Firewalld防火墙基础

firewalld和iptables都是用来管理防火墙的工具（属于用户态）来定义防火墙的各种规则功能，内部结构都指向netfilter网络过滤子系统（属于内核态）来实现包过滤防火墙功能。

firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。

Firewalld和iptables的区别

1、对规则的设置不同：

• ptables主要是基于接口（网卡），来设置规则，从而判断网络的安全性。
• firewalld是基于区域，根据不同的区域来设置不同的规则，从而保证网络的安全。与硬件防火墙的设置相类似。

2、配置文件不同：

• iptables在/etc/sysconfig/iptables中储存配置；

• firewalld 将配置储存在/etc/firewalld/（优先加载）和/usr/lib/firewalld/（默认的配置文件）中的各种XML文件里

3、对规则的修改：

• 使用iptables每一个单独更改，意味着清除所有旧的规则和从/etc/sysconfig/iptables里读取所有新的规则。
• 使用firewalld却不会再创建任何新的规则，仅仅运行规则中的不同之处。因此firewalld可以在运行时间内，改变设置而不丢失现行连接。

4、防火墙类型不同：

• iptables防火墙类型为静态防火墙
• firewalld防火墙类型为动态防火墙

Firewalld区域

firewalld防火墙为了简化管理，将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

这些区域配置文件存在于/usr/lib/firewalld/zones目录中，还有一个目录/etc/firewalld/zones。firewalld使用规则时，会首先到/etc/firewalld/目录中查找，如果可以找到就直接使用，找不到会继续到/usr/lib/firewalld/目录中查找。

区域优先级：源地址绑定的区域 > 网卡绑定的区域 > 默认区域（只要没有绑定过指定区域的网卡，都适用于于默认区域的规则。默认区域可自定义，不修改则为public）

firewalld防火墙定义了9个区域

区域	作用
trusted（信任区域）	允许所有的传入流量。
public（公共区域）	允许与ssh或dhcpv6-client预定义服务匹配的传入流量，其余均拒绝。是新添加网络接口的默认区域。
external（外部区域）	允许与ssh预定义服务匹配的传入流量其余均拒绝。
home（家庭区域）	允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量，其他均拒绝。
internal（内部区域）	默认值与home区域相同。
work（工作区域）	允许与ssh、dhcpv6-client预定义服务匹配的传入流量，其他均拒绝
dmz（隔离区域也称非军事区域）	允许与ssh预定义服务匹配的传入流量，其他均拒绝。
block（限制区域）	拒绝所有传入流量。
drop（丢弃区域）	丢弃所有传入流量，并且不产生包含icmp的错误响应。

firewalld区域介绍

• 最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
• 区域如同进入主机的安全门，每个区域都具有不同限制程度的规则，只会允许符合规则的流量传入。
• 可以根据网络规模，使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口。
• 默认情况下，public区域是默认区域，包含所有接口（网卡）。

firewalld数据处理流程

检查数据来源的源地址：

• 若源地址关联到特定的区域，则执行该区域所指定的规则
• 若源地址未关联到特定的区域，则使用传入网络接口的区域 并执行该区域所指定的规则
• 若网络接口未关联到特定的区域，则使用默认区域并执行该 区域所指定的规

Firewalld防火墙的配置方法

1、firewall-config 图形化工具（生产环境一般只有字符界面，不使用这种方法）

2、firewall-cmd 命令行工具（生产环境中没有图形化界面，所以只能在命令行进行配置）

3、编写 /etc/firewalld 中的配置文件。

• Firewalld 会优先使用/etc/firewalld/中的配置，如果不存在配置文件，则使用/usr/lib/firewalld/中的配置。

  • /etc/firewalld/：用户自定义配置文件，需要时可通过从/usr/lib/firewalld/ 中拷贝
  • /usr/lib/firewalld/ ：默认配置文件，不建议修改，若恢复至默认配置，可直接删除/etc/firewalld/ 中的配置

