网站黏度,广州宝安建网站,1688跨境电商平台,巧克力网站建设需求分析Linux CentOS 8#xff08;firewalld的配置与管理#xff09; 目录 一、firewalld 简介二、firewalld 工作概念1、预定义区域#xff08;管理员可以自定义修改#xff09;2、预定义服务 三、firewalld 配置方法1、通过firewall-cmd配置2、通过firewall图形界面配置 四、配置… Linux CentOS 8firewalld的配置与管理 目录 一、firewalld 简介二、firewalld 工作概念1、预定义区域管理员可以自定义修改2、预定义服务 三、firewalld 配置方法1、通过firewall-cmd配置2、通过firewall图形界面配置 四、配置 firewalld 的富规则1、富规则语法2、富规则相关命令3、实例 一、firewalld 简介
firewalld动态防火墙管理器自身和 iptables 一样并不具备防火墙的功能而是需要通过内核的 netfilter 来实现也就是说 firewalld 和 iptables 的作用都是用于维护规则而真正使用规则的是内核的 netfilter。只不过 firewalld 和 iptables 的结构以及使用方法不一样。
firewalld 跟 iptables 比起来firewalld 可以动态修改单条规则不需要像 iptables 那样修改了规则后必须全部刷新才可以生效。缺点是每个服务都需要去设置才能放行因为默认是拒绝而 iptables 里默认是每个服务是允许需要拒绝的才去限制。普遍应用于 Rhel7、CentOS7 及之后。且最小化安装的 Linux 系统不会安装 firewalld。
firewalld 只能做和 IP/Port 相关的限制web 相关的限制无法实现。
二、firewalld 工作概念
1、预定义区域管理员可以自定义修改
通过将网络划分成不同的区域制定出不同区域间的访问控制策略来控制不同程序区域间传送的数据流。一个网卡仅能绑定一个区域但一个区域可以绑定多个网卡。如表1-1所示的几种不同的预定义区域。 表1-1 预定义区域名称及配置 区域名称默认配置trusted允许所有数据包传入和数据包流出lo接口被分配为此区域home拒绝任何数据包流入但允许数据包流出和预定义服务ssh、mdns、ipp-client、sbmclient、dhcpv6-client的数据包可以流入work拒绝任何数据包流入但允许数据包流出和预定义服务ssh、ipp-client、dhcpv6-client的数据包可以流入public拒绝任何数据包流入但允许数据包流出和预定义服务ssh、dhcpv6-client的数据包可以流入。新添加的网卡默认绑定到该区dmz隔离区域也称为非军事区域。拒绝任何数据包流入但允许数据包流出和预定义服务ssh的数据包可以流入block阻止所有传入的数据包drop拒绝所有传入的数据包internal拒绝任何数据包流入但允许数据包流出和预定义服务ssh的数据包可以流入external拒绝任何数据包流入但允许数据包流出和预定义服务ssh、dhcpv6-client的数据包可以流入
相应地firewalld提供了九个区域的配置文件分别是trusted.xml、home.xml、work.xml 、public.xml、dmz.xml、block.xml、drop.xml、internal.xml、external.xml他们都保存在“/usr/lib/firewalld/zones/”目录下。
注默认区域是public默认区域可以修改。
2、预定义服务
通过预定义服务可以很方便的允许特定网络的流量通过防火墙如表1-2所示。 表1-2 预定义服务节选 服务名称配置ssh本地SSH服务器。到22/tcp的流量。dhcpv6-client本地DHCPv6客户端。到fe80::/64 IPv6网络中546/udp的流量。ipp-client本地IPP打印。到631/udp的流量。samba-client本地Windows文件和打印共享客户端。到137/udp和138/udp的流量。mdns多播DNSmDNS本地链路名称解析。到5353/udp指向224.0.0.251IPv4或ff02::fbIPv6多播地址的流量。
三、firewalld 配置方法
firewalld的配置方法主要有三种firewall-config、firewall-cmd和直接编辑xml文件。其中 firewall-config是图形化工具firewall-cmd是命令行工具。
1、通过firewall-cmd配置
1.1 安装firewalld
[rootlocalhost ~]# yum install firewalld firewall-config
//firewall-config为图形工具1.2 启动firewalld
[rootlocalhost ~]# systemctl start firewalld1.3 屏蔽服务
[rootlocalhost ~]# systemctl mask iptables
[rootlocalhost ~]# systemctl mask ip6tables
[rootlocalhost ~]# systemctl mask ebtables
//由于iptables、ip6tables、ebtables这三个服务与filrewalld冲突为防止意外启动需要屏蔽这三个服务。1.4 配置文件所在位置
[rootlocalhost ~]# cd /lib/firewalld/{services,zones}/*.xml
//系统配置文件尽量不要修改
[rootlocalhost ~]# cd /etc/firewalld/{services,zones}/*.xml
//用户配置文件1.5 查看状态
[rootlocalhost ~]# firewalld-cmd --state1.6 配置 firewalld
[rootlocalhost ~]# firewalld-cmd [选项··· ]默认情况下是修改运行时配置马上临时生效如果要修改永久配置添--permanent选项但一定要重启才能生效。
zone区域相关命令如表2-1所示。 表2-1 zone区域命令及作用说明 参数作用–get-default-zone查询当前默认区域–set-default-zone设置默认区域使其永久生效–get-active-zones列出当前正在使用的所有区域具有关联的接口或源及其接口和源信息。–get-zones列出所有可用区域–new-zone新增区域
