rhel7和centos7的新防火墙软件 firewalld (但仍然可以使用iptables)
Linux网络防火墙对比
iptables
• iptables在rhel7之前是非常流行的,但是它对于firewalld来讲过于低级,而且它自身只能编写IPV4的规则,IPV6则需要其他的程序实例来帮助完成。
• firewalld
• firewalld是rhel7引入的权限的netfilter子系统交互程序,确切的说它是一个服务。并且它将网络划分为多个区域来进行管理。
官网地址
http://www.firewalld.org/
开始试验:准备干净的虚拟机
# yum install firewalld firewall-config -y
# systemctl restart firewalld --启动服务
# systemctl status firewalld --确认状态
# systemctl enable firewalld --设为开机自动启动(可选)
概念一 ZONE:
Zone 简单来说就是防火墙方案,就是一套规则集,你可以切换使用哪一个zone
# firewall-cmd --get-zones --查看现在有哪些zone
work drop internal external trusted home dmz public block
drop:拒绝所有外部连接请求。
block:拒绝所有外部连接(with an icmp-host-prohibited message for IPv4 and icmp6-adm-prohibited for IPv6),允许内部发起的连接
public:适用公共环境,拒绝所有外部连接请求,但指定外部连接可以进入
external:特别适用路由器启用了伪装功能的外部网。拒绝所有外部连接请求,只能接收经过选择的连接。
dmz:用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。(受限制的公共连接可以进入)
work:适用于工作网络环境,概念和workgroup一样,也是指定的外部连接允许用于工作区。
home:类似家庭组,用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接
internal:用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接
trusted:可接受所有的网络连接。(最不安全)
# firewall-cmd --get-default-zone --查看当前使用的zone
public
# firewall-cmd --set-default-zone=work
# firewall-cmd --set-default-zone=public --修改当前使用的zone
# firewall-cmd --list-all --查看当前使用的zone的规则集
# firewall-cmd --zone=work --list-all --指定查看work这个zone的规则集
# vim /etc/firewalld/zones/public.xml" firewall的默认模式"public"的配置文件,可以看到添加的服务都在里面,如果在其中按照格式添加"ftp",重新加载后就添加了这个服务了。
# cd /usr/lib/firewalld/services/
进入这个目录后,输入"ls",就可以看到可以添加哪些服务,并且可以看到这些服务的名称了。
概念二:网卡接口
# firewall-cmd --zone=public --add-interface=ens33 --指定网卡加入到哪个zone
# firewall-cmd --get-zone-of-interface=ens33 --查看网卡加入到哪个zone
-------------------
常用命令:
firewall‐cmd ‐‐reload //重新载入防火墙策略,未设置为永久策略的规则会丢失。
firewall‐cmd ‐‐permanent //永久策略属性
firewall‐cmd ‐‐add‐ //添加一条策略
--add-source=source[/mask]
--add-service=http
firewall-cmd --remove 删除一条策略
firewall-cmd --list-all 查询已有防火墙规则
概念三:服务于端口
port,service 分别表示端口和服务
# firewall-cmd --add-port=80/tcp --允许tcp的80端口进来的通迅(类似iptables的INPUT)
# firewall-cmd --remove-port=80/tcp --删除上面的规则
# firewall-cmd --add-service=http --允许http服务进来的通迅(不用管它是什么端口,只记住服务就好了)
# firewall-cmd --remove-service=http
# firewall-cmd --add-service=ftp --允许ftp服务进来的通迅(无论主动还是被动都可以,这样就把iptables的写法简单化了)
# firewall-cmd --remove-service=ftp
概念四:富规则
rich-rule复杂规则(富规则)
富规则中可以包含很多网络元素,比如:IP地址、端口、以及处理动作、记录日志等操作。我们可以使用富规则来精确控制我们的访问流量,而不是粗狂的。
# firewall-cmd --add-rich-rule="rule family="ipv4" source address=192.168.224.11 service name="ssh" accept"
下面两条合起来实现允许所有人访问我的http,但drop掉192.168.224.11的访问我的http的包
# firewall-cmd --add-service=http
# firewall-cmd --add-rich-rule="rule family="ipv4" source address=192.168.224.11 service name="http" drop"
# firewall-cmd --list-rich-rule (查询现有的富规则)
概念五:关于立即生效与永久生效
立即生效:上面的练习都是立刻生效,但是无法永久保存,重启防火墙服务,重启机器,以及执行--realod参数都会导致规则被覆盖。
永久生效: 在命令行中加入参数 --permanent 为永久保存,但是运行时不会立即生效,需要执行 firewall --reload命令才会让规则立刻生效。
# firewall-cmd --permanent --add-service=ftp --加了一个--permanent参数后,立即不生效,需要reload后才能生效
实际写规则时,建议直接写(不加--permanent参数),所有规则写完,测试完成后,再使用
# firewall-cmd --runtime-to-permanent 全部转成permanent规则
概念六:
panic模式,在遭受攻击的时候进入紧急模式,以保护服务器。
# firewall-cmd --panic-on
# firewall-cmd --panic-off
概念七:
图形配置
# firewall-config