Linux 防火墻 firewalld 實戰(zhàn)配置
最近工作上處理了很多關系配置服務器防火墻的操作,于是想寫一篇理論與實踐并存的文章,在這里分享給大家,希望對您有所幫助!
主要包括以下幾部分內(nèi)容(文章比較長,請耐心讀完):
- 防火墻概述
- firewalld原理框架
- 與iptables的異同點
- firewalld常用操作
- firewalld富規(guī)則實戰(zhàn)
一、防火墻概述
Firewalld是一種提供了支持網(wǎng)絡/防火墻區(qū)域(zone)定義網(wǎng)絡鏈接以及接口安全等級的動態(tài)防火墻管理工具,它自身并不具備防火墻的功能,而是和iptables一樣需要通過內(nèi)核的netfilter來實現(xiàn)。
他們的作用是維護規(guī)則,而真正使用規(guī)則干活的是內(nèi)核netfilter,firewalld和iptables的結(jié)構(gòu)以及使用方法會有點不一樣。
從邏輯上可分為:主機防火墻和網(wǎng)絡防火墻 從物理上可分為:硬件防火墻和軟件防火墻
firewalld和iptables就屬于主機層面的防火墻。
主機防火墻主要通過netfilter和TCP Wrappers兩個機制來管理的:
- Netfilter:數(shù)據(jù)包過濾機制
- TCP Wrappers:程序管理機制
關于數(shù)據(jù)包過濾機制(Netfilter)兩個軟件:firewalld與iptables
注意:在RHEL7系列中,默認使用firewalld作為防火墻。在7系列之前使用的是iptables作為默認防火墻。
二、Firewalld原理架構(gòu)
1. Firewalld區(qū)域管理
通過將網(wǎng)絡劃分成不同的區(qū)域,制定出不同區(qū)域之間的訪問控制策略來控制不同程序區(qū)域間傳送的數(shù)據(jù)流。
【例如】互聯(lián)網(wǎng)是不可信任的區(qū)域,而內(nèi)部網(wǎng)絡是高度信任的區(qū)域。網(wǎng)絡安全模型可以在安裝, 初次啟動和首次建立網(wǎng)絡連接時選擇初始化。該模型描述了主機所連接的整個網(wǎng)絡環(huán)境的可信級別,并定義了新連接的處理方式。
2. Firewalld域
網(wǎng)絡區(qū)名稱 | 默認配置 |
trusted | 可接受所有的網(wǎng)絡連接 |
home | 用于家庭網(wǎng)絡 |
internal | 用于內(nèi)部網(wǎng)絡,僅接受ssh,mdns,gp-client,samba-client,dhcpv6-client連接 |
work | 用于工作區(qū),僅接受sshjpp-client,dhcpv6-client服務連接 |
public | 用于工作區(qū), 僅接受ssh,ipp-client,dhcpv6-client服務連接,在公共區(qū)域內(nèi)使用,僅接受ssh或dhcpv6-client服務連接,是firewalld的默認區(qū)域 |
dmz | 僅接受ssh服務的連接 |
【溫馨提示】firewalld的默認區(qū)域是 public
3. Firewalld配置文件
firewalld默認提供了九個zone配置文件: block.xml、 dmz.xml、 drop.xml、 external.xml、 home.xml、 internal.xml、 public.xml、 trusted.xml、 work.xml,都保存在 /usr/lib/firewalld/zones/目錄下。
三、與ptables 的異同
1. 相同點
firewalld與 iptables 都是 linux 中防火墻的管理程序,但其實其角色主要為對于防火墻策略的管理,真正的防火墻執(zhí)行者是位于內(nèi)核中的 netfilter。
2. 不同點
- iptables 僅能通過命令行進行配置;而 firewalld 提供了圖形接口,類似windows防火墻的操作方式;
- iptables 每一個單獨更改意味著清除所有舊的規(guī)則,并從 /etc/sysconfig/iptables 中讀取所有新的規(guī);則;而 firewalld 在有規(guī)則變動后,可以僅僅運行規(guī)則中的不同之處,即在 firewalld 運行時間內(nèi),改變設置時可以不丟失現(xiàn)行鏈接;
- iptables 的配置文件在 /etc/sysconfig/iptables 中;而 firewalld 的配置文件在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各種 XML 文件中;
- iptables 沒有守護進程,并不能算是真正意義上的服務;而 firewalld 有守護進程;
- iptables 通過控制端口來控制服務,而 firewalld 則是通過控制協(xié)議來控制端口;
- 【firewalld】默認是拒絕;而【iptables】默認是允許。
溫馨提示:
service說明: 在 /usr/lib/firewalld/services/ 目錄中,還保存了另外一類配置文件,每個文件對應一項具體的網(wǎng)絡服務,如 ssh 服務等。這個目錄下的服務配置默認是放通的,不受firewalld-cmd 規(guī)則控制,除非把這個目錄下的服務配置文件刪掉,就恢復了默認了(默認拒絕),當然也可以添加一些服務配置文件。
