CentOS 上的 FirewallD 简明指南-阿里云开发者社区

开发者社区> 开发与运维> 正文
登录阅读全文

CentOS 上的 FirewallD 简明指南

简介:

FirewallD 是 iptables 的前端控制器用于实现持久的网络流量规则。它提供命令行和图形界面在大多数 Linux 发行版的仓库中都有。与直接控制 iptables 相比使用 FirewallD 有两个主要区别

  1. FirewallD 使用区域和服务而不是链式规则。
  2. 它动态管理规则集允许更新规则而不破坏现有会话和连接。

FirewallD 是 iptables 的一个封装可以让你更容易地管理 iptables 规则 - 它并不是 iptables 的替代品。虽然 iptables 命令仍可用于 FirewallD但建议使用 FirewallD 时仅使用 FirewallD 命令。

本指南将向您介绍 FirewallD 的区域和服务的概念以及一些基本的配置步骤。

安装与管理 FirewallD

CentOS 7 和 Fedora 20+ 已经包含了 FirewallD但是默认没有激活。可以像其它的 systemd 单元那样控制它。

1、 启动服务并在系统引导时启动该服务


  1. sudo systemctl start firewalld
  2. sudo systemctl enable firewalld

要停止并禁用


  1. sudo systemctl stop firewalld
  2. sudo systemctl disable firewalld

2、 检查防火墙状态。输出应该是 running 或者 not running


  1. sudo firewall-cmd --state

3、 要查看 FirewallD 守护进程的状态


  1. sudo systemctl status firewalld

示例输出


  1. firewalld.service - firewalld - dynamic firewall daemon
  2. Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled)
  3. Active: active (running) since Wed 2015-09-02 18:03:22 UTC; 1min 12s ago
  4. Main PID: 11954 (firewalld)
  5. CGroup: /system.slice/firewalld.service
  6. └─11954 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

4、 重新加载 FirewallD 配置


  1. sudo firewall-cmd --reload

配置 FirewallD

FirewallD 使用 XML 进行配置。除非是非常特殊的配置你不必处理它们而应该使用 firewall-cmd

配置文件位于两个目录中

  • /usr/lib/FirewallD 下保存默认配置如默认区域和公用服务。 避免修改它们因为每次 firewall 软件包更新时都会覆盖这些文件。
  • /etc/firewalld 下保存系统配置文件。 这些文件将覆盖默认配置。

配置集

FirewallD 使用两个配置集“运行时”和“持久”。 在系统重新启动或重新启动 FirewallD 时不会保留运行时的配置更改而对持久配置集的更改不会应用于正在运行的系统。

默认情况下firewall-cmd 命令适用于运行时配置但使用 --permanent 标志将保存到持久配置中。要添加和激活持久性规则你可以使用两种方法之一。

1、 将规则同时添加到持久规则集和运行时规则集中。


  1. sudo firewall-cmd --zone=public --add-service=http --permanent
  2. sudo firewall-cmd --zone=public --add-service=http

2、 将规则添加到持久规则集中并重新加载 FirewallD。


  1. sudo firewall-cmd --zone=public --add-service=http --permanent
  2. sudo firewall-cmd --reload

reload 命令会删除所有运行时配置并应用永久配置。因为 firewalld 动态管理规则集所以它不会破坏现有的连接和会话。

防火墙的区域

“区域”是针对给定位置或场景例如家庭、公共、受信任等可能具有的各种信任级别的预构建规则集。不同的区域允许不同的网络服务和入站流量类型而拒绝其他任何流量。 首次启用 FirewallD 后public 将是默认区域。

区域也可以用于不同的网络接口。例如要分离内部网络和互联网的接口你可以在 internal 区域上允许 DHCP但在external 区域仅允许 HTTP 和 SSH。未明确设置为特定区域的任何接口将添加到默认区域。

要找到默认区域


  1. sudo firewall-cmd --get-default-zone

要修改默认区域


  1. sudo firewall-cmd --set-default-zone=internal

要查看你网络接口使用的区域


  1. sudo firewall-cmd --get-active-zones

示例输出


  1. public
  2. interfaces: eth0

要得到特定区域的所有配置


  1. sudo firewall-cmd --zone=public --list-all

示例输出


  1. public (default, active)
  2. interfaces: ens160
  3. sources:
  4. services: dhcpv6-client http ssh
  5. ports: 12345/tcp
  6. masquerade: no
  7. forward-ports:
  8. icmp-blocks:
  9. rich rules:

要得到所有区域的配置


  1. sudo firewall-cmd --list-all-zones

示例输出


  1. block
  2. interfaces:
  3. sources:
  4. services:
  5. ports:
  6. masquerade: no
  7. forward-ports:
  8. icmp-blocks:
  9. rich rules:
  10. ...
  11. work
  12. interfaces:
  13. sources:
  14. services: dhcpv6-client ipp-client ssh
  15. ports:
  16. masquerade: no
  17. forward-ports:
  18. icmp-blocks:
  19. rich rules:

