FirewallD是 iptables 的前端控制器链患,用于實現持久的網絡流量規(guī)則慧邮。它提供命令行和圖形界面,在大多數 Linux 發(fā)行版的倉庫中都有涂召。與直接控制 iptables 相比坠非,使用 FirewallD 有兩個主要區(qū)別:
FirewallD 使用區(qū)域和服務而不是鏈式規(guī)則。
它動態(tài)管理規(guī)則集果正,允許更新規(guī)則而不破壞現有會話和連接炎码。
FirewallD 是 iptables 的一個封裝,可以讓你更容易地管理 iptables 規(guī)則 - 它并不是iptables 的替代品舱卡。雖然 iptables 命令仍可用于 FirewallD辅肾,但建議使用 FirewallD 時僅使用 FirewallD 命令。
本指南將向您介紹 FirewallD 的區(qū)域和服務的概念轮锥,以及一些基本的配置步驟矫钓。
安裝與管理 FirewallD
CentOS 7 和 Fedora 20+ 已經包含了 FirewallD,但是默認沒有激活⌒履龋可以像其它的 systemd 單元那樣控制它赵辕。
1、 啟動服務概龄,并在系統(tǒng)引導時啟動該服務:
?systemctl start firewalld?
?systemctl enable firewalld
要停止并禁用:
? systemctl stop firewalld? ?systemctl disable firewalld
2还惠、 檢查防火墻狀態(tài)。輸出應該是running或者not running私杜。
?firewall-cmd --state
3蚕键、 要查看 FirewallD 守護進程的狀態(tài):
? systemctl status firewalld
示例輸出
firewalld.service - firewalld - dynamic firewall daemonLoaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled)Active: active (running) since Wed2015-09-0218:03:22UTC;1min12s agoMain PID:11954(firewalld)CGroup:/system.slice/firewalld.service└─11954/usr/bin/python -Es? /usr/sbin/firewalld --nofork --nopid
4、 重新加載 FirewallD 配置:
firewall-cmd --reload
配置 FirewallD
FirewallD 使用 XML 進行配置衰粹。除非是非常特殊的配置锣光,你不必處理它們,而應該使用firewall-cmd铝耻。
配置文件位于兩個目錄中:
/usr/lib/FirewallD下保存默認配置誊爹,如默認區(qū)域和公用服務。 避免修改它們瓢捉,因為每次 firewall 軟件包更新時都會覆蓋這些文件频丘。
/etc/firewalld下保存系統(tǒng)配置文件。 這些文件將覆蓋默認配置泡态。
配置集
FirewallD 使用兩個配置集:“運行時”和“持久”搂漠。 在系統(tǒng)重新啟動或重新啟動 FirewallD 時,不會保留運行時的配置更改某弦,而對持久配置集的更改不會應用于正在運行的系統(tǒng)状答。
默認情況下,firewall-cmd命令適用于運行時配置刀崖,但使用--permanent標志將保存到持久配置中。要添加和激活持久性規(guī)則拍摇,你可以使用兩種方法之一亮钦。
1、 將規(guī)則同時添加到持久規(guī)則集和運行時規(guī)則集中充活。?
?firewall-cmd --zone=public--add-service=http --permanent? ?
firewall-cmd --zone=public--add-service=http
2蜂莉、 將規(guī)則添加到持久規(guī)則集中并重新加載 FirewallD。?
?firewall-cmd --zone=public--add-service=http --permanent?
?firewall-cmd --reload
reload命令會刪除所有運行時配置并應用永久配置混卵。因為 firewalld 動態(tài)管理規(guī)則集映穗,所以它不會破壞現有的連接和會話。
防火墻的區(qū)域
“區(qū)域”是針對給定位置或場景(例如家庭幕随、公共蚁滋、受信任等)可能具有的各種信任級別的預構建規(guī)則集。不同的區(qū)域允許不同的網絡服務和入站流量類型,而拒絕其他任何流量辕录。 首次啟用 FirewallD 后睦霎,public將是默認區(qū)域。
區(qū)域也可以用于不同的網絡接口走诞。例如副女,要分離內部網絡和互聯網的接口,你可以在internal區(qū)域上允許 DHCP蚣旱,但在external區(qū)域僅允許 HTTP 和 SSH碑幅。未明確設置為特定區(qū)域的任何接口將添加到默認區(qū)域。
要找到默認區(qū)域:?
?firewall-cmd --get-default-zone
要修改默認區(qū)域:
?firewall-cmd --set-default-zone=internal
要查看你網絡接口使用的區(qū)域:
?firewall-cmd --get-active-zones
示例輸出:
publicinterfaces: eth0
要得到特定區(qū)域的所有配置:
?firewall-cmd --zone=public--list-all
示例輸出:
public(default, active)interfaces: ens160sources:services: dhcpv6-client http sshports:12345/tcpmasquerade:? noforward-ports:icmp-blocks:rich rules:
要得到所有區(qū)域的配置:?
?firewall-cmd --list-all-zones
示例輸出:
block
interfaces:
sources:
services:
ports:
masquerade:? no
forward-ports:
icmp-blocks:
rich rules:
...
work
interfaces:
sources:
services: dhcpv6-client ipp-client ssh
ports:
masquerade:? no
forward-ports:
icmp-blocks:
rich rules:
與服務一起使用
FirewallD 可以根據特定網絡服務的預定義規(guī)則來允許相關流量塞绿。你可以創(chuàng)建自己的自定義系統(tǒng)規(guī)則沟涨,并將它們添加到任何區(qū)域。 默認支持的服務的配置文件位于/usr/lib /firewalld/services位隶,用戶創(chuàng)建的服務文件在/etc/firewalld/services中拷窜。
要查看默認的可用服務:
?firewall-cmd --get-services
比如,要啟用或禁用 HTTP 服務:?
?firewall-cmd --zone=public--add-service=http --permanent? ?firewall-cmd --zone=public--remove-service=http --permanent
允許或者拒絕任意端口/協(xié)議
比如:允許或者禁用 12345 端口的 TCP 流量涧黄。
?firewall-cmd --zone=public--add-port=12345/tcp --permanent? ? ?firewall-cmd --zone=public--remove-port=12345/tcp --permanent
端口轉發(fā)
下面是在同一臺服務器上將 80 端口的流量轉發(fā)到 12345 端口篮昧。
?firewall-cmd --zone="public"--add-forward-port=port=80:proto=tcp:toport=12345
要將端口轉發(fā)到另外一臺服務器上:
1、 在需要的區(qū)域中激活 masquerade笋妥。
?firewall-cmd --zone=public--add-masquerade
2懊昨、 添加轉發(fā)規(guī)則。例子中是將本地的 80 端口的流量轉發(fā)到 IP 地址為 :123.456.78.9 的遠程服務器上的8080 端口
?firewall-cmd --zone="public"--add-forward-port=port=80:proto=tcp:toport=8080:toaddr=123.456.78.9
要刪除規(guī)則春宣,用--remove替換--add酵颁。比如:
?firewall-cmd --zone=public--remove-masquerade
用 FirewallD 構建規(guī)則集
例如,以下是如何使用 FirewallD 為你的服務器配置基本規(guī)則(如果您正在運行 web 服務器)月帝。
將eth0的默認區(qū)域設置為dmz躏惋。 在所提供的默認區(qū)域中,dmz(非軍事區(qū))是最適合于這個程序的嚷辅,因為它只允許 SSH 和 ICMP
firewall-cmd --set-default-zone=dmz? ?
?firewall-cmd --zone=dmz --add-interface=eth0
2簿姨、 把 HTTP 和 HTTPS 添加永久的服務規(guī)則到 dmz 區(qū)域中:
?firewall-cmd --zone=dmz --add-service=http --permanent
?firewall-cmd --zone=dmz --add-service=https --permanent
3、 重新加載 FirewallD 讓規(guī)則立即生效:
?firewall-cmd --reload
?如果你運行firewall-cmd --zone=dmz --list-all簸搞, 會有下面的輸出:
dmz (default)interfaces: eth0sources:services: http https sshports:masquerade:? noforward-ports:icmp-blocks:rich rules:
這告訴我們扁位,dmz區(qū)域是我們的默認區(qū)域,它被用于eth0接口中所有網絡的源地址和端口趁俊。 允許傳入 HTTP(端口 80)域仇、HTTPS(端口 443)和 SSH(端口 22)的流量,并且由于沒有 IP 版本控制的限制寺擂,這些適用于 IPv4 和 IPv6暇务。 不允許IP 偽裝以及端口轉發(fā)泼掠。 我們沒有 ICMP 塊,所以 ICMP 流量是完全允許的般卑。沒有豐富(Rich)規(guī)則武鲁,允許所有出站流量。
高級配置
服務和端口適用于基本配置蝠检,但對于高級情景可能會限制較多沐鼠。 豐富(Rich)規(guī)則和直接(Direct)接口允許你為任何端口、協(xié)議叹谁、地址和操作向任何區(qū)域 添加完全自定義的防火墻規(guī)則饲梭。
豐富規(guī)則
豐富規(guī)則的語法有很多,但都完整地記錄在firewalld.richlanguage(5)的手冊頁中(或在終端中man firewalld.richlanguage)焰檩。 使用--add-rich-rule憔涉、--list-rich-rules、--remove-rich-rule和 firewall-cmd 命令來管理它們析苫。
這里有一些常見的例子:
允許來自主機 192.168.0.14 的所有 IPv4 流量兜叨。
?firewall-cmd --zone=public--add-rich-rule'rule family="ipv4" source address=192.168.0.14 accept'
拒絕來自主機 192.168.1.10 到 22 端口的 IPv4 的 TCP 流量。
firewall-cmd --zone=public--add-rich-rule'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp reject'
允許來自主機 10.1.0.3 到 80 端口的 IPv4 的 TCP 流量衩侥,并將流量轉發(fā)到 6532 端口上国旷。?
1.? ` firewall-cmd --zone=public--add-rich-rule'rule family=ipv4 source address=10.1.0.3 forward-port port=80 protocol=tcp to-port=6532'`
將主機 172.31.4.2 上 80 端口的 IPv4 流量轉發(fā)到 8080 端口(需要在區(qū)域上激活 masquerade)。
?firewall-cmd --zone=public--add-rich-rule'rule family=ipv4 forward-port port=80 protocol=tcp to-port=8080 to-addr=172.31.4.2'
列出你目前的豐富規(guī)則:
?firewall-cmd --list-rich-rules
iptables 的直接接口
對于最高級的使用茫死,或對于 iptables 專家跪但,FirewallD 提供了一個直接(Direct)接口,允許你給它傳遞原始 iptables 命令峦萎。 直接接口規(guī)則不是持久的屡久,除非使用--permanent。
要查看添加到 FirewallD 的所有自定義鏈或規(guī)則:
firewall-cmd --direct --get-all-chains
firewall-cmd --direct --get-all-rules