firewall-config 图形化工具

在命令行输入”firewall-config“，回车后会弹出图形化管理工具。生产环境一般只有字符界面，不使用这种方法。

 firewall-cmd 命令行工具

常用的 firewall-cmd 命令选项：

不指定区域时，则对默认区域进行操作（默认区域可自定义，不修改则为public）

#默认区域
 --get-default-zone ：显示当前默认区域
 --set-default-zone= ：设置默认区域
 ​
 --get-active-zones ：显示当前正在使用的区域及其网卡接口
 --get-zones：显示所有可用的区域
 ​
 #网络接口
 --get-zone-of-interface=ens33 ：查看指定接口ens33绑定的区域
 --zone= --add-interface= ：为指定接口绑定区域
 --zone= --change-interface= ：为指定区域更改绑定的网络接口
 --zone= --remove-interface= ：为指定区域删除绑定的网络接口
 ​
 #源地址
 --zone= --add-source=[/] ：为指定源地址绑定区域
 --zone= --change-source=[/] ：为指定的区域更改绑定的源地址
 --zone= --remove-source=[/] ：为指定的区域删除绑定的源地址
 ​
 #显示指定区域的所有规则
 --list-all-zones ：显示所有区域及其规则
 --zone= --list-all ：显示所有指定区域的所有规则，若不指定区域表示仅对默认的区域操作
 ​
 #服务管理
 --zone= --list-service ：显示指定区域内允许访问的所有服务
 --zone= --add-service= ：为指定的区域设置允许访问的某项服务
 --zone= --remove-service= ：删除指定区域已设置的允许访问的某项服务
 ​
 #端口管理
 --zone= --list-ports:x显示指定区域内允许访问的所有端口号
 --zone= --add-port=[-portid]/:为指定的区域设置允许访问的某个端口号/某段端口号（包括协议）
 --zone= --remove-port=[-portid]/:删除指定区域已设置允许访问的端口号（包括协议）
 ​
 #icmp协议
 --zone= --list-icmp-blocks :显示指定区域内拒接访问的所有icmp类型
 --zone= --add-icmp-block=：为指定区域设置允许访问的某项icmp类型
 --zone= --remove-icmp-block=删除指定区域已设置允许访问的某项icmp类型
 firealld-cmd --get-icmptypes ：显示所有icmp类型

Firewalld两种配置模式

运行时配置：

• 实时生效，并持续至Firewalld重新启动或重新加载配置文件
• 不中断现有连接
• 不能修改服务器配置

永久配置：

• 不立即生效，除非Firewaddl重新启动或重新加载配置
• 中断现有连接
• 可以修改服务配置

配置实例

 

永久配置

永久配置不立即生效，需要重启服务或重新加载后才生效。重启服务或重新加载时会中断现有连接。下次重启后不会丢失，永久存在。

1、--permanent 设置成永久生效，需要重启服务或重新加载 后才生效

 #同时添加 httpd、https 服务到默认区域，并设置成永久生效。
 ​
 firewall-cmd --add-service={http,https} --permanent
 firewall-cmd --reload
 ​
 #添加使用 --permanent选项表示设置成永久生效，需要重新启动 firewalld 服务或执行firewall-cmd --reload 命令重新加载后才生效；

2把运行时配置转换成永久配置

 firewall-cmd --runtime-to-permanent 
 ​
 #将当前的运行时配置，写入规则配置文件中，使之成为永久性配置。

例：直接进行永久配置

同时添加 httpd、https 服务到默认区域，并设置成永久生效。、

[root@yuji ~]# firewall-cmd --add-service={http,https} --permanent
 success
 [root@yuji ~]# firewall-cmd --reload
 success
 [root@yuji ~]# firewall-cmd --list-all
 public (active)
   target: default
   icmp-block-inversion: no
   interfaces: ens33
   sources: 
   services: ssh dhcpv6-client http https
   ports: 
   protocols: 
   masquerade: no
   forward-ports: 
   source-ports: 
   icmp-blocks: 
   rich rules: 
 

把运行时配置 转换成 永久配置

将当前的运行时配置，写入规则配置文件中，使之成为永久性配置

 [root@yuji ~]# firewall-cmd --runtime-to-permanent
 success

设置SNAT规则和DNAT规则

设置SNAT策略

 [root@yuji ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.72.0/24 -j SNAT --to-source 12.0.0.254
 success
 [root@yuji ~]# iptables -t nat -nL POSTROUTING
 Chain POSTROUTING (policy ACCEPT)
 target     prot opt source               destination         
 SNAT       all  --  192.168.72.0/24      0.0.0.0/0            to:12.0.0.254

设置DNAT策略

 [root@yuji ~]# firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10
 success
 [root@yuji ~]# iptables -t nat -nL PREROUTINGChain PREROUTING (policy ACCEPT)
 target     prot opt source               destination         
 DNAT       tcp  --  0.0.0.0/0            12.0.0.254           tcp dpt:80 to:192.168.72.10