Linux防火墙-firewalld配置(一)

By | 2020年7月24日
目录
[隐藏]

firewalld是自CentOS 7以来带有一个动态的、可定制而无需重新启动防火墙守护程序或服务。firewall-cmd就是iptables/nftable的前端。在CentOS 8中,nftables取代iptables成为默认的Linux网络包过滤框架。本文介绍如何为您的CentOS 8设置防火墙,并借助firewall-cmd管理工具进行管理。

FirewallD的基本概念

在CentOS7之后,当你使用firewalld时,有两个基本概念,你必须要知道的

  • 服务(service)
  • 区域(zone)

在传统的iptables基于规则的顺序的匹配先后顺序来多数据包进行处理,处理的动作基本上非黑即白这个逻辑,因此iptables的基于规则列表的运行机制相对固化,缺少灵活性。而firewalld将传入的流量分类到由源IP和/或网络接口定义的区域中。每个区域都有的配置,可以根据指定的标准接受或拒绝数据包。

firewalld不仅打破来规则列表固化的先后顺序,而且将以往iptables规则中的tcp/ip信息,使用了一个叫service(服务)来独立封装在一个xml文本中,让使用者更加容易记忆和理解.

什么叫service?粗暴地说,就是应用协议,而与该协议相关的应用能为你做什么。
例如,我上网经常用到tcp协议的80端口和443端口,还有域名解析要用到udp协议的35端口,访问共享文件夹需要用到udp端口的137和138端口,OK,我们这些常用的应用,firewalld都已经内置了。因此在防火墙的配置和管理会变得简单以及人性化。
而理解区域就更简单了,就是对各种内置服务预分组的集合。您可以通过运行以下ls命令查看所有区域,没错,区域也是以XML文档内容预定义在Linux系统中的:

了解预定义区域

获取所有可用的区域,使用如下命令

firewall-cmd --get-zones
  • block–拒绝所有传入的网络连接。仅从系统内部启动的网络连接是可能的。
  • dmz –经典非军事区(DMZ)区域,它提供对LAN的有限访问,并且仅允许选定的传入端口。
  • drop –丢弃所有传入网络连接,并且仅允许传出网络连接。
  • external-对于路由器连接类型很有用。您还需要LAN和WAN接口,以使伪装(NAT)正常工作。
  • home –适用于您信任其他计算机的局域网内的家用计算机,例如笔记本电脑和台式机。仅允许选择的TCP / IP端口。
  • internal–当您主要信任LAN上的其他服务器或计算机时,用于内部网络。
  • public–您不信任网络上的任何其他计算机和服务器。您仅允许所需的端口和服务。对于云服务器或您所托管的服务器,请始终使用公共区域。
  • trust–接受所有网络连接。我不建议将该区域用于连接到WAN的专用服务器或VM。
  • work–在信任同事和其他服务器的工作场所中使用。

如何查找您的默认区域

如果您没有更改它,则默认区域设置为public,并且所有网络接口都分配给此区域,用户可以将网络接口和源分配给区域。其中一个区域设置为默认区域。要获取默认区域运行,请执行以下操作:

#firewall-cmd --get-default-zone
public

要查看活动区域和分配给它们的网络接口,请执行以下操作:

firewall-cmd --get-active-zones

以下输出显示接口ens33和ens34已分配给public区域

ss8.png

如何查看与公共区域关联的防火墙规则或服务

firewall-cmd --list-all

firewall-cmd --list-all --zone=public

从上面的输出中,我们可以看到public区域处于活动状态,并使用默认目标Reject。输出还显示该区域由eth0和eth1接口使用,并允许DHCP客户端和SSH流量。

当区域由于其源网络或接口而处理数据包时,但是没有明确处理该数据包的规则,则区域的目标确定行为:

区域的target

如果你对iptable熟悉的话,那么下面关于target的概念就不用多解析,target是就是对该区域内流经的数据包作最终的处理动作,target为未指定的传入流量定义区域的default行为。它可以设置为以下选项之一:

  • default:不做任何事情
  • ACCEPT:接受数据包
  • REJECT 拒绝数据包,返回拒绝的信息
  • DROP:丢弃数据包,并且不做任何答应

要设置区域的target,请使用–zone选项指定区域,并使用–set-target选项指定目标。例如,要将公共区域的目标更改为DROP,您可以运行:

firewall-cmd --zone=public --set-target=DROP

将接口分配给不同的区域

您可以为不同的区域创建特定的规则集,并为其分配不同的接口。当您的计算机上有多个接口时,这尤其有用。

要将接口分配给不同的分区,请使用–zone选项指定分区,并使用–change-interface选项指定接口。例如,以下命令将ens34接口分配给internal区域:

ss8.png

创建新的区域

firewalld还允许您创建自己的区域。当您想要创建每个应用程序的规则时,这很方便。在以下示例中,我们将创建一个名为memcached的新分区,打开端口11211,并仅允许从IP地址192.168.100.30进行访问:

firewall-cmd --new-zone=visitors --permanent

放某些端口和添加

firewall-cmd --zone=visitors --add-port=80/tcp --permanent
firewall-cmd --zone=visitors --add-port=53/tcp --permanent
firewall-cmd --zone=visitors --add-source=10.10.2.0/24 --permanent

重新加载Firewalld守护程序以激活更改:

firewall-cmd --reload

我们看看如下新建visitors区域里面的规则

ss8.png

服务(services)

服务只不过是本地端口、协议、源端口、目的地和防火墙助手模块的列表。举个例子,服务器就是包含一组tcp/ip协议细节的集合:

  • 端口: 443,21或22
  • 服务: ssh,http或https
  • 协议: tcp/udp/icmp

我们可以查看一下防火墙所支持的服务类型

firewall-cmd --get-services

当然你可以通过管道和 grep 查找是否包含特定的服务名称

如何查看当前区域允许哪些服务

firewall-cmd --list-service

以上命令表明我的默认区域是public的,并且我允许CentOS 8/RHEL 8上的传入SSH连接(端口22)、dhcpv6-client和cockpit服务端口。默认情况下会丢弃所有其他流量。

如果CentOS 8上配置nginx,我需要使用firewall-cmd打开端口80/443。假设您不需要cockpit或dhcpv6-client等不必要的服务,可以通过修改规则将其删除。例如,删除服务dhcpv6-client和cockpit:

firewall-cmd --remove-service=cockpit --permanent
firewall-cmd --remove-service=dhcpv6-client --permanent
firewall-cmd --reload

运行时Firewalld配置更改是临时的。当您重新启动CetnOS8服务器时,它们就消失了。例如,以下命令将临时打开Nginx/Apache Web服务器的TCP端口80/443(Https):

firewall-cmd --zone=public --add-service=http
firewall-cmd --zone=public --add-service=https

当您重新启动Linux机器或重新启动Firewalld服务本身时,不会保留上述规则。

如何将规则添加到永久集并重新加载Firewalld?只需将添加–permanent参数即可

firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=public --add-service=https --permanent
firewall-cmd --reload

如何查找Firewalld支持的服务列表

sudo firewall-cmd --get-services

前面都是预备的内容,下文才是firewalld的主体,如何向firewalld中添加规则

如何将服务添加到特定的区域?
指定特定的zone区域名称,并且使用–add-service添加服务名称

firewall-cmd --zone=public --add-service=dns --permanent

如何从区域中删除(删除)服务

firewall-cmd --zone=public --remove-service=dns --permanent

如何允许/打开TCP/UDP端口/协议

firewall-cmd --zone=public --add-port=8080/tcp --permanent

验证结构,可以使用以下命令验证

firewall-cmd --list-ports

如何拒绝/阻止TCP/UDP端口/协议

firewall-cmd --zone=public --remove-port=23/tcp --permanent

打开端口和源IP

Firewalld还允许您快速启用来自可信IP地址或特定端口的所有流量,而无需创建服务定义

开放源IP

要允许来自特定IP地址(或范围)的所有传入流量,请使用–zone选项指定区域,并使用–add-source选项指定源IP。例如,要允许公共区域中来自192.168.172.32的所有传入流量,请运行:

firewall-cmd --zone=public --add-source=192.168.172.32

后记

我们本文最后以一个示例来对之前firewalld的介绍作一个总结,我们用一个案例来说明如何将firewalld应用到一个带有路由功能的linux主机。如下图拓扑

对于开发者或者运维人员来说,VMware工具的使用,我不想多废话,搭建上面的拓扑对于CentOS的虚拟机添加第二个网卡并且制定为private的网络,我这里设定一个名称为elc用于模拟内网,另外一台测试机单网卡也设定为同一个elc网卡所在交换网络。

  • 首先启用ipv4的数据转发
    • 将以下内容添加到/etc/sysctl.conf:net.ipv4.ip_ward=1
    • 告知内核启用数据包转发:sysctl -p
      ss8.png
  • 开启NAT功能

firewall-cmd --permanent --zone=public --add-masquerade

就这么简单一台简单的路由器就配置成功了,但者firewalld是两码事。后面我们继续深入探讨firewalld。

作者:铁甲万能狗
链接:https://www.jianshu.com/p/ec18f9faaa69
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

Category: os

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注