Centos7防火墙firewalled基本使用

firewalld支持动态更新技术并加入了区域（zone）的概念。简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。

firewalld中常用的区域名称及策略规则
区域    默认规则策略
trusted    允许所有的数据包
home    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关，则允许流量
internal    等同于home区域
work    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、ipp-client与dhcpv6-client服务相关，则允许流量
public    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量
external    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
dmz    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
block    拒绝流入的流量，除非与流出的流量相关
drop    拒绝流入的流量，除非与流出的流量相关
firewall-cmd命令中使用的参数以及作用

参数 作用

--get-default-zone    查询默认的区域名称
--set-default-zone=<区域名称>    设置默认的区域，使其永久生效
--get-zones    显示可用的区域
--get-services    显示预先定义的服务
--get-active-zones    显示当前正在使用的区域与网卡名称
--add-source=    将源自此IP或子网的流量导向指定的区域
--remove-source=    不再将源自此IP或子网的流量导向某个指定区域
--add-interface=<网卡名称>    将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>    将某个网卡与区域进行关联
--list-all    显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones    显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>    设置默认区域允许该服务的流量
--add-port=<端口号/协议>    设置默认区域允许该端口的流量
--remove-service=<服务名>    设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>    设置默认区域不再允许该端口的流量
--reload    让“永久生效”的配置规则立即生效，并覆盖当前的配置规则
--panic-on    开启应急状况模式
--panic-off    关闭应急状况模式

与Linux系统中其他的防火墙策略配置工具一样，使用firewalld配置的防火墙策略默认为运行时（Runtime）模式，又称为当前生效模式，而且随着系统的重启会失效。如果想让配置策略一直存在，就需要使用永久（Permanent）模式了，方法就是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数，这样配置的防火墙策略就可以永久生效了。但是，永久生效模式有一个“不近人情”的特点，就是使用它设置的策略只有在系统重启之后才能自动生效。如果想让配置的策略立即生效，需要手动执行firewall-cmd --reload命令。

[root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=eno16777728
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh
[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp

centos7修改ssh端口记得添加防火墙规则

1.向防火墙中添加端口的命令为: 

firewall-cmd --zone=public --add-port=10022/tcp --permanent

查看端口是否添加成功:

 firewall-cmd --zone=public --query-port=10022/tcp

2.开机启动相关

systemctl start firewalld

systemctl enable firewalld

3.与状态相关的firewalld命令

firewall-cmd --state ##查看火墙的状态（运行/停止）
firewall-cmd --get-active-zones    ##查看正在使用域的情况
firewall-cmd --get-default-zone    ##查看默认使用的域
firewall-cmd --get-zones    ##查看能使用的所有域
firewall-cmd --zone=public --list-all
firewall-cmd --get-services    ##显示直接可以在火墙中写的服务
firewall-cmd --list-all-zones ##查看所有域

firewall-cmd --list-all ##默认查看正在使用的域

firewall-cmd --set-default-zone=public ##修改默认域

 

4.firewalld中服务的添加与删除
（1）地址源的添加与删除

firewall-cmd [--permanent] --add-source=172.25.254.31 --zone=trusted ##添加来源
firewall-cmd [--permanent] --remove-source=172.25.254.31 --zone=trusted

（2）接口的添加与删除、改变

firewall-cmd [--permanent] --remove-interface=eth1 --zone=public
firewall-cmd [--permanent] --add-interface=eth1 --zone=trusted    ##在某域中添加接口
firewall-cmd --list-all --zone=trusted
firewall-cmd [--permanent] --chang-interface=eth1 --zone=public ##改变接口

（3）端口的添加与删除

firewall-cmd [--permanent] --add-port=8080/tcp

firewall-cmd [--permanent] --remove-port=8080/tcp

（4）服务的添加与删除

firewall-cmd [--permanent] --add-service=http
firewall-cmd [--permanent] --remove-service=ssh    ##永久删除
firewall-cmd --remove-service=ssh    ##临时删除，reload后会继续生效

（5）加载

firewall-cmd --reload ##加载使生效，不会断开已经连接的客户端
firewall-cmd --complete-reload ##加载使生效，断开所有客户端的连接

5.firewalld相关设定文件

cd /etc/firewalld/zones ##火墙设定目录
cd /lib/firewalld/services/ ##服务相关文件（函数）

6.防火墙中规则的设定

firewall-cmd --remove-service=ssh
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.31 -p tcp --dport 22 -j ACCEPT
firewall-cmd --direct --get-all-rules    ##查看所有规则
-s 来源 -p 协议 --dport 目标端口 -j 动作

示例：

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.31 -p tcp --dport 22 -j ACCEPT ##除该主机外所有主机走该规则（可以使用ssh）

7.地址伪装

sysctl -a | grep ip_forward
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
firewall-cmd --permanent --add-masquerade ##打开伪装功能
firewall-cmd --reload

8.端口转发

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.231

端口转发设置的删除

firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.231

把原本访问本机888端口的流量转发到22端口，要且求当前和长期均有效：

流量转发命令格式为firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

firewalld中的富规则表示更细致、更详细的防火墙策略配置，它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"

启用SNAT：在firewall-config中Masquerading，并选中Masquerade zone复选框，就自动开启了SNAT技术。

8.4 服务的访问控制列表

TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序，它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。换句话说，Linux系统中其实有两个层面的防火墙，第一种是前面讲到的基于TCP/IP协议的流量过滤工具，而TCP Wrappers服务则是能允许或禁止Linux系统提供服务的防火墙，从而在更高层面保护了Linux系统的安全运行。

在配置TCP Wrappers服务时需要遵循两个原则：

编写拒绝策略规则时，填写的是服务名称，而非协议名称；
建议先编写拒绝策略规则，再编写允许策略规则，以便直观地看到相应的效果。

[root@linuxprobe ~]# vim /etc/hosts.deny
sshd:*
 

[root@linuxprobe ~]# vim /etc/hosts.allow
sshd:192.168.10.
 

TCP Wrappers服务的控制列表文件中常用的参数

客户端类型    　　　　示例    　　　　　　　　　　　　　　满足示例的客户端列表
单一主机      　　192.168.10.10      　　　　　　　　IP地址为192.168.10.10的主机
指定网段      　　192.168.10.        　　　　　　　　  IP段为192.168.10.0/24的主机
指定网段      　　192.168.10.0/255.255.255.0             IP段为192.168.10.0/24的主机
指定DNS后缀　　    .linuxprobe.com    　　　　　　　　所有DNS后缀为.linuxprobe.com的主机
指定主机名称    　　www.linuxprobe.com    　　　　　　主机名称为www.linuxprobe.com的主机
指定所有客户端    　　ALL    　　　　　　　　　　　　 所有主机全部包括在内

Linux防DDOS攻击脚本：

*/2 * * * * /usr/local/nginx/var/log/drop.sh
#!/bin/sh
cd /usr/local/nginx/var/log
tail access.log -n 1000 |grep vote.php | |sort |uniq -c |sort -nr |awk '{if ($2!=null && $1>50)}' > drop_ip.txt
for i in `cat drop_ip.txt`
do
#/sbin/iptables -I INPUT -s $i -j DROP;
firewall-cmd --add-source=192.168.5.6 --zone=drop
done

查看与80端口建立的链接

netstat -an | grep ":80" | grep ESTABLISHED