1.簡(jiǎn)介

? firewalld是CentOS 7.0新推出的管理netfilter的工具
? firewalld是配置和監(jiān)控防火墻規(guī)則的系統(tǒng)守護(hù)進(jìn)程∮嬲茫可以實(shí)現(xiàn)iptables,ip6tables,ebtables的功能
? firewalld服務(wù)由firewalld包提供
? firewalld支持劃分區(qū)域zone,每個(gè)zone可以設(shè)置獨(dú)立的防火墻規(guī)則
? 歸入zone順序：
? 先根據(jù)數(shù)據(jù)包中源地址，將其納為某個(gè)zone
? 納為網(wǎng)絡(luò)接口所屬zone
? 納入默認(rèn)zone症脂，默認(rèn)為public zone,管理員可以改為其它zone
? 網(wǎng)卡默認(rèn)屬于public zone,lo網(wǎng)絡(luò)接口屬于trusted zone

2.firewalld zone分類(lèi)

Paste_Image.png

Paste_Image.png

3.firewalld配置

? firewall-cmd --get-services 查看預(yù)定義服務(wù)列表
? /usr/lib/firewalld/services/*.xml預(yù)定義服務(wù)的配置
? 三種配置方法
? firewall-config （firewall-config包）圖形工具
? firewall-cmd （firewalld包）命令行工具
? /etc/firewalld 配置文件织鲸，一般不建議

firewalld-cmd命令選項(xiàng)

? --get-zones 列出所有可用區(qū)域
? --get-default-zone 查詢(xún)默認(rèn)區(qū)域
? --set-default-zone=<ZONE> 設(shè)置默認(rèn)區(qū)域
? --get-active-zones 列出當(dāng)前正使用的區(qū)域
? --add-source=<CIDR>[--zone=<ZONE>]
添加源地址的流量到指定區(qū)域，如果無(wú)--zone= 選項(xiàng)沪摄，使用默認(rèn)區(qū)域
? --remove-source=<CIDR> [--zone=<ZONE>]
從指定區(qū)域中刪除源地址的流量躯嫉，如果無(wú)--zone= 選項(xiàng)，使用默認(rèn)區(qū)域
? --add-interface=<INTERFACE>[--zone=<ZONE>]
添加來(lái)自于指定接口的流量到特定區(qū)域杨拐，如果無(wú)--zone= 選項(xiàng)祈餐，使用默認(rèn)區(qū)域
? --change-interface=<INTERFACE>[--zone=<ZONE>]
改變指定接口至新的區(qū)域，如果無(wú)--zone= 選項(xiàng)哄陶，使用默認(rèn)區(qū)域
? --list-all [--zone=<ZONE>]
列出指定區(qū)域的所有配置信息帆阳，包括接口，源地址屋吨，端口蜒谤，服務(wù)等，如果無(wú)--zone=選項(xiàng)离赫，使用默認(rèn)區(qū)域
? --add-service=<SERVICE> [--zone=<ZONE>]
允許服務(wù)的流量通過(guò)芭逝，如果無(wú)--zone= 選項(xiàng)，使用默認(rèn)區(qū)域
? --add-port=<PORT/PROTOCOL>[--zone=<ZONE>]
允許指定端口和協(xié)議的流量渊胸，如果無(wú)--zone= 選項(xiàng)旬盯，使用默認(rèn)區(qū)域
? --change-interface=<INTERFACE>[--zone=<ZONE>]
改變指定接口至新的區(qū)域，如果無(wú)--zone= 選項(xiàng)，使用默認(rèn)區(qū)域
? --list-all [--zone=<ZONE>]
列出指定區(qū)域的所有配置信息胖翰，包括接口接剩，源地址，端口萨咳，服務(wù)等懊缺，如果無(wú)--zone= 選項(xiàng)，使用默認(rèn)區(qū)域
? --add-service=<SERVICE> [--zone=<ZONE>]
允許服務(wù)的流量通過(guò)培他，如果無(wú)--zone= 選項(xiàng)鹃两，使用默認(rèn)區(qū)域
? --add-port=<PORT/PROTOCOL>[--zone=<ZONE>]
允許指定端口和協(xié)議的流量，如果無(wú)--zone= 選項(xiàng)舀凛，使用默認(rèn)區(qū)域

eg:

? 查看默認(rèn)zone
firewall-cmd --get-default-zone
? 默認(rèn)zone設(shè)為dmz
firewall-cmd --set-default-zone=dmz
? 在internal zone中增加源地址192.168.0.0/24的永久規(guī)則
firewall-cmd --permanent --zone=internal --
add-source=192.168.0.0/24
? 在internal zone中增加協(xié)議mysql的永久規(guī)則
firewall-cmd --permanent –zone=internal --addservice=mysql
? 加載新規(guī)則以生效
firewall-cmd --reload

4.配置firewalld

? systemctl mask iptables
? systemctl mask ip6tables
? systemctl status firewalld
? systemctl enable firewalld
? systemctl start firewalld
? firewall-cmd --get-default-zone
? firewall-cmd --set-default-zone public
? firewall-cmd --permanent --zone=public --list-all
? firewall-cmd --permanent --zone=public --addport 8080/tcp
? firewall-cmd ---reload

5.其他規(guī)則

? 當(dāng)基本firewalld語(yǔ)法規(guī)則不能滿足要求時(shí)俊扳，可以使用以下更
復(fù)雜的規(guī)則
? rich-rules 富規(guī)則，功能強(qiáng),表達(dá)性語(yǔ)言
? Direct configuration rules 直接規(guī)則猛遍，靈活性差
幫助：man 5 firewalld.direct

(1)管理rich規(guī)則

? rich規(guī)則比基本的firewalld語(yǔ)法實(shí)現(xiàn)更強(qiáng)的功能馋记，不僅實(shí)現(xiàn)
允許/拒絕，還可以實(shí)現(xiàn)日志syslog和auditd懊烤，也可以實(shí)現(xiàn)端
口轉(zhuǎn)發(fā)梯醒，偽裝和限制速率
? rich語(yǔ)法：
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
? man 5 firewalld.richlanguage
rich規(guī)則選項(xiàng)

Paste_Image.png

? 拒絕從192.168.0.11的所有流量，當(dāng)address 選項(xiàng)使用source 或 destination時(shí)腌紧，必須用family= ipv4 |ipv6.
firewall-cmd --permanent --zone=classroom --add-richrule='rule family=ipv4 source address=192.168.0.11/32 reject‘
? 限制每分鐘只有兩個(gè)連接到ftp服務(wù)
firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/m accept’
? 拋棄esp（ IPsec 體系中的一種主要協(xié)議）協(xié)議的所有數(shù)據(jù)包
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp drop'
? 接受所有192.168.1.0/24子網(wǎng)端口范置7900-7905的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'

(2)rich服務(wù)

? log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limit value="<RATE/DURATION>"]
? <LOGLEVEL> 可以是 emerg,alert, crit, error, warning, notice, info, debug.
? <DURATION> s：秒, m：分鐘, h：小時(shí), d：天
? audit [limit value="<RATE/DURATION>"]
eg:

? 接受ssh新連接茸习，記錄日志到syslog的notice級(jí)別，每分鐘最多三條信息
firewall-cmd --permanent --zone=work --add-richrule='rule service name="ssh" log prefix="ssh " level="notice" limit value="3/m" accept
? 從2001:db8::/64子網(wǎng)的DNS連接在5分鐘內(nèi)被拒絕寄啼，并記錄到日志到audit,每小時(shí)最大記錄一條信息逮光。
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300

6.規(guī)則演示

? firewall-cmd --permanent --add-rich-rule='rule
family=ipv4 source address=172.25.X.10/32 service
name="http" log level=notice prefix="NEW HTTP "
limit value="3/s" accept'
? firewall-cmd --reload
? tail -f /var/log/messages
? curl http://serverX.example.com

7.偽造和端口轉(zhuǎn)發(fā)

? NAT網(wǎng)絡(luò)地址轉(zhuǎn)換代箭，firewalld支持偽造和端口轉(zhuǎn)發(fā)兩種NAT方式
? 偽造NAT
? firewall-cmd --permanent --zone=<ZONE> --addmasquerade
? firewall-cmd --permanent --zone=<ZONE> --addrich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'

(1)端口轉(zhuǎn)發(fā)

? 端口轉(zhuǎn)發(fā)：將發(fā)往本機(jī)的特定端口的流量轉(zhuǎn)發(fā)到本機(jī)或不同機(jī)器的另一個(gè)端口墩划。通常要配合地址偽造才能實(shí)現(xiàn)
? firewall-cmd --permanent --zone=<ZONE> --addforwardport=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]
說(shuō)明：toport= 和toaddr= 至少要指定一個(gè)
? 示例：
轉(zhuǎn)發(fā)傳入的連接513/TCP，到訪火墻的132/TCP到public zone的192.168.0.254
firewall-cmd --permanent --zone=public --addforward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254

(2)rich規(guī)則語(yǔ)法

? rich規(guī)則語(yǔ)法：
? forward-port port=<PORTNUM> protocol=tcp|udp [toport=<PORTNUM>]
[to-addr=<ADDRESS>]
? 示例：
轉(zhuǎn)發(fā)從192.168.0.0/26來(lái)的嗡综，發(fā)往80/TCP的流量到防火墻的端口8080/TCP
firewall-cmd --permanent --zone=work --add-richrule='rule
family=ipv4 source address=192.168.0.0/26
forward-port port=80 protocol=tcp to-port=8080'
eg：

? firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25.X.10/32 forwardport port=443 protocol=tcp to-port=22'
? firewall-cmd --reload
? ssh -p 443 serverX.example.com