CentOS 7 防火墙配置
1、防火墙的简述
防火墙对服务器起到一定的保护作用,所以了解一些相关的操作是很有必要的。
在CentOS 7.x中,有了一种新的防火墙策略叫FireWall , 在6.x中用的是iptables。
Centos 7 中防火墙是一个非常的强大的功能了, Firewalld 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态 防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配 置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。
防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。
Firewall 能将不同的网络连接归类到不同的信任级别,Zone 提供了以下几个级别
drop: 丢弃所有进入的包,而不给出任何响应
block: 拒绝所有外部发起的连接,允许内部发起的连接
public: 允许指定的进入连接
external: 同上,对伪装的进入连接,一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接,类似 workgroup
home: 同上,类似 homegroup
internal: 同上,范围针对所有互联网用户
trusted: 信任所有连接
2、 图形化和命令行
你可以通过图形界面工具 firewall-config 或者命令行客户端 firewall-cmd 启用或者关 闭防火墙特性。
- 在CentOS 7.x中,防火墙的基本命令是 firewall-cmd
- 命令行方式
使用命令行工具 firewall-cmd 支持全部防火墙特性。 使用它,只需要如下yum安装firewalld(实际我们不需要安装,默认已经装好了)
[root@localhost ~]# yum install firewalld -y
[root@localhost ~]# cat /etc/redhat-release
CentOS Linux release 7.5.1804 (Core)
[root@localhost ~]# rpm -ql firewalld | grep '/usr/bin/firewall-cmd'
/usr/bin/firewall-cmd
[root@localhost ~]# firewall-cmd --state
running
- 图形化界面方式
如果需要图形界面的话,要安装firewalld还需要再安装firewall-config的rpm包,
[root@localhost ~]# yum install firewalld firewall-config -y
3、 查看帮助文档
先通过man firewall-cmd 来简单看看它的帮助文档。
[root@localhost ~]# man firewall-cmd
[root@localhost ~]# firewall-cmd --help # 或 firewall-cmd -h
[root@localhost ~]# firewall-cmd --version 查看防火墙版本
4、 状态|启动|停止|重启
4.1 查看防火墙状态
- 查看方式1:
[root@localhost ~]# firewall-cmd --state
# remark:如果终端输出running就表示防火墙已经开启了,反之就没有。
- 查看方式2:
[root@localhost ~]# systemctl status firewalld
# remark:如果终端输出有Active: active (running)就表示防火墙已经开启了,反之就没有。
4.2 添加开机启动
[root@localhost ~]# systemctl enable firewalld # 开机启动
[root@localhost ~]# systemctl disable firewalld # 取消开机启动
[root@localhost ~]# systemctl is-enabled firewalld #查看服务是否开机启动
[root@localhost ~]# systemctl list-unit-files|grep enabled #查看已启动的服务列表
[root@localhost ~]# systemctl --failed #查看启动失败的服务列表
4.3 启动防火墙
[root@localhost ~]# systemctl start firewalld
4.4 停止防火墙
[root@localhost ~]# systemctl stop firewalld
4.5 重启防火墙
- 方式1,建议用此方法,会重新加载配置
[root@localhost ~]# firewall-cmd --reload # 更新规则,不重启服务,用此条命令即可
[root@localhost ~]# firewall-cmd --complete-reload # 更新规则,重启服务,一般不用此条命令
- 方式2
[root@localhost ~]# systemctl restart firewalld
5、查已有配置和端口
5.1 命令查看配置
[root@localhost ~]# firewall-cmd --list-all
#如果要查看指定级别则用firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports: 80/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="122.144.131.91" port port="111" protocol="tcp" accept
rule family="ipv4" source address="180.168.69.242" port port="2200" protocol="tcp" accept
rule family="ipv4" source address="27.115.59.166" port port="2200" protocol="tcp" accept
rule family="ipv4" source address="122.144.131.90" port port="2200" protocol="tcp" accept
rule family="ipv4" source address="122.144.208.19" port port="10050" protocol="tcp" accept
5.2 配置文件查看
[root@localhost ~]# cat /etc/firewalld/zones/public.xml
5.3 查看已开放的端口
- 方式1:查看所有已经开放端口,注意这里不会把开放的特定IP+特定端口的列出来,要想全部列出来则用上面的firewall-cmd --list-all,
[root@localhost ~]# firewall-cmd --list-ports
80/tcp
- 方式2:查看特定已经开放的端口
执行下面的命令后,如果指定的端口已经开放就会输出yes,反之就输出no
[root@localhost ~]# firewall-cmd --zone=public --query-port=81/tcp
6、添加和删除端口
这一步的操作就好比在Windows上的防火墙中新建一个入站规则。
6.1 添加单独端口add
只添加一个单独的端口(示例为81) ,注:如果是udp则把tcp改为udp即可,注意:这里有--permanent
[root@localhost ~]# firewall-cmd --zone=public --add-port=81/tcp --permanent
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
6.2 添加连续端口add
添加一组连续的端口(示例为82到85) ,注:如果是udp则把tcp改为udp即可,注意:这里有--permanent
[root@localhost ~]# firewall-cmd --zone=public --add-port=82-85/tcp --permanent
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
6.3 删除端口remove
只是把添加端口命令中add改为remove即可删除,其它的都不用动,注:如果是udp则把tcp改为udp即可,
注意:这里有--permanent
[root@localhost ~]# firewall-cmd --list-all #先查看一下开放的规则和端口
[root@localhost ~]# firewall-cmd --zone=public --remove-port=81/tcp --permanent
[root@localhost ~]# firewall-cmd --zone=public --remove-port=82-85/tcp --permanent
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
7、添加特定IP+特定端口
7.1 添加特定IP+单个端口add
注:如果是udp则把tcp改为udp即可,注意:这里有--permanent
