淺談linux防火牆之Firewalld服務
1️⃣ Firewalld服務簡介
▶1 基本介紹
- firewalld是CentOS 7.0新推出的管理netfilter的工具
- firewalld是配置和監控防火牆規則的系統守護進程,可以實現iptables,ip6tables,ebtables的功能
- firewalld服務由firewalld包提供
▶2 ZONE:區域
- firewalld支持劃分區域zone,每個zone可以設置獨立的防火牆規則
- 歸入zone順序:
- 先根據數據包中源地址,將其納爲某個zone
- 納爲網絡接口所屬zone
- 納入默認zone,默認爲public zone,管理員可以改爲其它zone
- 網卡默認屬於public zone,lo網絡接口屬於trusted zone
- Firewalld zone分類
| zone名稱 | 默認配置 |
|---|---|
| trusted | 允許所有流量 |
| home | 拒絕除和傳出流量相關的,以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client預定義服務之外其它所有傳入流量 |
| internal | 和home相同 |
| work | 拒絕除和傳出流量相關的,以及ssh,ipp-client,dhcpv6-client預定義服務之外的其它所有傳入流量 |
| public | 拒絕除和傳出流量相關的,以及ssh,dhcpv6-client預定義服務之外的其它所有傳入流量,新加的網卡默認屬於publiczone |
| external | 拒絕除和傳出流量相關的,以及ssh預定義服務之外的其它所有傳入流量,屬於external zone的傳出ipv4流量的源地址將被僞裝爲傳出網卡的地址。 |
| dmz | 拒絕除和傳出流量相關的,以及ssh預定義服務之外的其它所有傳入流量 |
| block | 拒絕除和傳出流量相關的所有傳入流量 |
| drop | 拒絕除和傳出流量相關的所有傳入流量(甚至不以ICMP錯誤進行迴應) |
- 預定義服務,下表只是列出幾個例子,Firewalld預定義的服務太多了
| 服務名稱 | 配置 |
|---|---|
| ssh | Local SSH server. Traffic to 22/tcp |
| dhcpv6-client | Local DHCPv6 client. Traffic to 546/udp on the fe80::/64 IPv6 network |
| ipp-client | Local IPP printing. Traffic to 631/udp. |
| samba-client | Local Windows file and print sharing client. Traffic to 137/udp and 138/udp. |
| mdns | Multicast DNS (mDNS) local-link name resolution. Traffic to 5353/udp to the 224.0.0.251 (IPv4) or ff02::fb (IPv6) multicast addresses. |
2️⃣ Firewalld服務配置
▶1 Firewalld預定義服務配置
firewall-cmd --get-services查看預定義服務列表/usr/lib/firewalld/services/*.xml預定義服務的配置
▶2 Firewalld 三種配置方法
- firewall-config (firewall-config包)圖形工具
- firewall-cmd (firewalld包)命令行工具
- /etc/firewalld 配置文件,一般不建議
▶3 Firewall-cmd 命令選項
- 格式:
Usage: firewall-cmd [OPTIONS...] - 常見選項參數
--get-zones 列出所有可用區域
--get-default-zone 查詢默認區域
--set-default-zone= 設置默認區域
--get-active-zones 列出當前正使用的區域
--add-source=[--zone=] 添加源地址的流量到指定區域,如果無--zone= 選項,使用默認區域
--remove-source= [--zone=] 從指定區域刪除源地址的流量,如無--zone= 選項,使用默認區域
--add-interface=[--zone=] 添加來自於指定接口的流量到特定區域,如果無--zone= 選項,使用默認區
域
--change-interface=[--zone=] 改變指定接口至新的區域,如果無--zone= 選項,使用默認區域
--add-service= [--zone=] 允許服務的流量通過,如果無--zone= 選項,使用默認區域
--add-port=<PORT/PROTOCOL>[--zone=] 允許指定端口和協議的流量,如果無--zone= 選項,使用默
認區域
--remove-service= [--zone=] 從區域中刪除指定服務,禁止該服務流量,如果無--zone= 選項,使用默
認區域
--remove-port=<PORT/PROTOCOL>[--zone=] 從區域中刪除指定端口和協議,禁止該端口的流量,如
果無--zone= 選項,使用默認區域
--reload 刪除當前運行時配置,應用加載永久配置
--list-services 查看開放的服務
--list-ports 查看開放的端口
--list-all [--zone=] 列出指定區域的所有配置信息,包括接口,源地址,端口,服務等,如果無--zone=
選項,使用默認區域
- 示例
/ 查看默認zone
[root@Centos7 ~]# firewall-cmd --get-default-zone
public
/ 設置默認zone問dmz
[root@Centos7 ~]# firewall-cmd --set-default-zone=dmz
success
[root@Centos7 ~]# firewall-cmd --get-default-zone
dmz
/ 在internal zone中增加源地址192.168.0.0/24的永久規則
[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24
success
/ 在internal zone中增加協議mysql的永久規則
[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-service=mysql
success
/ 加載新增規則生效
[root@Centos7 ~]# firewall-cmd --reload
success
/ 查看前面兩個設置的規則
[root@Centos7 ~]# firewall-cmd --list-all --zone=internal
internal (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 192.168.0.0/24
services: dhcpv6-client mdns mysql samba-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
3️⃣ rich規則
- 當基本firewalld語法規則不能滿足要求時,可以使用以下更復雜的規則
- rich-rules:富規則,功能強,表達性語言
- direct configuration rules:直接規則,靈活性差
