防火墙 (屏障)
目录
课前准备:
1.什么是防火墙
防火墙与SElinux的区别
1.1.分类
1.2 Netfilter(数据包过滤)(俗称防火墙)
1.2.1.定义
1.2.2.Netfilter分析内容
1.3 防火墙无法完成的任务
1.4.iptables 与 firewalld 区别
2.iptables
2.1.iptables执行原则
2.1.1.原则
2.1.2.防火墙规则
2.2.规则链
2.2.1.概念
2.2.2.分析
2.2.3.规则链分类
2.2.4.规则链之间的匹配顺序
2.2.5.iptables 流量处理动作
2.3 iptables表
2.3.1.四种规则表
2.4.安装iptables
2.4.1.预处理
2.4.2.管理命令
2.4.3.规则链存储文件
2.5.iptables 命令
2.5.1.原则:
2.5.2.格式:
2.5.3.参数:
2.5.4 实例:
2.5.5 实验
3. firewalld
3.1概述
3.1.1.概念
3.1.2.firewalld特点
3.2.区域 zone
3.2.1.作用
3.2.2.分析
3.2.3.zone文件中的过滤规则
3.3 firewalld 可视化编辑见面
3.4.firewall-cmd命令行工具
3.4.1.firewalld命令生效模式
3.4.2 firewalld 管理命令
3.4.3.设置命令: firewall-cmd 参数
3.5 例题
3.6 富规则
课前准备:
设置静态IP
[root@server ~]# nmcli connection modify ens160 ipv4.method manual ipv4.addresses 192.168.17.128/24 ipv4.gateway 192.168.17.2 ipv4.dns 114.114.114.114 [root@server ~]# nmcli connection reload
[root@server ~]# nmcli connection up ens160
连接已成功激活(D-Bus 活动路径:/org/freedesktop/NetworkManager/ActiveConnection/2)# 注意: 设置 ipv4.addresses时,若不写子网掩码就会默认将其设置32位子网掩码
1.什么是防火墙
防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。
防火墙与SElinux的区别
防火墙和 SELinux 是为了保护计算机系统安全而设计的两种不同的技术。
防火墙是一种安全工具,用于控制电脑系统与外部网络之间的数据传输。它可以根据规则过滤进入和离开计算机的流量,以保护计算机系统不受网络攻击。
SELinux 是 Linux 操作系统的一个安全子系统,它通过强制访问控制(MAC)机制来限制用户和应用程序访问特定系统资源的能力。与防火墙不同,SELinux更广泛地控制系统中每个进程对文件、网络连接和其他资源的访问。它可以确保只有授权的实体访问系统资源。
因此,防火墙主要关注网络层面的安全,而 SELinux 则更加注重系统层面的安全。当运行防火墙时,即使攻击者能够入侵系统,但如果 SELinux 已配置正确,则会限制攻击者对受损系统的访问权限。反之,如果关闭防火墙,而只依赖 SELinux,则攻击者可能能够远程利用系统漏洞。因此,防火墙与 SELinux 都可以提供额外层面的安全保护,并建议在系统中同时使用这两个技术。
1.1.分类
硬件防火墙:由厂商设计好的主机硬件,其操作系统主要以提供数据包数据的过滤机制为主,并去掉不必要的功能
软件防火墙:保护系统网络安全的一套软件 (或称为机制),如Netfilter (数据包过滤机制)
1.2 Netfilter(数据包过滤)(俗称防火墙)
1.2.1.定义
netfilter 是一个工作在 Linux 内核的网络数据包处理框架,用于分析进入主机的网络数据包将数据包的头部数据(硬件地址,软件地址,TCP、UDP、ICMP等)提取出来进行分析,以决定该连接为放行或抵挡的机制,主要用于分析OSI七层协议的2、3、4层
1.2.2.Netfilter分析内容
拒绝让Internet的数据包进入主机的某些端口
拒绝某些来源IP的数据包进入
拒绝让带有某些特殊标志 (flag)的数据包进入,如: 带有SYN的主动连接标志
分析MAC地址决定是否连接
1.3 防火墙无法完成的任务
防火墙并不能杀毒或清除木马程序(假设主机开放了www服务,防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞,或者请求www服务的数据包本身就是病毒的一部分时,防火墙是阻止不了的)
防火墙无法阻止来自内部LAN的攻击(防火墙对于内部的规则设置通常比较少,所以就很容易造成内部员工对于网络无用或滥用的情况)
1.4.iptables 与 firewalld 区别
netfilter数据包过滤机制是由linux内核内建的,不同的内核版本使用的设置防火墙策略的软件不一样,从红帽7系统开始firewalld服务取代了iptables服务
iptables 与 firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,即只是一种服务,而真正使用规则干活的是内核的netfilter
总之,当前Linux系统中存在多个防火墙管理工具,旨在方便运维人员管理 Linux 系统中的防火墙策略,我们只需要配置妥当其中的一个就足够了。虽然这些工具各有优劣,但它们在防火墙策略的配置思路上是保持一致的
注意:一台电脑一般只支持一种防火墙控制软件
2.iptables
早期的 Linux 系统中,默认使用 iptables 防火墙来管理服务和配置防火墙,虽然新型的firewalld 防火墙管理服务已经被投入使用多年,但iptables 在当前生产环境中还继续使用,具有顽强的生命力
2.1.iptables执行原则
2.1.1.原则
防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。
如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略.
