Firewalld服務簡介
▶1 基本介紹
firewalld是CentOS 7.0新推出的管理netfilter的工具
firewalld是配置和監控防火牆規則的系統守護進程,可以實現iptables,ip6tables,ebtables的功能
firewalld服務由firewalld包提供
▶2 ZONE:區域
firewalld支持劃分區域zone,每個zone可以設置獨立的防火牆規則
歸入zone順序:
先根據數據包中源地址,將其納為某個zone
納為網絡接口所屬zone
納入默認zone,默認為public zone,管理員可以改為其它zone
網卡默認屬於public zone,lo網絡接口屬於trusted zone
Firewalld zone分類
zone名稱 默認配置
trusted 允許所有流量
home 拒絕除和傳出流量相關的,以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client預定義服務之外其它所有傳入流量
internal 和home相同
work 拒絕除和傳出流量相關的,以及ssh,ipp-client,dhcpv6-client預定義服務之外的其它所有傳入流量
public 拒絕除和傳出流量相關的,以及ssh,dhcpv6-client預定義服務之外的其它所有傳入流量,新加的網卡默認屬於publiczone
external 拒絕除和傳出流量相關的,以及ssh預定義服務之外的其它所有傳入流量,屬於external zone的傳出ipv4流量的源地址將被偽裝為傳出網卡的地址。
dmz 拒絕除和傳出流量相關的,以及ssh預定義服務之外的其它所有傳入流量
block 拒絕除和傳出流量相關的所有傳入流量
drop 拒絕除和傳出流量相關的所有傳入流量(甚至不以ICMP錯誤進行回應)
預定義服務,下表只是列出幾個例子,Firewalld預定義的服務太多了
服務名稱 配置
ssh Local SSH server. Traffic to 22/tcp
dhcpv6-client Local DHCPv6 client. Traffic to 546/udp on the fe80::/64 IPv6 network
ipp-client Local IPP printing. Traffic to 631/udp.
samba-client Local Windows file and print sharing client. Traffic to 137/udp and 138/udp.
mdns Multicast DNS (mDNS) local-link name resolution. Traffic to 5353/udp to the
224.0.0.251 (IPv4) or ff02::fb (IPv6) multicast addresses.
2️⃣ Firewalld服務配置
▶1 Firewalld預定義服務配置
firewall-cmd --get-services 查看預定義服務列表
/usr/lib/firewalld/services/*.xml 預定義服務的配置
▶2 Firewalld 三種配置方法
firewall-config (firewall-config包)圖形工具
firewall-cmd (firewalld包)命令行工具
/etc/firewalld 配置文件,一般不建議
▶3 Firewall-cmd 命令選項
格式: Usage: firewall-cmd [OPTIONS...]
常見選項參數
--get-zones 列出所有可用區域
--get-default-zone 查詢默認區域
--set-default-zone= 設置默認區域
--get-active-zones 列出當前正使用的區域
--add-source=[--zone=] 添加源地址的流量到指定區域,如果無--zone= 選項,使用默認區域
--remove-source= [--zone=] 從指定區域刪除源地址的流量,如無--zone= 選項,使用默認區域
--add-interface=[--zone=] 添加來自於指定接口的流量到特定區域,如果無--zone= 選項,使用默認區
域
--change-interface=[--zone=] 改變指定接口至新的區域,如果無--zone= 選項,使用默認區域
--add-service= [--zone=] 允許服務的流量通過,如果無--zone= 選項,使用默認區域
--add-port=<port>[--zone=] 允許指定端口和協議的流量,如果無--zone= 選項,使用默/<port>
認區域
--remove-service= [--zone=] 從區域中刪除指定服務,禁止該服務流量,如果無--zone= 選項,使用默
認區域
--remove-port=<port>[--zone=] 從區域中刪除指定端口和協議,禁止該端口的流量,如/<port>
果無--zone= 選項,使用默認區域
--reload 刪除當前運行時配置,應用加載永久配置
--list-services 查看開放的服務
--list-ports 查看開放的端口
--list-all [--zone=] 列出指定區域的所有配置信息,包括接口,源地址,端口,服務等,如果無--zone=
選項,使用默認區域
- 示例
/ 查看默認zone
[root@Centos7 ~]# firewall-cmd --get-default-zone
public
/ 設置默認zone問dmz
[root@Centos7 ~]# firewall-cmd --set-default-zone=dmz
success
[root@Centos7 ~]# firewall-cmd --get-default-zone
dmz
/ 在internal zone中增加源地址192.168.0.0/24的永久規則
[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24
success
/ 在internal zone中增加協議mysql的永久規則
[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-service=mysql
success
/ 加載新增規則生效
[root@Centos7 ~]# firewall-cmd --reload
success
/ 查看前面兩個設置的規則
[root@Centos7 ~]# firewall-cmd --list-all --zone=internal
internal (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 192.168.0.0/24
services: dhcpv6-client mdns mysql samba-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
3️⃣ rich規則
當基本firewalld語法規則不能滿足要求時,可以使用以下更復雜的規則
rich-rules:富規則,功能強,表達性語言
direct configuration rules:直接規則,靈活性差
幫助:man 5 firewalld.direct
1 rich規則簡介
rich規則比基本的firewalld語法實現更強的功能,不僅實現允許/拒絕,還可以實現日誌syslog和auditd,也可以實現端口轉發,偽裝和限制速率
