Linux 之 Firewalld

RHEL7是一个集合多款防火墙管理工具并存的系统，Firewalld动态防火墙管理器服务（Dynamic Firewall Manager of Linux systems）是目前默认的防火墙管理工具，同时拥有命令行终端和图形化界面的配置工具，即使是对Linux命令并不熟悉的同学也能快速入门。

常见的zone区域名称及应用可见下表（默认为public）：

区域	默认规则策略
trusted	允许所有的数据包。
home	拒绝流入的数据包，除非与输出流量数据包相关或是ssh,mdns,ipp-client,samba-client与dhcpv6-client服务则允许。
internal	等同于home区域
work	拒绝流入的数据包，除非与输出流量数据包相关或是ssh,ipp-client与dhcpv6-client服务则允许。
public	拒绝流入的数据包，除非与输出流量数据包相关或是ssh,dhcpv6-client服务则允许。
external	拒绝流入的数据包，除非与输出流量数据包相关或是ssh服务则允许。
dmz	拒绝流入的数据包，除非与输出流量数据包相关或是ssh服务则允许。
block	拒绝流入的数据包，除非与输出流量数据包相关。
drop	拒绝流入的数据包，除非与输出流量数据包相关。

firewall常用参数（可以用Tab键来补齐下列长格式参数）

参数	作用
--get-default-zone	查询默认的区域名称。
--set-default-zone=<区域名称>	设置默认的区域，永久生效。
--get-zones	显示可用的区域。
--get-services	显示预先定义的服务。
--get-active-zones	显示当前正在使用的区域与网卡名称。
--add-source=	将来源于此IP或子网的流量导向指定的区域。
--remove-source=	不再将此IP或子网的流量导向某个指定区域。
--add-interface=<网卡名称>	将来自于该网卡的所有流量都导向某个指定区域。
--change-interface=<网卡名称>	将某个网卡与区域做关联。
--list-all	显示当前区域的网卡配置参数，资源，端口以及服务等信息。
--list-all-zones	显示所有区域的网卡配置参数，资源，端口以及服务等信息。
--add-service=<服务名>	设置默认区域允许该服务的流量。
--add-port=<端口号/协议>	允许默认区域允许该端口的流量。
--remove-service=<服务名>	设置默认区域不再允许该服务的流量。
--remove-port=<端口号/协议>	允许默认区域不再允许该端口的流量。
--reload	让“永久生效”的配置规则立即生效，覆盖当前的。

例子

1. 查看Firewalld服务当前所使用的zone区域：

[root@linuxprobe ~]# firewall-cmd --get-default-zone
public

2. 查询eno16777728网卡在Firewalld服务中的zone区域：

[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public

3. 把Firewalld防火墙服务中eno16777728网卡的默认区域修改为external，重启后再生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=eno16777728
success
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public
[root@linuxprobe ~]# firewall-cmd --permanent --get-zone-of-interface=eno16777728
external

4. 把Firewalld防火墙服务的当前默认zone区域设置为public：

[root@linuxprobe ~]# firewall-cmd --set-default-zone=public
success
[root@linuxprobe ~]# firewall-cmd --get-default-zone 
public

5. 启动/关闭Firewalld防火墙服务的应急状况模式，阻断一切网络连接（当远程控制服务器时请慎用。）：

[root@linuxprobe ~]# firewall-cmd --panic-on
success
[root@linuxprobe ~]# firewall-cmd --panic-off
success

6. 查询在public区域中的ssh与https服务请求流量是否被允许：

[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https
no

7. 把Firewalld防火墙服务中https服务的请求流量设置为永久允许，并当前立即生效：

[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --reload
success

8. 把Firewalld防火墙服务中http服务的请求流量设置为永久拒绝，并当前立即生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http 
success
[root@linuxprobe ~]# firewall-cmd --reload 
success

9. 把Firewalld防火墙服务中8080和8081的请求流量允许放行，但仅限当前生效：

[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
success
[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports 
8080-8081/tcp

10. 把原本访问本机888端口号的请求流量转发到22端口号，要求当前和长期均有效：

流量转发命令格式：firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@linuxprobe ~]# firewall-cmd --reload
success

11. 在Firewalld防火墙服务中配置一条富规则，拒绝所有来自于192.168.10.0/24网段的用户访问本机ssh服务（22端口）：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success
[root@linuxprobe ~]# firewall-cmd --reload
success