四、Firewalld常用操作
firewall-config(需要有圖形化界面的才能使用), firewall-cmd是命令行工具,實際生產(chǎn)環(huán)境主要使用firewall-cmd來操作
1. Firewalld規(guī)則的兩種狀態(tài)
運行時( runtime):修改規(guī)則馬上生效,但是臨時生效,默認是運行時狀態(tài) 持久配置( permanent): 修改后需要重載才會生效
firewall-cmd --permanent [RULE]
firewall-cmd --reload2. Firewalld常見選項
可以通過 man firewall-cmd或者 firewall-cmd --help查看幫助,firewalld的選項很多,下面列出一些比較常用的
firewall-cmd --help
--permanent # 配置寫入到配置文件,永久生效
--reload # 重載配置文件,永久生效
--zone= # 指定區(qū)域,默認是public
--get-default-zone # 查看默認區(qū)域
--set-default-zone= # 設置默認區(qū)域
--get-zones # 獲取所有可用的區(qū)域
--get-active-zones # 獲取當前激活(活躍)的區(qū)域
--add-source= # 添加地址,可以是主機或網(wǎng)段,遵循當前區(qū)域的target
--remove-source # 移除地址,可以是主機或網(wǎng)段,遵循當前區(qū)域的target
--add-service= # 添加服務
--remove-service= # 移除服務
--list-services # 顯示當前區(qū)域內(nèi)允許訪問的所有服務
--add-port=xx/tcp # 添加端口,后面要指定是TCP還是UDP
--remove-port= # 移除端口,遵循當前區(qū)域的target
--list-ports # 顯示指定區(qū)域內(nèi)允許訪問的所有端口號
--list-all # 列出當前使用的區(qū)域的配置
--list-all-zones # 列出所有區(qū)域的配置
--get-zone-of-interface= # 獲取指定接口所在的區(qū)域
--list-icmp-blocks # 顯示指定區(qū)域內(nèi)拒絕訪問的所有ICMP類型
--list-protocols --列出在指定區(qū)域中允許通過的協(xié)議3. 常用的增刪改查操作
(1) 查看規(guī)則
查看當前區(qū)域的配置信息詳解:
[root@localhost ]# firewall-cmd --list-all
public (active) # 活動的區(qū)域
target: default # 默認啟動的區(qū)域
icmp-block-inversion: no # ICMP協(xié)議類型黑白名單開關(yes/no)
interfaces: eth0 # 關聯(lián)的網(wǎng)卡接口
sources: # 來源,可以是IP地址,也可以是mac地址
services: dhcpv6-client ssh # 列出允許通過這個防火墻的服務
ports: 80/tcp # 列出允許通過這個防火墻的目標端口。(即 需要對外開放的端口)
protocols: # 協(xié)議值可以是一個協(xié)議 ID 數(shù)字,或者一個協(xié)議名
masquerade: no # 表示這個區(qū)域是否允許 IP 偽裝。如果允許,它將允許 IP 轉(zhuǎn)發(fā),它可以讓你的計算機作為一個路由器
forward-ports: # 列出轉(zhuǎn)發(fā)的端口
source-ports: # 允許的來源端口
icmp-blocks: # 可添加ICMP類型,當icmp-block-inversion為no時,這些ICMP類型被拒絕;當icmp-block-inversion為yes時,這些ICMP類型被允許
rich rules: # 富規(guī)則,即更細致、更詳細的防火墻規(guī)則策略,它的優(yōu)先級在所有的防火墻策略中也是最高的
rule family="ipv4"source address="192.168.250.0/24" accept常用的查看信息:
# 查詢默認區(qū)域配置信息
firewall-cmd --list-all
# 查看區(qū)域配置信息
firewall-cmd --list-all --zone=work
# 查詢所有端口
firewall-cmd --list-ports
# 查詢指定端口
firewall-cmd --zone=public --query-port=22/tcp
# 查詢放通IP段
firewall-cmd --list-sources
# 查看默認區(qū)域
firewall-cmd --get-default-zone
# 查看所有可以使用的區(qū)域
firewall-cmd --get-zones
# 查看活躍的區(qū)域
firewall-cmd --get-active-zones
# 查看網(wǎng)卡綁定在了哪個區(qū)域
firewall-cmd --get-zone-of-interface=[IFACE]
# 查看所有服務
firewall-cmd --get-services(2) 添加規(guī)則
開放特定端口:
