使用默认区域
.--remove-source= [--zone=]从指定区域中删除源地址的流量,如果无--zone= 选项,使用默认区域
.--add-interface=[--zone=]添加来自于指定接口的流量到特定区域,如果无--zone= 选项,使用默认区域
.--change-interface=[--zone=]改变指定接口至新的区域,如果无--zone= 选项,使用默认区域
.--list-all [--zone=]列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无--zone= 选项,使用默认区域
.--add-service=[--zone=]允许服务的流量通过,如果无--zone= 选项,使用默认区域
.--add-port=[--zone=]允许指定端口和协议的流量,如果无--zone= 选项,使用默认区域,可以用来指定非标准协议
.--remove-service=[--zone=]从区域中删除指定服务,禁止该服务流量,如果无--zone= 选项,使用默认区域
.--remove-port=[--zone=]从区域中删除指定端口和协议,禁止该端口的流量,如果无--zone= 选项,使用默认区域
.--reload删除当前运行时配置,应用加载永久配置
2.3 firewall-cmd 命令示例
#查看默认zone
firewall-cmd --get-default-zone
#默认zone设为dmzfirewall-cmd --set-default-zone=dmz
#在internal zone中增加源地址192.168.0.0/24的永久规则
firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24
#--permanent这个选项表示要存盘,永久生效,不加该选项默认是runtime,临时性的
#在internalzone中增加协议mysql的永久规则,运行mysql服务
firewall-cmd --permanent –zone=internal --add-service=mysql
#添加ftp服务器
firewall-cmd --add-service=ftp
#如果协议是非标准端口,用--add-port来指定非标准协议firewall-cmd –add-port=8000/tccp#加载新规则以生效
firewall-cmd --reload

2.4 实验:配置firewalld
systemctl mask iptables#mask是屏蔽,用start启动不了服务,必须先umasksystemctlmask ip6tablessystemctlstatus firewalldsystemctlenable firewalldsystemctlstart firewalldfirewall-cmd--get-default-zonefirewall-cmd--set-default-zone publicfirewall-cmd--permanent --zone=public --list-allfirewall-cmd--permanent --zone=public --add-port 8080/tcpfirewall-cmd ---reload


**3 rich规则 **

.当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则
.rich-rules 富规则,功能强,表达性语言,查看帮助:man 5firewalld.richlanguage
.Direct configuration rules 直接规则,灵活性差,查看帮助:man 5 firewalld.direct
接下来将讲解rich规则的概念和配置
** 3.1 管理rich 规则**
.rich规则比基本的firewalld语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslog和auditd,也可以实现端口转发,伪装和限制速率
rich规则实施顺序有以下四点
a.该区域的端口转发,伪造规则
b.该区域的日志规则
c.该区域的允许规则
d.该区域的拒绝规则
每个匹配的规则生效,所有规则都不匹配,该区域默认规则生效
3.2 rich语法:
rule [source] [destination] service|port|protocol|icmp-block|masquerade|forward-port [log] [audit] [accept|reject|drop]
rich****规则选项

防火墙 之 firewalld介绍_第3张图片

rich****规则示例
#拒绝从192.168.0.11的所有流量,当address 选项使用source或destination时,必须用family= ipv4|ipv6.
firewall-cmd --permanent --zone=classroom --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject‘
#--zone=classroom,自己定义新zone ,classroom#限制每分钟只有两个连接到ftp服务
firewall-cmd --add-rich-rule=’rule service name=ftp limitvalue=2/m accept’
#抛弃esp(IPsec 体系中的一种主要协议)协议的所有数据包
firewall-cmd --permanent --add-rich-rule='rule protocol value=espdrop'
#接受所有192.168.1.0/24子网端口范置7900-7905的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 sourceaddress=192.168.1.0/24 port port=7900-7905 protocol=tcpaccept'
3.3 rich****日志规则
.log [prefix="" [level=] [limitvalue=""]
.可以是emerg,alert,crit,error,warning,notice,info,debug.
.s:秒,m:分钟,h:小时, d:天
.audit [limit value=""]
rich****日志规则实例
.接受ssh新连接,记录日志到syslog的notice级别,每分钟最多三条信息
firewall-cmd --permanent --zone=work--add-rich-rule='rule service name="ssh" log prefix="ssh" level="notice" limitvalue="3/m" accept’
.从2001:db8::/64子网的DNS连接在5分钟内被拒绝,并记录到日志到audit,每小时最大记录一条信息。
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"service name="dns" audit limit value="1/h" reject'--timeout=300’

--timeout=300超时时间,300s

firewall-cmd --permanent --add-rich-rule='rule family=ipv4source address=172.18.50.73/32 service name="http" log level=noticeprefix="NEW HTTP " limit value="3/s" accept'firewall-cmd --reload
测试
tail -f /var/log/messages
curl http://serverX.example.com


​4 伪造和端口转发

.NAT网络地址转换,firewalld支持伪造和端口转发两种NAT方式
.伪造NAT
firewall-cmd --permanent --zone= --add-masqueradefirewall-cmd --permanent --zone= --add-rich-rule='rulefamily=ipv4 source address=192.168.0.0/24 masquerade'
4.1 普通规则端口转发
.端口转发:将发往本机的特定端口的流量转发到本机或不同机器的另一个端口。通常要配合地址伪造才能实现
语法
firewall-cmd --permanent --zone= --add-forward-port=port=:proto=[:toport=][:toaddr=]
说明:toport=和toaddr=至少要指定一个
.示例:
转发传入的连接513/TCP,到访火墙的132/TCP到public zone 的192.168.0.254
firewall-cmd --permanent --zone=public --add-forward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254
4.2 rich转发规则语法:
forward-port port=protocol=tcp|udp[to-port=][to-addr=

]
.示例:
转发从192.168.0.0/26来的,发往80/TCP的流量到防火墙的端口8080/TCP
firewall-cmd --permanent --zone=work --add-rich-rule='rulefamily=ipv4 source address=192.168.0.0/26 forward-port port=80 protocol=tcpto-port=8080'
rich转发规则示例
firewall-cmd --permanent --add-rich-rule'rule family=ipv4 source address=172.25.X.10/32 forward-port port=443protocol=tcp to-port=22'firewall-cmd --reload
测试
ssh -p 443 serverX.example.com

你可能感兴趣的:(防火墙 之 firewalld介绍)