2.1.2.防火墙规则
通 (放行、允许)
堵 (阻止、拒绝)
当默认策略为拒绝时,就要设置允许规则,否则数据包都进不来,若默认策略为允时,就要设置拒绝规则,否则数据包都能进来,防火墙也就失去了作用
2.2.规则链
2.2.1.概念
iptables 服务把用于过滤流量的策略条目称之为规则,多条规则组成一个规则链
2.2.2.分析
数据包经过iptables处理必须闯过5个控制关卡,每个关卡放置5个规则链用于检查规则和处理每一道关卡中有多个规则,数据报文必须按顺序一个一个匹配这些规则,这些规则串起来就像条链,所以我们把这些关卡都叫规则链
流程图:
2.2.3.规则链分类
INPUT链: 数据包流入时,即数据包从内核流入用户空间。
OUTPUT链:向外发送数据包(流出)时,即数据用户空间流出到内核空间,一般不配置
FORWARD链:处理数据包转发时,即在内核空间中,从一个网络接口进入,到另一个网络接!去(转发过滤)
PREROUTING链: 在对数据包作路由选择之前,即互联网进入局域网
POSTROUTING链:在对数据包作路由选择之后,即局域网出互联网
注意:从内网向外网发送的流量一般都是可控且良性的,因此使用最多的是INPUT 规则链,该规则链可以增大黑客人员从外网入侵内网的难度
例:物业管理公司有两条规定:
禁止小商小贩进入社区;
各种车辆在进入社区时都要登记这两条规定是用于社区正门的(流量必须经过的地方),而不是每家的防盗门。根据防火墙策略的匹配顺序,可能会存在多种情况
如:来访人员是小商小贩,则会被保安拒之门外,也就无需再对车辆进行登记。若来访人员乘坐一辆汽车进入社区正门,则“禁止小商小贩进入社区”的第一条规则就没有被匹配到,因此按照顺序匹配第二条策略,即需要对车辆进行登记。如果是社区居民要进入正门,则这两条规定都不会匹配到,因此会执行默认的放行策略
2.2.4.规则链之间的匹配顺序
主机型防火墙:
入站数据(来自外界的数据包,且目标地址是防火墙本机): PREROUTING-->INPUT ->本机的应用程序
出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序-> OUTPUT-->POSTROUTING
网络型防火墙: 转发数据(需要经过防火墙转发的数据包):PREROUTING --> FORWARD ->POSTROUTING
规则链内的匹配顺序
自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)
若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
2.2.5.iptables 流量处理动作
当规则链匹配后应采用以下几种动作来处理匹配流量
ACCEPT:允许流量通过
REJECT: 拒绝流量通过,拒绝后回复拒绝信息
LOG: 记录日志信息
DROP:拒绝流量通过,流量丢弃不响应、
例:若某天您正在家里看电视,突然听到有人敲门,透过防盗门的猫眼一看是推销商品的,便会0在不需要的情况下开门并拒绝他们(REJECT)。但如果您看到的是债主带了十几个小弟来讨债此时不仅要拒绝开门,还要默不作声,伪装成自己不在家的样子 (DROP)
2.3 iptables表
规则链容纳了各种流量匹配规则,规则表则存储了不同功能对应的规则链,总之表里有链,链里有规则
2.3.1.四种规则表
filter表: 用于对数据包过滤,根据具体的规则决定是否放行该数据包(如DROP、ACCEPT.REJECT、LOG),包含三个规则链,INPUT、FORWARD、OUTPUT,所谓的防火墙其实基本上是指这张表上的过滤规则,常用
nat表: network address translation,网络地址转换功能,主要用于修改数据包的源、目标IP池址、端口,包含三个规则链,OUTPUT、 PREROUTING、 POSTROUTING
mangle表: 拆解报文,做出修改,并重新封装,主要用于修改数据包的TOS(Type ofService,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,由于需要相应的路由设备支持,因此应用并不广泛,包含全部五个规则链
raw表: 是自1.2.9以后版本的iptables新增的表,用于是否对该数据包进行状态跟踪,在匹配数据包时,raw表的规则要优先于其他表,包含两个规则链,OUTPUT、PREROUTING注意:最终定义的防火墙规则链,都会添加到这四张表中的其中一张表中,如图:
2.4.安装iptables
2.4.1.预处理
RHEL(Centos)9中默认使用的是firewalld,且与iptables之间有冲突,如果需要使用iptables需要先停止firewalld再进行安装:
[root@server ~]# systemctl stop firewalld
[root@server ~]# systemctl disable firewalld
在RHEL9中安装iptables:
[root@server ~]# yum list | grep iptables # 查询安装包名
# 在RHEL9中ipables安装包名字发生改变,因此需要输入以下命令
[root@server ~]# yum install iptables-nft-services -y
在RHEL8.5 中安装iptables:
[root@RHEL8 ~]# yum list | grep iptables # 查询安装包名
[root@RHEL8 ~]# yum install iptables-services -y
2.4.2.管理命令
[root@server ~]# systemctl start iptables # 开启防火墙
[root@server ~]# systemctl enable iptables # 设置开机启动
[root@server ~]# systemctl status iptables # 查看防火墙状态[root@server ~]# service iptables save # 保存设置
