一、firewalld主要概念
dynamic firewall daemon。支持ipv4和ipv6。Centos7中默认将防火墙从iptables升级为了firewalld。firewalld相对于iptables主要的优点有:
(1)firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效;
(2)firewalld在使用上要比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。
1、过滤规则集合:zone
一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。不同zone中规则粒度粗细、安全强度都不尽相同。可以把zone看作是一个个出站或入站必须经过的安检门,有的严格、有的宽松、有的检查的细致、有的检查的粗略。
每个zone单独对应一个xml配置文件,文件名为<zone名称>.xml。自定义zone只需要添加一个<zone名称>.xml文件,然后在其中添加过滤规则即可。
每个zone都有一个默认的处理行为,包括:default(省缺), ACCEPT, %%REJECT%%, DROP
firewalld提供了9个zone:
drop:任何流入的包都被丢弃,不做任何响应。只允许流出的数据包。
block:任何流入的包都被拒绝,返回icmp-host-prohibited报文(ipv4)或icmp6-adm-prohibited报文(ipv6)。只允许由该系统初始化的网络连接
public:默认的zone。部分公开,不信任网络中其他计算机,只放行特定服务。
external:只允许选中的服务通过,用在路由器等启用伪装的外部网络。认为网路中其他计算器不可信。
dmz:允许隔离区(dmz)中的电脑有限的被外界网络访问,只允许选中的服务通过。
work:用在工作网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。
home:用在家庭网络。信任网络中的大多数计算机,只允许选中的服务通过。
internal:用在内部网络。信任网络中的大多数计算机,只允许选中的服务通过。
trusted:允许所有网络连接,即使没有开放任何服务,那么使用此zone的流量照样通过(一路绿灯)。
2、service
一个service中可以配置特定的端口(将端口和service的名字关联)。zone中加入service规则就等效于直接加入了port规则,但是使用service更容易管理和理解。
定义service的方式:添加<service名称>.xml文件,在其中加入要关联的端口即可
3、过滤规则
source:根据数据包源地址过滤,相同的source只能在一个zone中配置。
interface:根据接收数据包的网卡过滤
service:根据服务名过滤(实际是查找服务关联的端口,根据端口过滤),一个service可以配置到多个zone中。
port:根据端口过滤
icmp-block:icmp报文过滤,可按照icmp类型设置
masquerade:ip地址伪装,即将接收到的请求的源地址设置为转发请求网卡的地址(路由器的工作原理)。
forward-port:端口转发
rule:自定义规则,与itables配置接近。rule结合--timeout可以实现一些有用的功能,比如可以写个自动化脚本,发现异常连接时添加一条rule将相应地址drop掉,并使用--timeout设置时间段,过了之后再自动开放。
4、过滤规则优先级
source:源地址
interface:接收请求的网卡
firewalld.conf中配置的默认zone
二、firewalld配置文件
1、firewalld配置方式
firewall-config:GUI工具
firewall-cmd:命令行工具
直接编辑xml文件:编辑后还需要reload才生效
2、配置文件存储位置
firewalld的配置文件以xml为主(主配置文件firewalld.conf除外),有两个存储位置:
(1)/etc/firewalld/:存放修改过的配置(优先查找,找不到再找默认的配置)
(2)/usr/lib/firewalld/:默认的配置
修改配置的话只需要将/usr/lib/firewalld中的配置文件复制到/etc/firewalld中修改。恢复配置的话直接删除/etc/firewalld中的配置文件即可。
3、配置文件结构
(1)firewalld.conf:主配置文件,键值对格式
DefaultZone:默认使用的zone,默认值为public
MinimalMark:标记的最小值,默认为100
CleanupOnExit:退出firewalld后是否清除防火墙规则,默认为yes
Lockdown:是否其他程序允许通过D-BUS接口操作,使用lockdown-whitelist.xml限制程序,默认为no
IPv6_rpfilter:类似rp_filter,判断接收的包是否是伪造的(通过路由表中的路由条目,查找uRPF),默认为yes
(2)lockdown-whitelist.xml
(3)direct.xml:direct功能,直接使用防火墙的过滤规则,便于iptables的迁移
(4)zones/:zone配置文件
(5)services/:service配置文件
(6)icmptypes/:icmp类型相关的配置文件
三、firewalld应用
1、firewalld的基本使用
启动: systemctl start firewalld
关闭: systemctl stop firewalld
查看状态: systemctl status firewalld
开机禁用 : systemctl disable firewalld
开机启用 : systemctl enable firewalld
2、systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。
启动一个服务:systemctl start firewalld.service
关闭一个服务:systemctl stop firewalld.service
重启一个服务:systemctl restart firewalld.service
显示一个服务的状态:systemctl status firewalld.service
在开机时启用一个服务:systemctl enable firewalld.service
在开机时禁用一个服务:systemctl disable firewalld.service
查看服务是否开机启动:systemctl is-enabled firewalld.service
查看已启动的服务列表:systemctl list-unit-files|grep enabled
查看启动失败的服务列表:systemctl --failed
3、配置firewalld-cmd
查看版本: firewall-cmd --version
查看帮助: firewall-cmd --help
显示状态: firewall-cmd --state
查看所有打开的端口: firewall-cmd --zone=public --list-ports
更新防火墙规则: firewall-cmd --reload
查看区域信息: firewall-cmd --get-active-zones
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic
添加:firewall-cmd --zone=public --add-port=80/tcp --permanent(--permanent永久生效,没有此参数重启后失效)
重新载入:firewall-cmd --reload
查看:firewall-cmd --zone= public --query-port=80/tcp
删除:firewall-cmd --zone= public --remove-port=80/tcp --permanent