- 幫助:man 5 firewalld.direct
▶1 rich規則簡介
- rich規則比基本的firewalld語法實現更強的功能,不僅實現允許/拒絕,還可以實現日誌syslog和auditd,也可以實現端口轉發,僞裝和限制速率
- rich語法
rule [source] [destination] service|port|protocol|icmp-block|masquerade|forward-port [log] [audit] [accept|reject|drop] man 5 firewalld.richlanguage
▶2 rich規則實施順序:
- 該區域的端口轉發,僞裝規則
- 該區域的日誌規則
- 該區域的允許規則
- 該區域的拒絕規則
- 每個匹配的規則生效,所有規則都不匹配,該區域默認規則生效
▶3 rich規則選項
--add-rich-rule='<RULE>'
添加rich規則至指定zone,若未指明zone則爲默認zone--remove-rich-rule='<RULE>'
從指定zone刪除rich規則,若未指明zone則爲默認zone--query-rich-rule='<RULE>'
查詢指定zone中是否有RULE規則,若未指定zone則爲默認zone
返回值0代表存在,返回值1代表不存在--list-rich-rules
列出指定zone的所有rich規則,若未指定zone則爲默認zone- 示例:
/ 拒絕從192.168.0.11的所有流量,當address 選項使用source 或 destination時,必須用family= ipv4|ipv6
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
/ 限制每分鐘只有兩個連接到ftp服務,下面命令省略指定zone區域,所以是給默認zone添加規則
firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
/ 拋棄esp( IPsec 體系中的一種主要協議)協議的所有數據包
firewall-cmd --add-rich-rule='rule protocol value=esp drop'
/ 接受所有192.168.1.0/24子網端口5900-5905範圍的TCP流量,
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=5900-5905 protocol=tcp accept'
/ 查看所有添加的rich-rules
[root@Centos7 ~]# firewall-cmd --list-rich-rules
You're performing an operation over default zone ('public'),
but your connections/interfaces are in zone 'internal' (see --get-active-zones)
You most likely need to use --zone=internal option.
rule service name="ftp" accept limit value="2/m"
rule protocol value="esp" drop
▶4 rich日誌規則
-
log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limit value="<RATE/DURATION>"] -
<LOGLEVEL>
可以是emerg, alert, crit, error, warning, notice, info, debug -
<DURATION>
s:秒,m:分鐘,h:小時,d:天 -
audit [limit value="<RATE/DURATION>"] -
示例
#接受ssh新連接,記錄日誌到syslog的notice級別,每分鐘最多三條信息
firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh"
log prefix="ssh " level="notice" limit value="3/m" accept
#從2001:db8::/64子網的DNS連接在5分鐘內被拒絕,並記錄到日誌到audit,每小時最大記錄一條信息
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"
service name="dns" audit limit value="1/h" reject' --timeout=300
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source \
address=172.25.X.10/32 service name="http" log level=notice prefix="NEW HTTP " limit value="3/s" accept'
firewall-cmd --reload
tail -f /var/log/messages
curl http://serverX.example.com
▶5 僞造和端口轉發
-
NAT網絡地址轉換,firewalld支持僞造和端口轉發兩種NAT方式
-
僞造NAT
- 格式:
firewall-cmd --zone=<ZONE> --add-masquerade
firewall-cmd --permanent --zone=<ZONE> --add-masquerade firewall-cmd --query-masquerade #檢查是否允許僞裝 firewall-cmd --add-masquerade #允許防火牆僞裝IP firewall-cmd --remove-masquerade #禁止防火牆僞裝IP- 示例:將來自192.168.0.0/24網段的IP僞造爲外網動態IP
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'
- 格式:
-
端口轉發:將發往本機的特定端口的流量轉發到本機或不同機器的另一個端口。通常要配合地址僞造才能實現
- 格式:
firewall-cmd --zone=<ZONE> --add-forward-port=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>] - 說明:toport=和toaddr=至少要指定一個
- 示例
轉發傳入的連接9527/TCP,到防火牆的80/TCP到public zone 的192.168.0.254 firewall-cmd --add-masquerade 啓用僞裝 firewall-cmd --zone=public --add-forwardport= port=9527:proto=tcp:toport=80:toaddr=192.168.0.254 - 格式:
-
rich規則語法:
- 格式:
forward-port port=<PORTNUM> protocol=tcp|udp [to-port=<PORTNUM>] [to-addr=<ADDRESS>] - 示例
/ 轉發從192.168.0.0/24來的,發往80/TCP的流量到防火牆的端口8080/TCP firewall-cmd --zone=work --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 forward-port port=80 protocol=tcp to-port=8080' - 格式: