Firewalld

爲保證實驗環境，重置虛擬機！！！！

 

 Firewalld概述

    動態防火牆後臺程序 firewalld 提供了一個 動態管理的防火牆,用以支持網絡 “zones” ,以分配對一個網絡及其相關鏈接和界面一定程度的信任。它具備對 IP v4 和 IP v6 防火牆設置的支持。它支持以太網橋,並有分離運行時間和永久性配置選擇。它還具備一個通向服務或者應用程序以直接增加防火牆規則的接口。

    系統提供了圖像化的配置工具firewall-config、system-config-firewall, 提供命令行客戶端firewall-cmd, 用於配置 firewalld永久性或非永久性運行時間的改變:它依次用 iptables工具與執行數據包篩選的內核中的 Netfilter通信。

 

firewalld和iptables service 之間最本質的不同是:

iptables service 在 /etc/sysconfig/iptables 中儲存配置,而 firewalld將配置儲存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各種XML文件裏.

使用 iptables service每一個單獨更改意味着清除所有舊有的規則和從/etc/sysconfig/iptables裏讀取所有新的規則,然而使用 firewalld卻不會再創建任何新的規則;僅僅運行規則中的不同之處。因此,firewalld可以在運行時間內,改變設置而不丟失現行連接。

 

iptables通過控制端口來控制服務，而firewalld則是通過控制協議來控制端口

 

 

使用命令進行接口配置防火牆

查看firewalld的狀態:

# firewall-cmd --state

查看當前活動的區域,並附帶一個目前分配給它們的接口列表:

[root@localhost ~]# firewall-cmd --state

running

 

# firewall-cmd --get-active-zones

查看默認區域:

[root@localhost ~]# firewall-cmd --get-active-zones

ROL

  sources: 172.25.0.252/32

public

  interfaces: eth0

 

# firewall-cmd --get-default-zone

查看所有可用區域:

[root@localhost ~]# firewall-cmd --get-default-zone

public

 

# firewall-cmd --get-zones

列出指定域的所有設置:

[root@localhost ~]# firewall-cmd --get-zones

ROL block dmz drop external home internal public trusted work

 

# firewall-cmd --zone=public --list-all

列出所有預設服務:

[root@localhost ~]# firewall-cmd --zone=public --list-all

public (default, active)

  interfaces: eth0

  sources:

  services: dhcpv6-client ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

# firewall-cmd --get-services

(這樣將列出 /usr/lib/firewalld/services/ 中的服務器名稱。注意:配置文件是以服務本身命名的service-name. xml)

[root@localhost ~]# firewall-cmd --get-services

amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp open*** pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

 

列出所有區域的設置:

# firewall-cmd --list-all-zones

 

設置默認區域:

# firewall-cmd --set-default-zone=dmz

 

設置網絡地址到指定的區域:

# firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24

(--permanent參數表示永久生效設置,如果沒有指定--zone參數,那麼會加入默認區域)

 

刪除指定區域中的網路地址:

# firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24

 

添加、改變、刪除網絡接口:

# firewall-cmd --permanent --zone=internal --add-interface=eth0

# firewall-cmd --permanent --zone=internal --change-interface=eth0

# firewall-cmd --permanent --zone=internal --remove-interface=eth0

 

添加、刪除服務:

# firewall-cmd --permanent --zone=public --add-service=smtp

# firewall-cmd --permanent --zone=public --remove-service=smtp

 

列出、添加、刪除端口:

# firewall-cmd --zone=public --list-ports

# firewall-cmd --permanent --zone=public --add-port=8080/tcp

# firewall-cmd --permanent --zone=public --remove-port=8080/tcp

 

重載防火牆:

# firewall-cmd --reload

(注意:這並不會中斷已經建立的連接,如果打算中斷,可以使用 --complete-reload選項）

 

firewalld的規則被保存在/etc/firewalld目錄下的文件中,你也可以直接編輯這些文件達到配防火牆的目的。/usr/lib/firewalld目錄下的內容是不可以被編輯的,但可以用做默認模板。

 

所有工作做完之後一定要重啓服務！！！！！

 

systemctl restart firewalld.service

 

 

添加規則:

 

# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept'

允許172.25.0.10主機所有連接。

 

# firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'

每分鐘允許2個新連接訪問ftp服務。

 

# firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'

同意新的 IP v4 和 IP v6 連接 FT P ,並使用審覈每分鐘登錄一次。

 

# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24"

service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'

允許來自172.25.0.0/24地址的新 IPv4連接連接TFTP服務,並且每分鐘記錄一次。

 

# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'

丟棄所有icmp包

 

# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 reject' --

timeout=10

當使用source和destination指定地址時,必須有family參數指定ipv4或ipv6。如果指定超時,

規則將在指定的秒數內被激活,並在之後被自動移除。

 

# firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service

name="dns" audit limit value="1/h" reject' --timeout=300

拒絕所有來自2001:db8::/64子網的主機訪問dns服務,並且每小時只審覈記錄1次日誌。

 

# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source

address=172.25.0.0/24 service name=ftp accept'

允許172.25.0.0/24網段中的主機訪問ftp服務

 

# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port

to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"'

轉發來自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012

 

 

 

 

 

 

 

僞裝:

# firewall-cmd --permanent --zone=< ZONE > --add-masquerade##打開端口

# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source

addres=172.25.0.0/24 masquerade'

 

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.13.11" masquerade'

success

 

端口轉發:

# firewall-cmd --permanent --zone=< ZONE > --add-forward-port=

port=80:proto=tcp:toport=8080:toaddr=172.25.0.10

 

[root@localhost ~]#  firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.13.11

success

 

 

 

# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source

address=172.25.0.0/24 forward-port port=80 protocol=tcp to-port=8080'

 

 

 

[root@localhost ~]# firewall-cmd --list-all

public (default, active)

  interfaces: eth0 eth1

  sources:

  services: dhcpv6-client ssh

  ports:

  masquerade: yes

  forward-ports: port=22:proto=tcp:toport=22:toaddr=172.25.13.11

  icmp-blocks:

  rich rules:

rule family="ipv4" source address="172.25.13.11" masquerade

[root@localhost ~]#

 

 

 

 

檢測：

[kiosk@foundation13 Desktop]$ ssh [email protected]       ##連接22端口時，連接113主機，但其實連接的是13.11主機

The authenticity of host '172.25.254.113 (172.25.254.113)' can't be established.

ECDSA key fingerprint is eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '172.25.254.113' (ECDSA) to the list of known hosts.

[email protected]'s password:

Last login: Sat Jun  3 01:10:53 2017 from 172.25.13.10

[root@server ~]# ifconfig

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

        inet 172.25.13.11  netmask 255.255.255.0  broadcast 172.25.13.255

        inet6 fe80::5054:ff:fe40:cd1  prefixlen 64  scopeid 0x20<link>

        ether 52:54:00:40:0c:d1  txqueuelen 1000  (Ethernet)

        RX packets 9325  bytes 608510 (594.2 KiB)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 140  bytes 21901 (21.3 KiB)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

 

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536

        inet 127.0.0.1  netmask 255.0.0.0

        inet6 ::1  prefixlen 128  scopeid 0x10<host>

        loop  txqueuelen 0  (Local Loopback)

        RX packets 928  bytes 76836 (75.0 KiB)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 928  bytes 76836 (75.0 KiB)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0