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="122.144.131.91/24" port protocol="tcp" port="111" accept"
7.2 添加特定IP+多个端口add
注意:这里有--permanent
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="122.144.131.91/24" port protocol="tcp" port="4001-4004" accept"
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="10-51000" accept"
7.3 删除IP+端口规则remove
只需要把其中的add改为remove即可,其它的都不用动,注:如果是udp则把tcp改为udp即可,注意:这里有--permanent
[root@localhost ~]# firewall-cmd --list-all #先查看一下开放的规则和端口
[root@localhost ~]# firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="122.144.131.91/24" port protocol="tcp" port="111" accept"
[root@localhost ~]# firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="122.144.131.91/24" port protocol="tcp" port="4001-4004" accept"
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
8、查看Zone区域信息
8.1 查看已被激活的Zone
[root@localhost ~]# firewall-cmd --get-default-zone #查看默认区域
public
[root@localhost ~]# firewall-cmd --get-active-zones #查看已被激活的Zone
public
interfaces: em1
8.2 查看指定接口的Zone
[root@localhost ~]# firewall-cmd --get-zone-of-interface=em1
public
8.3 查看指定级别的接口
[root@localhost ~]# firewall-cmd --zone=public --list-interfaces
em1
8.4 查看指定级别的所有信息
[root@localhost ~]# firewall-cmd --zone=public --list-all #查看所有级别firewall-cmd --list-all
8.5 查看所有级别被允许的信息
[root@localhost ~]# firewall-cmd --get-service
[root@localhost ~]# firewall-cmd --get-service --permanent #查重启后所有Zones级别中被允许的服务
8.6 更改所属区域
显示所有公共区域(public)
[root@localhost ~]# firewall-cmd --zone=public --list-all
临时修改网络接口(enp0s3)为内部区域(internal),注意:这里有--permanent
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=enp03s
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
永久修改网络接口enp03s为内部区域(internal),注意:这里有--permanent
[root@localhost ~]# firewall-cmd --permanent --zone=internal --change-interface=enp03s
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
9、端口转发
9.1 配置 ip 地址伪装
注意:这里有--permanent
#查看伪装
[root@localhost ~]# firewall-cmd --zone=external --query-masquerade
#打开伪装
[root@localhost ~]# firewall-cmd --permanent --zone=external --add-masquerade
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
#关闭伪装
[root@localhost ~]# firewall-cmd --permanent --zone=external --remove-masquerade
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
9.2 端口转发
第一步:要进行端口转发,则首先需要开启伪装,注意:如果不开启伪装IP,端口转发会失败,如果要删除则把add改为remove即可,注意:这里有--permanent
[root@localhost ~]# firewall-cmd --permanent --zone=external --add-masquerade
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
然后,转发 tcp 22 端口至 3753,如果要删除则把add改为remove即可,注意:这里有--permanent
[root@localhost ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=22:proto=tcp:toport=3753
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
转发 22 端口数据至另一个 ip 的相同端口上,如果要删除则把add改为remove即可,注意:这里有--permanent
[root@localhost ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
转发 22 端口数据至另一 ip 的 2055 端口上,如果要删除则把add改为remove即可,注意:这里有--permanent
[root@localhost ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
10、服务管理
一些服务,对应多个端口,在防火墙允许某项服务则可能意味着允许该服务对应的多个端口,
10.1 查看所有服务
[root@localhost ~]# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nfs3 nrpe ntp open ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
10.2 查看当前允许的服务
! 特别注意:比如下面的ssh服务已经被允许开放,那么sshd对应的端口比如有两个端口22号端口和2200端口则就会被外部允许访问,即使防火墙这两个端口没有开放,也是可以访问的!!
[root@localhost ~]# firewall-cmd --list-services --zone=public #查看所有被允许开放的服务
ssh dhcpv6-client
[root@localhost ~]# firewall-cmd --query-service=http --zone=public #查看特定的服务是否开放
10.3 给区域添加服务add
注意:这里有--permanent
[root@localhost ~]# firewall-cmd --add-service=ftp --zone=public --permanent
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
10.4 删除区域服务remove
将add改为remove即可,注意:这里有--permanent
[root@localhost ~]# firewall-cmd --remove-service=ftp --zone=public --permanent
[root@localhost ~]# firewall-cmd --reload #此步不能少,必须重新加载配置才能生效
[root@localhost ~]# firewall-cmd --list-all #查看是否已生效
[root@localhost ~]# firewall-cmd --list-ports #查看是否已生效
11、应急模式
11.1 应急模式阻断所有网络
启动应急模式阻断所有网络连接,以防出现紧急状况,注意:此情况会断开所有的网络连接,远程连接勿使用
[root@localhost ~]# firewalld-cmd --panic-on
11.2 禁用应急模式
[root@localhost ~]# firewalld-cmd --panic-off
11.3 查询应急模式
[root@localhost ~]# firewalld-cmd --query-panic