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]# 注意: 保存设置,否则重启后会恢复默认设置,不能用systemctl save iptables
2.4.3.规则链存储文件
[root@server ~]# vim/etc/sysconfig/iptables
2.5.iptables 命令
2.5.1.原则:
iptables 命令根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,若匹配成则iptables 会根据策略规则所预设的动作来处理这些流量,由于策略规则的匹配顺序是从上至下,则要把较为严格、优先级较高的策略规则放到前面,以免发生错误
2.5.2.格式:
简化:
iptables [-t 表名] 选项 [链名] [条件] [-j 控制动作]
详细:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名
子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 控制动作
2.5.3.参数:
参数 作用 -t 对指定的表进行操作,table必须是raw,nat,filter,mangle中的一个,默认是filter -p 指定要匹配的数据包协议类型 -s 匹配源地址IP/MASK,若有!表示取反 -d 匹配目的地址IP/MASK -i 网卡名 匹配从这块网卡流入的数据 -o 网卡名 匹配从这块网卡流出的数据 -L 列出规则链上的所有规则,如果没有指定链,列出表上所有链的所有规则 -A 在规则链的末尾加入新规则 -I num 在规则链的头部加入新规则 -D num
删除指定规则 -R num 替换/修改第几条规则 -P 设置默认策略 -F 清空所有规则(F:flush是”冲洗、冲掉”的意思) -N 创建新规则链 -X 删除指定规则链,这个链必须没有被其它任何规则引用,而且这条链上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链 -E 用指定的新名字去重命名指定的链 -Z 把指定链,或者表中的所有链上的所有计数器清零 -j 满足某条件时该执行什么样的动作 -h 显示帮助信息
2.5.4 实例:
查看已有的防火墙规则链:
[root@server ~]# iptables -nxvL --line # 默认打开的时filter表
# -n:显示源(IP)# -x:接收数据包的存储单位自动转化KB\MB
# -v:显示规则链的详细信息
# -L:列出所有的规则链
# --line:增加行号
参数解析:
num :行号(标识规则链的位置)
pkts:收发数据包的数量
bytes :字节数
target:动作(ACCEPT:放行;REJECT:有报告的拒绝)
prot:匹配规则的网络层协议,如 TCP、UDP、ICMP 等 端口
opt:可选参数,用于指定其他匹配规则,如 –s 指定源 IP 地址,-d 指定目标 IP 地址。
in:入站网卡
out:出站网卡
source:来源
destination:目标
清空以存在的规则链
[root@server ~]# iptables -F # 清空规则
[root@server ~]# iptables -nvxL --line # 查看
Chain INPUT (policy ACCEPT 53 packets, 3056 bytes)
num pkts bytes target prot opt in out source destinationChain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 552 packets, 51489 bytes)
num pkts bytes target prot opt in out source destination
[root@server ~]# service iptables save # 保存[root@server ~]# systemctl restart iptables.service # 重启SElinux
[root@server ~]# iptables -nvxL --line # 再次查看规则表中的规则链注意: 若重启前没有保存,则重启后被清空的规则链会在次出现。因此注意保存是命令的使用
2.5.5 实验
实验1: 搭建web服务器,i设置任何人都能通过80端口访问http服务
[root@server ~]# yum install httpd -y # 安装apache
[root@server ~]# mkdir /www
[root@server ~]# echo "hello word" > /www/index.html
[root@server ~]# vim /etc/httpd/conf/httpd.conf
[root@server ~]# systemctl restart httpd[root@server ~]# vim /etc/httpd/conf/httpd.conf
[root@server ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@server ~]# service iptables save # 保存规则
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
此时就可以使用浏览器访问该网站
实验2:禁止所有人使用ssh进行远程登录
# 清空并保存规则链
[root@server ~]# iptables -F
[root@server ~]# service iptables save
[root@server ~]# iptables -nxvL --line
# 插入新规则
[root@server ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@server ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
