淺談，linux防火牆，Firewalld服務

Firewalld服務簡介

▶1 基本介紹

firewalld是CentOS 7.0新推出的管理netfilter的工具

firewalld是配置和監控防火牆規則的系統守護進程，可以實現iptables,ip6tables,ebtables的功能

firewalld服務由firewalld包提供

​▶2 ZONE:區域

firewalld支持劃分區域zone,每個zone可以設置獨立的防火牆規則

歸入zone順序：

先根據數據包中源地址，將其納為某個zone

納為網絡接口所屬zone

納入默認zone，默認為public zone,管理員可以改為其它zone

網卡默認屬於public zone,lo網絡接口屬於trusted zone

Firewalld zone分類

zone名稱 默認配置

trusted 允許所有流量

home 拒絕除和傳出流量相關的，以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client預定義服務之外其它所有傳入流量

internal 和home相同

work 拒絕除和傳出流量相關的，以及ssh,ipp-client,dhcpv6-client預定義服務之外的其它所有傳入流量

public 拒絕除和傳出流量相關的，以及ssh,dhcpv6-client預定義服務之外的其它所有傳入流量，新加的網卡默認屬於publiczone

external 拒絕除和傳出流量相關的，以及ssh預定義服務之外的其它所有傳入流量，屬於external zone的傳出ipv4流量的源地址將被偽裝為傳出網卡的地址。

dmz 拒絕除和傳出流量相關的，以及ssh預定義服務之外的其它所有傳入流量

block 拒絕除和傳出流量相關的所有傳入流量

drop 拒絕除和傳出流量相關的所有傳入流量（甚至不以ICMP錯誤進行回應）

預定義服務,下表只是列出幾個例子，Firewalld預定義的服務太多了

服務名稱 配置

ssh Local SSH server. Traffic to 22/tcp

dhcpv6-client Local DHCPv6 client. Traffic to 546/udp on the fe80::/64 IPv6 network

ipp-client Local IPP printing. Traffic to 631/udp.

samba-client Local Windows file and print sharing client. Traffic to 137/udp and 138/udp.

mdns Multicast DNS (mDNS) local-link name resolution. Traffic to 5353/udp to the

224.0.0.251 (IPv4) or ff02::fb (IPv6) multicast addresses.

​2️⃣ Firewalld服務配置

▶1 Firewalld預定義服務配置

firewall-cmd --get-services 查看預定義服務列表

/usr/lib/firewalld/services/*.xml 預定義服務的配置

▶2 Firewalld 三種配置方法

firewall-config （firewall-config包）圖形工具

firewall-cmd （firewalld包）命令行工具

/etc/firewalld 配置文件，一般不建議

▶3 Firewall-cmd 命令選項

格式: Usage: firewall-cmd [OPTIONS...]

常見選項參數

--get-zones 列出所有可用區域

--get-default-zone 查詢默認區域

--set-default-zone= 設置默認區域

--get-active-zones 列出當前正使用的區域

--add-source=[--zone=] 添加源地址的流量到指定區域，如果無--zone= 選項，使用默認區域

--remove-source= [--zone=] 從指定區域刪除源地址的流量，如無--zone= 選項，使用默認區域

--add-interface=[--zone=] 添加來自於指定接口的流量到特定區域，如果無--zone= 選項，使用默認區

域

--change-interface=[--zone=] 改變指定接口至新的區域，如果無--zone= 選項，使用默認區域

--add-service= [--zone=] 允許服務的流量通過，如果無--zone= 選項，使用默認區域

--add-port=<port>[--zone=] 允許指定端口和協議的流量，如果無--zone= 選項，使用默/<port>

認區域

--remove-service= [--zone=] 從區域中刪除指定服務，禁止該服務流量，如果無--zone= 選項，使用默

認區域

--remove-port=<port>[--zone=] 從區域中刪除指定端口和協議，禁止該端口的流量，如/<port>

果無--zone= 選項，使用默認區域

--reload 刪除當前運行時配置，應用加載永久配置

--list-services 查看開放的服務

--list-ports 查看開放的端口

--list-all [--zone=] 列出指定區域的所有配置信息，包括接口，源地址，端口，服務等，如果無--zone=

選項，使用默認區域

• 示例

/ 查看默認zone

[root@Centos7 ~]# firewall-cmd --get-default-zone

public

/ 設置默認zone問dmz

[root@Centos7 ~]# firewall-cmd --set-default-zone=dmz

success

[root@Centos7 ~]# firewall-cmd --get-default-zone

dmz

/ 在internal zone中增加源地址192.168.0.0/24的永久規則

[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24

success

/ 在internal zone中增加協議mysql的永久規則

[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-service=mysql

success

/ 加載新增規則生效

[root@Centos7 ~]# firewall-cmd --reload

success

/ 查看前面兩個設置的規則

[root@Centos7 ~]# firewall-cmd --list-all --zone=internal

internal (active)

target: default

icmp-block-inversion: no

interfaces:

sources: 192.168.0.0/24

services: dhcpv6-client mdns mysql samba-client ssh

ports:

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

3️⃣ rich規則

當基本firewalld語法規則不能滿足要求時，可以使用以下更復雜的規則

rich-rules：富規則，功能強，表達性語言

direct configuration rules：直接規則，靈活性差

幫助：man 5 firewalld.direct

​1 rich規則簡介

rich規則比基本的firewalld語法實現更強的功能，不僅實現允許/拒絕，還可以實現日誌syslog和auditd，也可以實現端口轉發，偽裝和限制速率

rich語法

rule

[source]

[destination]

service|port|protocol|icmp-block|masquerade|forward-port

[log]

[audit]

[accept|reject|drop]

man 5 firewalld.richlanguage

▶2 rich規則實施順序：

該區域的端口轉發，偽裝規則

該區域的日誌規則

該區域的允許規則

該區域的拒絕規則

每個匹配的規則生效，所有規則都不匹配，該區域默認規則生效

▶3 rich規則選項

--add-rich-rule='<rule>'/<rule>

添加rich規則至指定zone，若未指明zone則為默認zone

--remove-rich-rule='<rule>'/<rule>

從指定zone刪除rich規則，若未指明zone則為默認zone

--query-rich-rule='<rule>'/<rule>

查詢指定zone中是否有RULE規則，若未指定zone則為默認zone

返回值0代表存在，返回值1代表不存在

​--list-rich-rules

列出指定zone的所有rich規則，若未指定zone則為默認zone

示例：

/ 拒絕從192.168.0.11的所有流量，當address 選項使用source 或 destination時，必須用family= ipv4|ipv6

firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'

/ 限制每分鐘只有兩個連接到ftp服務,下面命令省略指定zone區域，所以是給默認zone添加規則

firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'

/ 拋棄esp（ IPsec 體系中的一種主要協議）協議的所有數據包

firewall-cmd --add-rich-rule='rule protocol value=esp drop'

/ 接受所有192.168.1.0/24子網端口5900-5905範圍的TCP流量,

firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=5900-5905 protocol=tcp accept'

/ 查看所有添加的rich-rules

[root@Centos7 ~]# firewall-cmd --list-rich-rules

You're performing an operation over default zone ('public'),

but your connections/interfaces are in zone 'internal' (see --get-active-zones)

You most likely need to use --zone=internal option.

rule service name="ftp" accept limit value="2/m"

rule protocol value="esp" drop

▶4 rich日誌規則

log [prefix="<prefix>" [level=<loglevel>] [limit value="<rate>"]/<rate>/<loglevel>/<prefix>

<loglevel>

可以是emerg, alert, crit, error, warning, notice, info, debug

​<duration>

s：秒，m：分鐘，h：小時，d：天

audit [limit value="<rate>"]/<rate>

示例

#接受ssh新連接，記錄日誌到syslog的notice級別，每分鐘最多三條信息

firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh"

log prefix="ssh " level="notice" limit value="3/m" accept

#從2001:db8::/64子網的DNS連接在5分鐘內被拒絕，並記錄到日誌到audit,每小時最大記錄一條信息

firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"

service name="dns" audit limit value="1/h" reject' --timeout=300

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source \\

address=172.25.X.10/32 service name="http" log level=notice prefix="NEW HTTP " limit value="3/s" accept'

firewall-cmd --reload

tail -f /var/log/messages

curl http://serverX.example.com

▶5 偽造和端口轉發

• NAT網絡地址轉換，firewalld支持偽造和端口轉發兩種NAT方式
• 偽造NAT

• 格式：firewall-cmd --zone=<zone> --add-masquerade/<zone>

firewall-cmd --permanent --zone=<zone> --add-masquerade/<zone>

firewall-cmd --query-masquerade #檢查是否允許偽裝

firewall-cmd --add-masquerade #允許防火牆偽裝IP

firewall-cmd --remove-masquerade #禁止防火牆偽裝IP

示例：將來自192.168.0.0/24網段的IP偽造為外網動態IP

firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'

端口轉發：將發往本機的特定端口的流量轉發到本機或不同機器的另一個端口。通常要配合地址偽造才能實現

格式：firewall-cmd --zone=<zone> --add-forward-port=port=<portnumber>:proto=<protocol>[:toport=<portnumber>][:toaddr=<ipaddr>]/<ipaddr>/<portnumber>/<protocol>/<portnumber>/<zone>

說明：toport=和toaddr=至少要指定一個

示例

轉發傳入的連接9527/TCP，到防火牆的80/TCP到public zone 的192.168.0.254

firewall-cmd --add-masquerade 啟用偽裝

firewall-cmd --zone=public --add-forwardport=

port=9527:proto=tcp:toport=80:toaddr=192.168.0.254

rich規則語法：

• 格式：forward-port port=<portnum> protocol=tcp|udp [to-port=<portnum>] [to-addr=<address>]/<address>/<portnum>/<portnum>
• 示例

/ 轉發從192.168.0.0/24來的，發往80/TCP的流量到防火牆的端口8080/TCP

firewall-cmd --zone=work --add-rich-rule='rule family=ipv4 source

address=192.168.0.0/24 forward-port port=80 protocol=tcp to-port=8080'

山東掌趣網絡科技

閱讀更多 掌趣網絡 的文章

關鍵字: 淺談 DNS 服務