# 開放3306端口
firewall-cmd --zone=public --add-port=3306/tcp --permanent
# 開放snmp的161的UDP端口,默認的zone是public,可以不指定zone
firewall-cmd --add-port=161/udp --permanent
# 讓配置生效
firewall-cmd --reload
# 查看規(guī)則
firewall-cmd --list-ports
firewall-cmd --list-all放通某個服務:
# 放通nfs服務的所有端口
firewall-cmd --zone=public --add-service=nfs --permanent
# 放通ssh服務
firewall-cmd --zone=public --add-service=ssh --permanent
# 放通snmp服務
firewall-cmd --zone=public --add-service=ssh --permanent
# 重載防火墻
firewall-cmd --reload
# 查看放通了哪些服務訪問
firewall-cmd --list-services放通某個網(wǎng)段訪問:
firewall-cmd --add-source=10.10.10.0/24 --zone=public
firewall-cmd --reload
# 查看
firewall-cmd --list-sources(3) 刪除規(guī)則
# 刪除開放的3306端口
firewall-cmd --permanent --remove-port=3306/tcp
firewall-cmd --reload
# 刪除nfs服務
firewall-cmd --permanent --remove-service=nfs
# 刪除某個網(wǎng)段訪問
firewall-cmd --permanent --zone=public --remove-source=10.10.10.0/24
firewall-cmd --reload五、Firewalld防火墻富規(guī)則
富規(guī)則是為了更細粒度的管控,在生產(chǎn)環(huán)境用的比較多,重點掌握。
1. 富規(guī)則常用的選項
firewall-cmd
--list-rich-rules --列出富規(guī)則
--add-rich-rule=<rule> --添加富規(guī)則
--remove-rich-rule=<rule> --移除富規(guī)則
--list-all 和 --list-all-zones --也能列出存在的富規(guī)則2. 富規(guī)則語法
規(guī)則的幾乎每個單一元素都能夠以option=value形式來采用附加參數(shù):
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]格式:
rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
destination address="address[/mask]" invert="True"
service name="service name"
port port="port value" protocol="tcp|udp"
protocol value="protocol value"
forward-port port="port value" protocol="tcp|udp" to-port="port value
" to-addr="address"
log [prefix="prefix text"] [level="log level"] [limit value="rate/duration"]
accept | reject [type="reject type"] | drop3. 常用的富規(guī)則配置
(1)對特定IP訪問特定端口
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.10.10.110/32" port port="1521" protocol="tcp" accept"
firewall-cmd --reload(2)批量加端口,允許某個網(wǎng)段訪問多個端口
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.10.10.0/24 port port=8080-8090 protocol=tcp accept'
firewall-cmd --reload(3) 開通某個IP訪問某個服務
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 service name=nfs source address="10.10.10.101/32" accept'
firewall-cmd --reload(4) 拒絕某個IP訪問所有端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=10.10.10.110/32 reject'
firewall-cmd --reload(5)允許某個IP訪問所有端口
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=10.10.10.110/32 allow'
firewall-cmd --reload