# 恢复链接
[root@server ~]# iptables -nL --line # 查看已有规则链 --line 带行号
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 reject-with icmp-port- [root@server ~]# iptables -D INPUT 1 # 删除INPUT中的号规则链
[root@server ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]注意:此时我们就有可以使用远程链接了,但此时规则表中没有任何规则(原因:iptanles:默认潜规则是允许所有)
firewalld:默认潜规则是拒绝所有
3. firewalld
3.1概述
3.1.1.概念
firewalld (Dynamic Firewall Manager of Linux systems,Linux 系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,从RHEL7开始,用firewalld服务替代了iptables服务。
RHEL 9采用firewalld管理netfilter子系统,默认情况,firewalld则是交由内核层面的nftables包过滤框架来处理
3.1.2.firewalld特点
firewalld可以动态修改单条规则,不需要像iptables那样,修改规则后必须全部刷新才可生效。
firewalld默认动作是拒绝,则每个服务都需要去设置才能放行,而iptables里默认是每个服务是允许,需要拒绝的才去限制
iptables防火墙类型为静态防火墙firewalld 防火墙类型为动态防火墙
firewalH和iptables一样自身并不具备防火墙功能,它们的作用都是用于维护规则,而真正使用规则干活的是内核防火墙模块
firewalld 加入了区域 (zone) 概念
3.2.区域 zone
3.2.1.作用
firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone),然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域,每个区域都定义了自己打开或者关闭的端口和服务列表
区域: zone本质为firewalld 预先准备了几套防火墙策略集合 (策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换
例:有一台笔记本电脑,每天都要在公司、咖啡厅和家里使用。
这三者的安全性按照由高到低的顺序是: 家庭、公司办公室、咖啡厅
若希望指定如下防火墙策略规则: 在家中允许访问所有服务,在公司办公室内仅允许访问文件共享服务;在咖啡厅仅允许上网浏览。
以往,我们需要频繁地手动设置防火墙策略规则,而现在只需要预设好区域集合,然后只需轻点鼠标就可以自动切换了,从而极大地提升了防火墙策略的应用效率。
3.2.2.分析
firewalld的一个zone就是一个可信等级,一个等级对应一套过滤规则 (规则集合)
数据包必须要经过某个zone才能入站或出站
每个zone都有一个处理行为 (default、ACCEPT、REJECT、DROP)
firewalld的zone根据信任级别分成9个默认zone:
注:该表内容由上倒下信任度逐渐降低
区域 默认策略规则 trusted (信
任区域)允许所有的传入流量 home (家庭区域) 允许与SSH、MDNS (多播DNS)、IPP客户端、samba-客户端、DHCPv6客户端、cockpit (服务器管理工具) 服务匹配的流量传入,其余拒绝 internal
(内部区域)默认值时与homel区域相同 wor (工作区域) 允许 与SSH、DHCPv6客户端、cockpit服务匹配的流量传入,其余拒绝 public (公共区域) 允许与SSH或DHCPv6客户端、cockpit服务匹配的流量传入,其余拒绝(是默认区域) external
(外部区域)允许与SSH服务匹配的流量传入,其余拒绝 dmz(隔离区域) 也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用允许与SSH服务匹配的流量传入,其余拒绝 block (阻塞区域) 拒绝所有传入流量返回icmp-host-prohibited消息 drop (丢去区域) 丢弃所有传入流量,且没有任何回复,类似DROP [root@server zones]# cd /usr/lib/firewalld/zones/ # 一般不会进行改动,
# 系统自带的防火墙10个预制区域(策略模板)
[root@server zones]# ls
block.xml dmz.xml drop.xml external.xml home.xml internal.xml nm-shared.xml public.xml trusted.xml work.xml
[root@server zones]# cd /etc/firewalld/zones/ # 只有俩模板(public以及public备份)
[root@server zones]# ls
public.xml public.xml.old
3.2.3.zone文件中的过滤规则
过滤规则优先级:
source (最高)
interface (次之)
默认zone (最低)
规则:
规则 作用 scource 源IP地址过滤 (常用) interface 网卡过滤 service 服务名(实际是关联端口)过滤 port 端口过滤 icmp-block ICMP报文过滤 masquerade IP地址伪装 forward-port 端口转发过滤 rule 自定义规则
3.3 firewalld 可视化编辑见面
安装可视化编辑界面(在VMwork中执行)