与服务一起使用

FirewallD 可以根据特定网络服务的预定义规则来允许相关流量。你可以创建自己的自定义系统规则并将它们添加到任何区域。 默认支持的服务的配置文件位于 /usr/lib /firewalld/services用户创建的服务文件在 /etc/firewalld/services 中。

要查看默认的可用服务


  1. sudo firewall-cmd --get-services

比如要启用或禁用 HTTP 服务


  1. sudo firewall-cmd --zone=public --add-service=http --permanent
  2. sudo firewall-cmd --zone=public --remove-service=http --permanent

允许或者拒绝任意端口/协议

比如允许或者禁用 12345 端口的 TCP 流量。


  1. sudo firewall-cmd --zone=public --add-port=12345/tcp --permanent
  2. sudo firewall-cmd --zone=public --remove-port=12345/tcp --permanent

端口转发

下面是在同一台服务器上将 80 端口的流量转发到 12345 端口。


  1. sudo firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=12345

要将端口转发到另外一台服务器上

1、 在需要的区域中激活 masquerade。


  1. sudo firewall-cmd --zone=public --add-masquerade

2、 添加转发规则。例子中是将本地的 80 端口的流量转发到 IP 地址为 123.456.78.9 的远程服务器上的  8080 端口。


  1. sudo firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=123.456.78.9

要删除规则用 --remove 替换 --add。比如


  1. sudo firewall-cmd --zone=public --remove-masquerade

用 FirewallD 构建规则集

例如以下是如何使用 FirewallD 为你的服务器配置基本规则如果您正在运行 web 服务器。

  1. 将 eth0 的默认区域设置为 dmz。 在所提供的默认区域中dmz非军事区是最适合于这个程序的因为它只允许 SSH 和 ICMP。

  1. sudo firewall-cmd --set-default-zone=dmz
  2. sudo firewall-cmd --zone=dmz --add-interface=eth0

2、 把 HTTP 和 HTTPS 添加永久的服务规则到 dmz 区域中


  1. sudo firewall-cmd --zone=dmz --add-service=http --permanent
  2. sudo firewall-cmd --zone=dmz --add-service=https --permanent

3、 重新加载 FirewallD 让规则立即生效


  1. sudo firewall-cmd --reload

如果你运行 firewall-cmd --zone=dmz --list-all 会有下面的输出


  1. dmz (default)
  2. interfaces: eth0
  3. sources:
  4. services: http https ssh
  5. ports:
  6. masquerade: no
  7. forward-ports:
  8. icmp-blocks:
  9. rich rules:

这告诉我们dmz 区域是我们的默认区域它被用于 eth0 接口中所有网络的源地址端口。 允许传入 HTTP端口 80、HTTPS端口 443和 SSH端口 22的流量并且由于没有 IP 版本控制的限制这些适用于 IPv4 和 IPv6。 不允许IP 伪装以及端口转发。 我们没有 ICMP 块所以 ICMP 流量是完全允许的。没有丰富Rich规则允许所有出站流量。

高级配置

服务和端口适用于基本配置但对于高级情景可能会限制较多。 丰富Rich规则和直接Direct接口允许你为任何端口、协议、地址和操作向任何区域 添加完全自定义的防火墙规则。

丰富规则

丰富规则的语法有很多但都完整地记录在 firewalld.richlanguage(5) 的手册页中或在终端中 man firewalld.richlanguage。 使用 --add-rich-rule--list-rich-rules 、 --remove-rich-rule 和 firewall-cmd 命令来管理它们。

这里有一些常见的例子

允许来自主机 192.168.0.14 的所有 IPv4 流量。


  1. sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.0.14 accept'

拒绝来自主机 192.168.1.10 到 22 端口的 IPv4 的 TCP 流量。


  1. sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp reject'

允许来自主机 10.1.0.3 到 80 端口的 IPv4 的 TCP 流量并将流量转发到 6532 端口上。


  1. sudo firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=10.1.0.3 forward-port port=80 protocol=tcp to-port=6532'

将主机 172.31.4.2 上 80 端口的 IPv4 流量转发到 8080 端口需要在区域上激活 masquerade。


  1. sudo firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 forward-port port=80 protocol=tcp to-port=8080 to-addr=172.31.4.2'

列出你目前的丰富规则


  1. sudo firewall-cmd --list-rich-rules

iptables 的直接接口

对于最高级的使用或对于 iptables 专家FirewallD 提供了一个直接Direct接口允许你给它传递原始 iptables 命令。 直接接口规则不是持久的除非使用 --permanent

要查看添加到 FirewallD 的所有自定义链或规则


  1. firewall-cmd --direct --get-all-chains
  2. firewall-cmd --direct --get-all-rules

原文发布时间为2017-01-07

本文来自云栖社区合作伙伴“Linux中国”

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: