第二十章firewalld防火墻應(yīng)用

1、第二十章：Firewalld應(yīng)用重點：一、概述；概述：Filewalld（動態(tài)差異點：前者：iptablesiptables service 管理）作為 redhat7 系統(tǒng)中變更對于 netfilter 內(nèi)核模塊的管理工具；：規(guī)則的模式（ 靜態(tài)）： 用戶將新的規(guī)則添加進(jìn)/etc/sysconfig/iptables 配置文件當(dāng)中，再執(zhí)行命令 /etc/init.d/iptables reload 使變更的規(guī)則生效。在這整個過程的背后，iptables service 首先對舊的規(guī)則進(jìn)行了清空，然后重新完整地加載所有新的規(guī)則，如果加載了的模塊，需要在重新加載后進(jìn)行手動加載的模塊；后者：fire

2、walld：使用語言開發(fā)，管理規(guī)則的模式（動態(tài)）:任何規(guī)則的變更都不需要對整個規(guī)則列表進(jìn)行重新加載，只需要將變更部分保存并更新到運行中的 iptables 即可。還有命令行和圖形界面配置工具，它僅僅是替代了service 部分，其底層還是使用iptablesiptables 作為規(guī)則管理。二、Frewalld 的原理；便于理解：firewalld 支持動態(tài)更新技術(shù)并加入了區(qū)域（zone）的概念：簡單來說，區(qū)域就是 firewalld 預(yù)先準(zhǔn)備了幾套生產(chǎn)場景的不同而選擇合適的策略集合，從而實現(xiàn)策略集合（策略模板），用戶可以根據(jù)策略之間的快速切換。例如，有一臺筆記本電腦，每天都要在辦公室、咖啡廳和

3、家里使用。按常理來講，這三者的安全性按照由高到低的順序來排列，應(yīng)該是家庭、公司辦公室、咖啡廳。當(dāng)前，希望為這臺筆記本電腦指定如下策略規(guī)則：在家中允許所有服務(wù)；在辦公室內(nèi)僅允許文件共享服務(wù)；在咖啡廳僅允許上網(wǎng)瀏覽。在以往，需要頻繁地手動設(shè)置策略規(guī)則，而現(xiàn)在只需要預(yù)設(shè)好區(qū)域集合，然后只需輕點鼠標(biāo)就可以自動切換了，從而極大地區(qū)域：了策略的應(yīng)用效率。zone 默認(rèn)共有 9 個：block（）block（） dmz（非軍事化） drop（丟棄） external（外部） home（家庭）ernal（內(nèi)部） public（公開） trusted（信任） work（工作區(qū)）不同的區(qū)域之間的差異是其對待數(shù)據(jù)包

4、的默認(rèn)行為不同，firewalld 的默認(rèn)區(qū)域為 public；相關(guān)文件：/usr/lib/firewalld/servi/：firewalld 服務(wù)默認(rèn)在此目錄下定義了 70+種服務(wù)供使用；/etc/firewalld/zones/：默認(rèn)區(qū)域配置文件，配置文件中指定了編寫完成的規(guī)則（規(guī)則中的服務(wù)名必須與上述文件名一致，調(diào)用關(guān)系）；三、規(guī)則編寫：語法：firewall-cmd 選項選項語法：-zone=zone 動作 -permanent注：如果不指定-zone 選項，則為當(dāng)前所在的默認(rèn)區(qū)域；-permanent 選項為是否將改動寫入到區(qū)域配置文件中，如果加此選項，需要重新加載firewall

5、d 服務(wù)方可生效；選項之狀態(tài)：-se-reload置文件中的#查看#重新加載的狀態(tài)，中斷用戶的連接，將臨時配置清掉，加載配配置#重新加載，不中斷用戶的連接（出嚴(yán)重故障時使plete-reload用）-panic-on#緊急模式，強制關(guān)閉所有網(wǎng)絡(luò)連接,-panic-off 是關(guān)閉緊急模式選項之動作中查看操作：-get-icmptypes-get-zones-get-default-zone-get-active-zones-get-servi-list-servi#查看支持的所有 ICMP 類型#查看所有區(qū)域#查看當(dāng)前的默認(rèn)區(qū)域#查看當(dāng)前正在使用的區(qū)域 #查看當(dāng)前區(qū)域支持的服務(wù)#查看當(dāng)前區(qū)域開放

6、的服務(wù)列表#查看此區(qū)域內(nèi)的所有配置，類似與 iptables -L -n-list-all選項之更改區(qū)域操作：#更改默認(rèn)的區(qū)域-set-default-zork選項之新建-add 或刪除-remove 規(guī)則：-add-erface=eth0#將網(wǎng)絡(luò)接口添加到默認(rèn)的區(qū)域內(nèi)-add-port=12222/tcp -permanent#添加端口到區(qū)域開放列表中#將端口范圍添加到開放列表中；-add-port=5000-10000/tcp-permanent#添加服務(wù)到區(qū)域開放列表中（注意服務(wù)的名稱需-add-service=ftp -permanent要與此區(qū)域支持的服務(wù)列表中的名稱一致）#添加源地

7、址的流量到指定區(qū)域 #刪除源地址的流量到指定區(qū)域 #改變指定的接口到其他區(qū)域#在home 區(qū)域內(nèi)將http 服務(wù)刪除在開放列表中刪-add-source=-remove-source=-change-erface=eth1-remove-service=http除#開啟 SNAT（源地址轉(zhuǎn)換） #查詢 SNAT 的狀態(tài)#將網(wǎng)絡(luò)接口在默認(rèn)的區(qū)域內(nèi)刪除 #確定該網(wǎng)卡接口是否存在于此區(qū)域-add-masquerade-query-masquerade-remove-erface=eth0-query-erface=eth0Rich 規(guī)則：當(dāng)基本 firewalld 語則不能滿足要求時，可以使用以下更

8、復(fù)雜的規(guī)則.rich-rules 富規(guī)則，功能強,表達(dá)性語言,查看幫助：man 5 firewalld.richlanguage.rich 規(guī)則比基本的 firewalld 語法實現(xiàn)更強的功能，不僅實現(xiàn)允許/，還可以實現(xiàn)日志syslog 和 auditd，也可以實現(xiàn)端口轉(zhuǎn)發(fā)， rich 規(guī)則實施順序有以下四點和限制速率a.該區(qū)域的端口轉(zhuǎn)發(fā)， b.該區(qū)域的日志規(guī)則 c.該區(qū)域的允許規(guī)則規(guī)則d.該區(qū)域的規(guī)則每個匹配的規(guī)則都生效，所有規(guī)則都不匹配，該區(qū)域默認(rèn)規(guī)則生效；Rich 規(guī)則語法：Rich 規(guī)則選項：-add-rich-rule=rule-remove-rich-rule=rule-query

9、-rich-rule=rule-list-rich-rules#新建 rich 規(guī)則#刪除 rich 規(guī)則#查看單條 rich 規(guī)則#查看 rich 規(guī)則列表Rich 規(guī)則示例：1.從 的流量；firewall-cmd-zone=public-add-rich-rule=rulefamily=ipv4sourceaddress=/24 protocol value=icmpreject2.接受所有 /24 子網(wǎng)端口范置 7900-7905 的 TCP 流量；firewall-cmd -permanent -zone=vnc -add-rich-rule=rule family=ipv4 source address=/24 port port=7900-7905 protocol=tcp accept3.開啟 SNAT；firewall-cmd -permanent -add-rich-rule=rulefamily=ipv4 source address=/24 masquerade4.00 主機的流量（0 代表優(yōu)先級）；firewall-cmd -direct -a