[root@server ~]# yum install firewall-config -y
[root@server ~]# firewall-config # 打开可视化编辑界面
3.4.firewall-cmd命令行工具
3.4.1.firewalld命令生效模式
runtime模式:运行时模式,立即生效,重启失效
permanent模式:永久模式,重启生效
3.4.2 firewalld 管理命令
[root@server ~]# systemctl start firewalld # 开启firewalld
[root@server ~]# systemctl disable firewalld # 关闭firewalld
[root@server ~]# systemctl restart firewalld # 重启firewalld
[root@server ~]# systemctl enable firewalld # 开机启动[root@server ~]# systemctl status firewalld # 查看状态
3.4.3.设置命令: firewall-cmd 参数
参数 作用 --get-default-zone 查询默认的区域名称 --set-default-zone=<区域念称> 设置默认的区域,使其永久生效 --get-zones 显示可用的区域 --get-services 显示预先定义的服务 --get-active-zones 显示当前正在使用的区域与网卡名称 --add-source= 将源自此IP 或子网的流量导向指定的区域 -removesource= 不再将源自此IP 或子网的流量导向某个指定区域 --add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域 --change-interface=<网卡名称> 将某个网卡与区域进行关联 --list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息 --list-all-zones 显示所有区域的网卡配置参数、资源、端口以及服务等信息 --add-service=<服务名> 设置默认区域允许该服务的流量 --add-port=<端口号/协议> 设置默认区域允许该端口的流量 --remove-service=<服务名> 设置默认区域不再允许该服务的流量 --remove-port=<端口号/协议> 设置默认区域不再允许该端口的流量
3.5 例题
例一:基本命令
[root@server ~]# firewall-cmd --version # 查看防火墙版本信息
[root@server ~]# firewall-cmd --help # 查看帮助信息
[root@server ~]# firewall-cmd --state # 查看运行状态
running[root@server ~]# firewall-cmd --get-services # 查看防火墙所支持的服务
[root@server ~]# firewall-cmd --list-all # 查看当前区域内的规则信息
例二:设置(zone)域
[root@server ~]# firewall-cmd --get-default-zone # 查看当前生效的域
public[root@server ~]# firewall-cmd --get-zones # 查看当前支持的域(那些域可以使用)
block dmz drop external home internal nm-shared public trusted work[root@server ~]# firewall-cmd --set-default-zone=trusted
success # 设置当前默认的区域为success(信任)区域[root@server ~]# firewall-cmd --set-default-zone=public # 修改回来
例三:设置web站,配置firewalld策略
第一步:安装APache,编写简单的网页,修改主配置文件。
[root@server ~]# yum install httpd -y
[root@server ~]# mkdir /www
[root@server ~]# echo "hello world" > /www/index.html
[root@server ~]# vim /etc/httpd/conf/httpd.conf
# 修改124以及129行,将文件路径修改为/www、[root@server ~]# systemctl start httpd # 启动Apache
第二步:配置防火墙策略
[root@server ~]# firewall-cmd --list-all # 查看防火墙此时所放行的协议。(无http协议)
[root@server ~]# firewall-cmd --permanent --zone=public --add-service=http
success 永久生效 区域是 添加的服务
--permanent: 永久性的生效此时我们再次查看放行协议时会发现仍然没有http协议,因此我们需要:
[root@server ~]# firewall-cmd --reload # 重载,将配置文件重新装载
此时我们查看时就会出现
结论:
--permanent 需要与--reload 配合使用
第三步:检测
此时我们使用IP地址吧进行访问时,就不会被firewalld拦截
扩展:
[root@server ~]# firewall-cmd --permanent --zone=public --remove-service=http
# 移除http协议,
[root@server ~]# firewall-cmd --reload # 重载
添加端口:80(一定要强调协议)
[root@server ~]# firewall-cmd --permanent --zone=public --add-port=80/tcp
success
[root@server ~]# firewall-cmd --reload[root@server ~]# firewall-cmd --list-all
结论:放行服务有俩种
一)放行协议 http
二)放行对应端口 80/tcp
例四:某些服务需要编辑zone文件才能进行添加,如: 添加nginx
准备工作:
[root@server ~]# yum install nginx -y # 安装nginx
查看firewlld所支持的放行服务列表:[root@server ~]# firewall-cmd --get-services
此时我们利用命令直接放行nginx
[root@server ~]# firewall-cmd --add-service=nginx --permanent --zone=public
提示:nginx为无效服务,这与我们利用--get-services 命令所查看的结果一致。
解决办法如下:
编辑一个服务配置文件:(新建,以.xml为文件名后缀)
[root@server ~]# vim /etc/firewalld/services/nginx.xml
Nginx
nginx
[root@server ~]# firewall-cmd --add-service=nginx --zone=public --permanent
success # 此时在在对firewalld策略经行添加时就可以了[root@server ~]# firewall-cmd --reload
[root@server ~]# firewall-cmd --list-all
3.6 富规则
firewalld 富规则: 用于更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号0源地址和目标地址等诸多信息进行更有正对性的策略配置
富规则优先级最高
位于:[root@server ~]# firewall-cmd --list-all
格式:
# 整体格式:
fiewall-cmd --permanent --add-rich-rule='rich rule'# rich rule中的选项:
Rule:
rule [family="ipv4lipv6"]Source:
source [not]address="address[/mask]" mac="mac-address"lipset="ipset"Destination:
destination [not] address="address[/mask]"Service:
service name="service name"Port:
port port="port value" protocol="tcpludp"
Protoco1:
protocol value="protoco value"
ICMP-B1ock:
icmp-block name="icmptype name"
ICMP-Type:
icmp-type name="cmptype name"Forward-Port:
forward-port port="port valueprotoco1="tcpludp" to-port="port value" to-addr="address"Source-Port:
source-port port="port value" protoco1="tcpludp"
Log:
log [prefix="prefix text"] [leve1="1ogleve1"] [limit value="rate/duration"]
Audit:
audit [limit value="rate/duration"]Action:
accept,reject,drop,mark.Limit:
limit value="rate/duration"注意: service | port | protocol | icmp-block | icmp-type | masquerade | forward-port | scurce-port 选择其一
# 如:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4”sourceaddress="源IP" service name="http" reject'你不得不吐嘈:”这是地球上最丑陋的命令形式,没有之一",书写时很容易出错,所以建议你在文件编辑器修改到没有毛病再粘贴到shell终端窗口中
可以通过输入\换行书写
示例:
例5:禁止192.168.48.131 网段的地址进行ping
[root@server ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.17.129" protocol value="icmp" reject' # 拒绝
success含义:基于ipv4协议,来自于192.168.17.129这台主机的icmp数据包都拒绝
[root@server ~]# firewall-cmd --reload
[root@server ~]# firewall-cmd --list-all
测试:我们使用none1(IP地址192.168.17.129 )这台主机去ping192.168.17.128
此时我们在添加一条放行的规则
[root@server ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.17.129" protocol value="icmp" accept' # 放行
[root@server ~]# firewall-cmd --reload
[root@server ~]# firewall-cmd --list-all此时我们在去用none1(IP地址192.168.17.129 )这台主机去ping192.168.17.128
会发现ping不通;
原因:当有俩条及以上规则时他会从上到下依次匹配
解决办法:删除第一天拒绝的规则