服务相关命令如表2-2所示。 表2-2 services服务命令及作用说明 参数作用–get-services列出所有预定义服务–add-service [–zone]允许到的流量。如果未提–zone选项则将使用默认区域–remove-service [–zone]移除到的流量。如果未提–zone选项则将使用默认区域
port端口相关命令如表2-3所示。 表2-3 port端口命令及作用说明 参数作用–add-portPORT/PROTOCOL [–zone]允许到PORT/PROTOCOL端口的流量。如果未提–zone选项则将使用默认区域–remove-portPORT/PROTOCOL [–zone]移除到PORT/PROTOCOL端口的流量。如果未提–zone选项则将使用默认区域
interface接口相关命令如表2-4所示 表2-4 interface接口命令及作用说明 参数作用–add-interface [–zone]将来自的所有流量路由到指定区域如果未提–zone选项则将使用默认区域–remove-interface [–zone]将来自的所有流量路由取消到指定区域如果未提–zone选项则将使用默认区域
source源相关命令如表2-5所示 表2-5 source源命令及作用说明 参数作用–add-source [–zone]将来自IP地址或网络/子网掩码的所有流量路由到指定区域。如果未提–zone选项则将使用默认区域–remove-source [–zone]将来自IP地址或网络/子网掩码的所有流量路由取消到指定区域。如果未提–zone选项则将使用默认区域
其他相关命令如表2-6所示 表2-6 其他命令及作用说明 参数作用–list-all [–zone]列出的所有已配置接口、源、服务和端口。如果未提–zone选项则将使用默认区域。–reload更新防火墙规则–version查看版本
1.7 重启firewalld服务
[rootlocalhost ~]# firewalld-cmd --reload
或
[rootlocalhost ~]# systemctl restart firewalld2、通过firewall图形界面配置
2.1 启动图形化界面
通过命令firewalld-config启动图形界面如图2-1所示
[rootlocalhost ~]# firewalld-config图2-1 通过命令启动图形界面 通过菜单启动图形界面应用—杂项—防火墙如图2-2所示 图2-2 通过菜单启动图形界面 2.2 选择配置规则的状态如图2-3所示 图2-3 选择配置规则的状态 注自定义区域、服务只能在“永久”配置下设置
2.3 在区域内的services、ports、interfaces等选项页设置运行的流量如图2-4所示 图2-4 在区域内设置运行的流量 2.4 在服务内的ports、protocols等选项页设置运行的流量如图2-5所示 图2-5 在服务内设置运行的流量 四、配置 firewalld 的富规则
firewalld 中的富规则表示更复杂的防火墙策略配置它可以针对系统服务、端口号、原地址和目标地址等诸多信息进行更有针对性的策略配置优先级在所有的防火墙策略中也是最高的。
1、富规则语法
[rootlocalhost ~]# man firewalld.richlanguage
rule[source][destination] service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port[log][audit][accept|reject|drop|mark]Rule
rule [familyipv4|ipv6]
Source
source [not] addressaddress[/mask]|macmac-address|ipsetipset
Destination
destination [not] addressaddress[/mask]
Service
service nameservice name
Port
port portport value protocoltcp|udp
Protocol
protocol valueprotocol value
Forward-port
forward-port portport value protocoltcp|udp to-portport value to-addraddress
Source-port
source-port portport value protocoltcp|udp
[ accept | reject | drop | mark ]2、富规则相关命令
firewall-cmd 有四个选项用于处理富规则这些选项都能加上--permanent--zoneZONE组合使用如表3-1所示 表3-1 富规则命令及作用说明 参数作用–add-rich-rule‘’在指定的区域添加一条富规则。如果未指定区域则向默认区域中添加–remove-rich-rule‘’在指定的区域删除一条富规则。如果未指定区域则向默认区域中添加–query-rich-rule‘’查询富规则是否已添加到指定区域如果未指定区域则为默认区域。找到规则返回0找不到返回1。–list-rich-rules列出指定区域的所有富规则
3、实例
3.1 在work区域中拒绝172.25.0.11的所有流量
[rootlocalhost ~]# firewall-cmd --zonework --add-rich-rulerule familyipv4 source address172.25.0.11 reject3.2 允许172.25.0.0网段的主机能够访问http服务
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule familyipv4 source address172.25.0.0/24 service namehttp accept3.3 默认public区域对外开放但拒绝172.16.0.0/24网段通过ssh连接
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule familyipv4 source address172.25.0.0/24 service namessh drop3.4 网站禁止ping服务
[rootlocalhost ~]# firewall-cmd --add-rich-rulerule familyipv4 protocol valueicmp drop
//drop和reject区别
reject直接拒绝返回拒绝
drop是丢弃直到超时制作成员 何嘉愉 排版 裕新 初审 杨佳佳 复审 二月二