rich語法
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
man 5 firewalld.richlanguage
▶2 rich規則實施順序:
該區域的端口轉發,偽裝規則
該區域的日誌規則
該區域的允許規則
該區域的拒絕規則
每個匹配的規則生效,所有規則都不匹配,該區域默認規則生效
▶3 rich規則選項
--add-rich-rule='<rule>'/<rule>
添加rich規則至指定zone,若未指明zone則為默認zone
--remove-rich-rule='<rule>'/<rule>
從指定zone刪除rich規則,若未指明zone則為默認zone
--query-rich-rule='<rule>'/<rule>
查詢指定zone中是否有RULE規則,若未指定zone則為默認zone
返回值0代表存在,返回值1代表不存在
--list-rich-rules
列出指定zone的所有rich規則,若未指定zone則為默認zone
示例:
/ 拒絕從192.168.0.11的所有流量,當address 選項使用source 或 destination時,必須用family= ipv4|ipv6
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
/ 限制每分鐘只有兩個連接到ftp服務,下面命令省略指定zone區域,所以是給默認zone添加規則
firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
/ 拋棄esp( IPsec 體系中的一種主要協議)協議的所有數據包
firewall-cmd --add-rich-rule='rule protocol value=esp drop'
/ 接受所有192.168.1.0/24子網端口5900-5905範圍的TCP流量,
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=5900-5905 protocol=tcp accept'
/ 查看所有添加的rich-rules
[root@Centos7 ~]# firewall-cmd --list-rich-rules
You're performing an operation over default zone ('public'),
but your connections/interfaces are in zone 'internal' (see --get-active-zones)
You most likely need to use --zone=internal option.
rule service name="ftp" accept limit value="2/m"
rule protocol value="esp" drop
▶4 rich日誌規則
log [prefix="<prefix>" [level=<loglevel>] [limit value="<rate>"]/<rate>/<loglevel>/<prefix>
<loglevel>
可以是emerg, alert, crit, error, warning, notice, info, debug
<duration>
s:秒,m:分鐘,h:小時,d:天
audit [limit value="<rate>"]/<rate>
示例
#接受ssh新連接,記錄日誌到syslog的notice級別,每分鐘最多三條信息
firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh"
log prefix="ssh " level="notice" limit value="3/m" accept
#從2001:db8::/64子網的DNS連接在5分鐘內被拒絕,並記錄到日誌到audit,每小時最大記錄一條信息
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"
service name="dns" audit limit value="1/h" reject' --timeout=300
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source \\
address=172.25.X.10/32 service name="http" log level=notice prefix="NEW HTTP " limit value="3/s" accept'
firewall-cmd --reload
tail -f /var/log/messages
curl http://serverX.example.com
▶5 偽造和端口轉發
- NAT網絡地址轉換,firewalld支持偽造和端口轉發兩種NAT方式
- 偽造NAT
- 格式:firewall-cmd --zone=<zone> --add-masquerade/<zone>
firewall-cmd --permanent --zone=<zone> --add-masquerade/<zone>
firewall-cmd --query-masquerade #檢查是否允許偽裝
firewall-cmd --add-masquerade #允許防火牆偽裝IP
firewall-cmd --remove-masquerade #禁止防火牆偽裝IP
示例:將來自192.168.0.0/24網段的IP偽造為外網動態IP
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'
端口轉發:將發往本機的特定端口的流量轉發到本機或不同機器的另一個端口。通常要配合地址偽造才能實現
格式:firewall-cmd --zone=<zone> --add-forward-port=port=<portnumber>:proto=<protocol>[:toport=<portnumber>][:toaddr=<ipaddr>]/<ipaddr>/<portnumber>/<protocol>/<portnumber>/<zone>
說明:toport=和toaddr=至少要指定一個
示例
轉發傳入的連接9527/TCP,到防火牆的80/TCP到public zone 的192.168.0.254
firewall-cmd --add-masquerade 啟用偽裝
firewall-cmd --zone=public --add-forwardport=
port=9527:proto=tcp:toport=80:toaddr=192.168.0.254
rich規則語法:
- 格式:forward-port port=<portnum> protocol=tcp|udp [to-port=<portnum>] [to-addr=<address>]/<address>/<portnum>/<portnum>
- 示例
/ 轉發從192.168.0.0/24來的,發往80/TCP的流量到防火牆的端口8080/TCP
firewall-cmd --zone=work --add-rich-rule='rule family=ipv4 source
address=192.168.0.0/24 forward-port port=80 protocol=tcp to-port=8080'
山東掌趣網絡科技
閱讀更多 掌趣網絡 的文章