当下的主流红帽系Linux版本是 Red Hat Enterprise Linux 8 和 CentOS 8,系统默认的防火墙也从iptables换成firewalld。firewalld最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效。firewalld在使用上要比iptables人性化很多,即使不明白“四表五链”而且对TCP/ip协议也不理解也可以实现大部分功能。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。firewall-config、firewall-cmd是firewalld的管理工具,通过配置文件“/usr/lib/firewalld”下面的xml配置信息,在启动时自动载入配置并应用到系统中,当使用firewalld-cmd添加防火墙规则时,它实际是转换成iptables规则后,再应用到系统中。
firewalld定义了几个概念:
zone: 它是安全域的范围,就类似于Window上的域网络,工作网络,家庭网络,Internet网络等,不同的安全作用域其安全级别不同,安全程度不同,家庭zone的安全规则就是最宽松的。
service: 它是zone里面的定义一个规则集,它将iptables中单独根据 入接口,出接口,源目端口,协议等定义单独规则整合为一个规则集合,方便识别和管理。
protocol: 定义协议规则
port,source-port :基于端口定义规则,port我的理解:定义源和目标为指定端口的规则。
source: 定义源地址规则
interface: 定义基于出入接口的规则。
direct: 直接定义原始iptables规则。
全局选项:
--state //显示当前firewalld服务的运行状态。
--runtime-to-permanent //将运行时配置保存为永久配置。
全局刷新配置:
--reload //重新加载防火墙permanent的规则配置,覆盖当前runtime的规则配置,runtime的规则配置都将丢失。
--complete-reload //完全重新加载防火墙,甚至netfilter内核模块。这很可能会终止活动连接,因为状态信息会丢失。此选项仅在出现严重防火墙问题时使用。例如,如果存在状态信息问题,则无法使用正确的防火墙规则建立连接。
全局开启日志记录功能:
--get-log-denied //查看是否启用了在所有规则中启用拒绝日志记录。
--set-log-denied=[all|unicast|broadcast|multicast|off] //设置启用或禁用在所有规则添加拒绝或删除日志记录功能。
命令格式
firewall-cmd [选项 ... ]
选项
通用选项
-h, --help //显示帮助信息
-V, --version //显示版本信息(这个选项不能与其他选项组合)
-q, --quiet //不打印状态消息
状态选项
--state //显示firewalld的状态
--reload //不中断服务的重新加载
--complete-reload //中断所有连接的重新加载
--runtime-to-permanent //将当前防火墙的规则永久保存
--check-config //检查配置正确性
日志选项
--get-log-denied //获取记录被拒绝的日志
--set-log-denied=<value> //设置记录被拒绝的日志,只能为 'all','unicast','broadcast','multicast','off' 其中的一个
安装firewalld
dnf install firewalld firewall-config
systemctl start firewalld //启动
systemctl status firewalld //查看状态
firewall-cmd --state //查看状态
systemctl disable firewalld //禁用
systemctl stop firewalld //停止
配置firewalld
firewall-cmd --version //查看版本
firewall-cmd --help //查看帮助
firewall-cmd --state //显示状态
firewall-cmd --get-active-zones //查看区域信息
firewall-cmd --get-zone-of-interface=eth0 //查看指定接口所属区域
firewall-cmd --panic-on //开启应急模式,拒绝所有包
firewall-cmd --panic-off //关闭应急模式,取消拒绝状态
firewall-cmd --query-panic //查看是否应急模式
firewall-cmd --reload //更新防火墙规则,无需断开连接,就是firewalld特性之一,动态添加规则
firewall-cmd --complete-reload //需要断开连接,类似重启服务
firewall-cmd --zone=public --add-interface=eth0 //将接口添加到区域,默认接口都在public,永久生效再加上“--permanent”然后reload防火墙
firewall-cmd --set-default-zone=public //设置默认接口区域,立即生效无需重启
firewall-cmd --zone=dmz --list-ports //查看所有打开的端口
firewall-cmd --zone=dmz --add-port=8080/tcp //加入一个端口到区域
firewall-cmd --zone=work --add-service=smtp //打开一个服务
firewall-cmd --zone=work --remove-service=smtp //移除服务
firewall-cmd --get-zones //显示支持的区域列表
firewall-cmd --set-default-zone=home //设置为家庭区域
firewall-cmd --get-active-zones //查看当前区域
firewall-cmd --get-zone-of-interface=enp03s //设置当前区域的接口
firewall-cmd --zone=public --list-all //显示所有公共区域(public)
firewall-cmd --zone=internal --change-interface=enp03s //临时修改网络接口(enp0s3)为内部区域(internal)
firewall-cmd --permanent --zone=internal --change-interface=enp03s //永久修改网络接口enp03s为内部区域(internal)
服务管理
Amanda,ftp,Samba和tftp等最重要的服务已经被firewalld提供相应的服务,可以使用如下命令查看:
firewall-cmd --get-services //显示服务列表
firewall-cmd --enable service=ssh //允许ssh服务通过
firewall-cmd --disable service=ssh //禁止SSH服务通过
firewall-cmd --add-service=mysql //开放mysql端口
firewall-cmd --remove-service=http //阻止http端口
firewall-cmd --list-services //查看开放的服务
firewall-cmd --add-port=3306/tcp //开放通过tcp访问3306
firewall-cmd --remove-port=80tcp //阻止通过tcp访问3306
firewall-cmd --add-port=233/udp //开放通过udp访问233
firewall-cmd --list-ports //查看开放的端口
firewall-cmd --enable ports=8080/tcp //打开TCP的8080端口
firewall-cmd --enable service=samba --timeout=600 //临时允许Samba服务通过600秒
firewall-cmd --list-services //显示当前服务
firewall-cmd --permanent --zone=internal --add-service=http //添加HTTP服务到内部区域(internal)
firewall-cmd --reload //在不改变状态的条件下重新加载防火墙
端口管理
firewall-cmd --add-port=443/tcp //打开443/TCP端口
firewall-cmd --permanent --add-port=3690/tcp //永久打开3690/TCP端口。永久打开端口需要reload一下,临时打开不用,如果用了reload临时打开的端口就失效了。
firewall-cmd --reload
firewall-cmd --list-all //查看防火墙,添加的端口也可以看到
直接模式
firewalld包括一种直接模式,使用它可以完成一些工作,例如打开TCP协议的9999端口。
firewall-cmd --direct -add-rule ipv4 filter INPUT 0 -p tcp --dport 9000 -j accept
firewall-cmd --reload
伪装IP
firewall-cmd --query-masquerade //检查是否允许伪装IP
firewall-cmd --add-masquerade //允许防火墙伪装IP
firewall-cmd --remove-masquerade //禁止防火墙伪装IP
端口转发
端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定IP的话就默认为本机,如果指定了IP却没指定端口,则默认使用来源端口。 将 80 端口转发至 8080 端口,如果配置好端口转发之后不能用,可以检查下面两个问题:
1、检查本地的 80 端口和目标的 8080 端口是否开放监听了。
2、检查是否允许伪装IP,没允许的话要开启伪装IP。
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 //将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1 //将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 //将80端口的流量转发至192.168.0.1的8080端口
当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。