firewalld高级配置

IP伪装与端口转发

        在互联网发展初期，设计者们并没有想到互联网会发展到现在这个空前繁荣的阶段，所以，设 计的Pv4地址空间只有32位.但是随着互联网的发展，P地址变得严重缺乏，并且地址分配不均匀， 所以就在原有Pv4地址空间的基础上划分出来三段私网地址空间：10.0.0.0/8.172.16.0.0/12和 192.168.0.0/16.这些地址可以在企业或者公司内部被重复使用，但是不能用于互联网，因为上述 三个范围内的地址无法在hternet 上被路由。

        于是NAT（网络地址转换）技术便产生了，当用户数据包经过NAT设备时，NAT设备将源地址 替换为公网IP地址，而返回的数据包就可以被路由，NAT技术一般都是在企业边界路由器或者防火 墙上来配置。

        Firewalld支持两种类型的NAT：IP地址伪装和端口转发，

1.IP地址伪装

        地址伪装（masquerade)：通过地址伪装，NAT设备将经过设备的包转发到指定接收方，同时将 通过的数据包的源地址更改为其自己的接口地址.当返回的数据包到达时，会将目的地址修改为原 始主机的地址并做路由，地址伪装可以实现局域网多个地址共享单一公网地址上网，类似于NAT技术中的端口多路复用（PAT).P地址伪装仅支持Pv4，不支持Pv6。

2.端口转发

        端口转发（Forward-port)：也称为目的地址转换或端口映射.通过端口转发，将指定P地址及 端口的流量转发到相同计算机上的不同端口，或不同计算机上的端口。企业内网的服务器一般都采 用私网地址，可以通过端口转发将使用私网地址的服务器发布到公网，以便让互联网用户访问，例 如，当接收互联网用户的HTTP请求时，网关服务器判断数据包的目标地址与目标端口.一旦匹配指 定规则，则将其目标地址修改为内网真正的服务器地址，从而建立有效连接。

firewalld中理解直接规则

        firewalld 提供了“direct interface”(直接接口）.它允许管理员手动编写的iptables.ip6tables和 ebtables 规则插入firewalld管理的区域中，适用于应用程序，而不是用户，如果对iptables不太熟， 不建议使用直接接口，可能会无意中导致防火墙被入侵。firewalld 保持对所增加项目的追踪，所以 它还能质询firewalld和发现使用直接端口模式的程序造成的更改。直接端口通过firewall-cmd 命令 中的一一direct 选项实现，除非将直接规则显式插入firewalld管理的区域，否则将首先解析直接规则， 然后解析其他firewalld规则，执行以下命令即可添加一些直接规则以将某个IP范围列入黑名单。

使用富语言

        firewalld的富语言（rich language)提供了一种不需要了解 iptables语法的通过高级语言配置复杂 Pv4和Pv6 防火墙规则的机制，为管理员提供了一种表达性语言，通过这种语言可以表达firewalld 的基本语法中未涵盖的自定义防火墙规则.例如.仅允许从单个P地址（而非通过某个区域路由的 所有IP地址）连接到服务。

        富规则可用于表达基本的允许/拒绝规则，也可以用于配置记录（面向 syslog和auditd)，以及 端口转发、伪装和速率限制。下面是表达富规则的基本语法：

规则的每个单一元素都能够以option=value的形式来采用附加参数。

（1）规则排序

        一旦向某个区域（一般是指防火墙）中添加了多个规则，规则的排序会在很大程度上影响防火 墙的行为.对于所有的区域，区域内的规则的基本排序是相同的。如果区域中的任何规则与包均不 匹配，通常会拒绝该包，但是区域可能具有不同的默认值，例如，可信区域(trusted)将接收任何不 匹配的包。此外，在匹配某个记录规则后，将继续正常处理包。

        直接规则是个例外。大部分直接规则将首先进行解析，然后由firewalld 进行其他处理，但是直 接规则语法允许管理员在任何区域中的任何位置插入任何规则。

（2）测试和调试

        为了便于测试和调试，几乎所有规则都可以与超时一起添加到运行时配置。当包含超时的规则 添加到防火墙时，计时器便针对该规则开始倒计时，一旦规则的计时器达到0秒，便从运行时配置 中删除该规则。

        在使用远程防火墙时，使用超时会是一种极其有用的工具，特别是在测试更复杂的规则集时。 如果规则有效，则管理员可以再次添加该规则：如果规则没有按照预期运行，甚至可能将管理员锁 定而使其无法进入系统，那么规则将被自动删除，以允许管理员可以继续工作。

         通过在启用规则的firewall-cmd命令的结尾追加选项——timeout=，可向运行时 规则中添加超时。

理解富规则命令

        firewall-cmd 有四个选项可以用于处理富规则，所有这些选项都可以同常规的--permanent 或 --zone=

任何已配置的富规则都会显示在firewall-cmd --list-all 和firewall-cmd -—list-all-zones 的输 出结果中。具体语法解释如下所示：

 

规则配置举例 

（1）为认证报头协议 AH使用新的IPv4和Pv6连接。

[root@llcgc ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
success

（2）允许新的 Pv4和Pv6 连接 FTP，并使用审核每分钟记录一次。

[root@llcgc ~]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
success

（3）允许来自192.168.0.0/24地址的TFTP协议的IPv4连接，并且使用系统日志每分钟记录 一次。

[root@llcgc ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'
success

（4）为RADIUS协议拒绝所有来自1：2：3：4：6：：的新IPv6连接，日志前缀为“dns”，级别 为“info”，并每分钟最多记录3次。接受来自其他发起端新的Pv6连接。

[root@llcgc ~]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
success
[root@llcgc ~]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
success

（5）将源192.168.2.2地址加入白名单，以允许来自这个源地址的所有连接。

[root@llcgc ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
success

（6）拒绝来自public区域中IP地址192.168.0.11的所有流量。

[root@llcgc ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="192.168.0.11/32" reject'
success

（7）丢弃来自默认区域中任何位置的所有传入的 ipsec esp协议包。

[root@llcgc ~]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop' 
success

（8）在192.168.1.0/24子网的dmz区域中，接收端口7900~7905的所有TCP包。

[root@llcgc ~]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address="192.168.1.0/24" port port=7900-7905 protocol=tcp accept'
success

（9）接收从 work 区域到 SSH的新连接，以notice级别且每分钟最多三条消息的方式将新连接记 录到syslog。

[root@llcgc ~]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="ssh" level="notice" limit value="3/m" accept'
success

（10）在接下来的5min内，拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接，并且 拒绝的连接将记录到audit系统，且每小时最多一条消息。

[root@llcgc ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
success