|
Rhel7防火墻 Redhat Enterprise Linux7已經(jīng)默認(rèn)使用firewalld作為防火墻,其使用方式已經(jīng)變化�。 基于iptables的防火墻被默認(rèn)不啟動(dòng),但仍然可以繼續(xù)使用�����。 RHEL7中有幾種防火墻共存:firewalld��、iptables�、ebtables等,默認(rèn)使用firewalld作為防火墻��,管理工具是firewall-cmd���。RHEL7的內(nèi)核版本是3.10�,在此版本的內(nèi)核里防火墻的包過濾機(jī)制是firewalld����,使用firewalld來管理netfilter,不過底層調(diào)用的命令仍然是iptables等���。因?yàn)檫@幾種daemon是沖突的,所以建議禁用其他幾種服務(wù) 
例如若要禁用iptables�、ip6tables、ebtables防火墻���,方法如下圖
或
查看這幾種服務(wù)是否正在運(yùn)行
或 
RHEL7雖然有iptables但是不建議使用了���,使用新的firewalld服務(wù)。 查看firewalld軟件包是否安裝 
Firewalld提供了支持網(wǎng)絡(luò)/防火墻區(qū)域(zone)定義網(wǎng)絡(luò)鏈接以及接口安全等級(jí)的防火墻管理工具�����。擁有運(yùn)行時(shí)配置和永久配置選項(xiàng)�����。它也支持允許服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則的接口����。以前的 system-config-firewall防火墻模型是靜態(tài)的,每次修改都要求防火墻完全重啟。這個(gè)過程包括內(nèi)核 netfilter 防火墻模塊的卸載和新配置所需模塊的裝載等��。相反��,firewall daemon 動(dòng)態(tài)管理防火墻��,不需要重啟整個(gè)防火墻便可應(yīng)用更改�。因而也就沒有必要重載所有內(nèi)核防火墻模塊了。
什么是區(qū)域:網(wǎng)絡(luò)區(qū)域定義了網(wǎng)絡(luò)連接的可信等級(jí)����。
數(shù)據(jù)包要進(jìn)入到內(nèi)核必須要通過這些zone中的一個(gè)���,而不同的zone里定義的規(guī)則不一樣(即信任度不一樣�����,過濾的強(qiáng)度也不一樣)�?�?梢愿鶕?jù)網(wǎng)卡所連接的網(wǎng)絡(luò)的安全性來判斷�����,這張網(wǎng)卡的流量到底使用哪個(gè)zone�����,比如上圖來自eth0的流量全部使用zone1的過濾規(guī)則,eth1的流量使用zone2����。一張網(wǎng)卡同時(shí)只能綁定到一個(gè)zone 預(yù)定義的服務(wù):服務(wù)是端口和/或協(xié)議入口的組合。 端口和協(xié)議:定義了 tcp 或 udp 端口�,端口可以是一個(gè)端口或者端口范圍。 ICMP 阻塞:可以選擇 Internet控制報(bào)文協(xié)議的報(bào)文�。這些報(bào)文可以是信息請(qǐng)求亦可是對(duì)信息請(qǐng)求或錯(cuò)誤條件創(chuàng)建的響應(yīng)。 偽裝:私有網(wǎng)絡(luò)地址可以被映射到公開的IP地址����。這是一次正規(guī)的地址轉(zhuǎn)換。 端口轉(zhuǎn)發(fā):端口可以映射到另一個(gè)端口以及/或者其他主機(jī)���。 在進(jìn)行firewalld配置之前��,我想來討論一下區(qū)域(zones)這個(gè)概念�。默認(rèn)情況就有一些有效的區(qū)域����。由firewalld 提供的區(qū)域按照從不信任到信任的順序排序。 ·丟棄區(qū)域(Drop Zone):如果使用丟棄區(qū)域,任何進(jìn)入的數(shù)據(jù)包將被丟棄���。這個(gè)類似與我們之前使用iptables -j drop�。使用丟棄規(guī)則意味著將不存在響應(yīng)��。 ·阻塞區(qū)域(Block Zone):阻塞區(qū)域會(huì)拒絕進(jìn)入的網(wǎng)絡(luò)連接���,返回icmp-host-prohibited����,只有服務(wù)器已經(jīng)建立的連接會(huì)被通過即只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接���。 ·公共區(qū)域(Public Zone):只接受那些被選中的連接,默認(rèn)只允許 ssh 和dhcpv6-client�。這個(gè) zone 是缺省 zone ·外部區(qū)域(External Zone):這個(gè)區(qū)域相當(dāng)于路由器的啟用偽裝(masquerading)選項(xiàng)。只有指定的連接會(huì)被接受���,即ssh�,而其它的連接將被丟棄或者不被接受��。 ·隔離區(qū)域(DMZ Zone):如果想要只允許給部分服務(wù)能被外部訪問�����,可以在DMZ區(qū)域中定義。它也擁有只通過被選中連接的特性�,即ssh。 ·工作區(qū)域(Work Zone):在這個(gè)區(qū)域��,我們只能定義內(nèi)部網(wǎng)絡(luò)�。比如私有網(wǎng)絡(luò)通信才被允許,只允許ssh�����,ipp-client和 dhcpv6-client�����。 ·家庭區(qū)域(Home Zone):這個(gè)區(qū)域?qū)iT用于家庭環(huán)境���。它同樣只允許被選中的連接�����,即ssh�,ipp-client����,mdns����,samba-client和 dhcpv6-client���。 ·內(nèi)部區(qū)域(Internal Zone):這個(gè)區(qū)域和工作區(qū)域(Work Zone)類似���,只有通過被選中的連接,和home區(qū)域一樣��。 ·信任區(qū)域(Trusted Zone):信任區(qū)域允許所有網(wǎng)絡(luò)通信通過��。記?����。阂?yàn)?/span>trusted是最被信任的��,即使沒有設(shè)置任何的服務(wù)���,那么也是被允許的,因?yàn)?/span>trusted是允許所有連接的 以上是系統(tǒng)定義的所有的 zone���,但是這些 zone 并不是都在使用�����。只有活躍的zone 才有實(shí)際操作意義����。 Firewalld的原則: 如果一個(gè)客戶端訪問服務(wù)器,服務(wù)器根據(jù)以下原則決定使用哪個(gè) zone 的策略去匹配 1.如果一個(gè)客戶端數(shù)據(jù)包的源 IP 地址匹配 zone 的 sources�,那么該 zone 的規(guī)則就適 用這個(gè)客戶端;一個(gè)源只能屬于一個(gè)zone���,不能同時(shí)屬于多個(gè)zone�����。 2.如果一個(gè)客戶端數(shù)據(jù)包進(jìn)入服務(wù)器的某一個(gè)接口(如eth0)區(qū)配zone的interfaces�, 則么該 zone 的規(guī)則就適用這個(gè)客戶端�����;一個(gè)接口只能屬于一個(gè)zone�����,不能同時(shí)屬于多個(gè)zone。 3.如果上述兩個(gè)原則都不滿足���,那么缺省的zone 將被應(yīng)用 你可以使用任何一種 firewalld 配置工具來配置或者增加區(qū)域�����,以及修改配置�。工具有例如firewall-config 這樣的圖形界面工具���, firewall-cmd 這樣的命令行工具����,或者你也可以在配置文件目錄中創(chuàng)建或者拷貝區(qū)域文件�����,/usr/lib/firewalld/zones 被用于默認(rèn)和備用配置����,/etc/firewalld/zones被用于用戶創(chuàng)建和自定義配置文件。 命令行工具firewall-cmd支持全部防火墻特性�,基本應(yīng)用如下: 一般應(yīng)用: 1��、 獲取firewalld狀態(tài) 
2、在不改變狀態(tài)的條件下重新加載防火墻:
如果你使用--complete-reload�����,狀態(tài)信息將會(huì)丟失�。 3、獲取支持的區(qū)域列表 
這條命令輸出用空格分隔的列表 4�����、獲取所有支持的服務(wù)
這條命令輸出用空格分隔的列表�����。 服務(wù)是firewalld所使用的有關(guān)端口和選項(xiàng)的規(guī)則集合����。被啟動(dòng)的服務(wù)會(huì)在firewalld服務(wù)開啟或者運(yùn)行時(shí)自動(dòng)加載。默認(rèn)情況下�����,很多服務(wù)是有效的���。使用下面命令可列出有效的服務(wù)���。 想要列出默認(rèn)有效的服務(wù)��,也可以進(jìn)入下面的目錄也能夠取得��。 # cd /usr/lib/firewalld/services/
想要?jiǎng)?chuàng)建自己的服務(wù)��,需要在下面的目錄下定義它���。比如,現(xiàn)在我想添加一個(gè)rhmp服務(wù)�,端口號(hào)1935。首先����,任選一個(gè)服務(wù)復(fù)制過來。
接下來把復(fù)制過來的文件重命名為“rtmp.xml”
接下來打開并編輯文件的頭部�����、描述����、協(xié)議和端口號(hào),以供RTMP服務(wù)使用,如下圖所示���。
重啟firewalld服務(wù)或者重新加載設(shè)置,以激活這些設(shè)置����。 # firewall-cmd --reload 為確認(rèn)服務(wù)是否已經(jīng)啟動(dòng),運(yùn)行下面的命令獲取有效的服務(wù)列表�。 # firewall-cmd --get-services
5、獲取所有支持的ICMP類型
這條命令輸出用空格分隔的列表���。 6�����、列出全部啟用的區(qū)域的特性(即查詢當(dāng)前防火墻策略) 解釋:特性可以是定義的防火墻策略�,如:服務(wù)����、端口和協(xié)議的組合、端口/數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)�����、偽裝、ICMP 攔截或自定義規(guī)則等
上面的命令將會(huì)列出每種區(qū)域如block�、dmz、drop�����、external��、home����、internal、public����、trusted以及work。如果區(qū)域還有其它詳細(xì)規(guī)則(rich-rules)����、啟用的服務(wù)或者端口,這些區(qū)域信息也會(huì)分別被羅列出來 7�����、輸出區(qū)域全部啟用的特性�。如果省略區(qū)域�,將顯示默認(rèn)區(qū)域的信息����。 firewall-cmd [--zone=] --list-all
輸出指定區(qū)域啟動(dòng)的特性
8、查看默認(rèn)區(qū)域
public區(qū)域是默認(rèn)區(qū)域�����。 在文件/etc/firewalld/firewalld.conf中定義成DefaultZone=public�����。 9��、設(shè)置默認(rèn)區(qū)域 firewall-cmd --set-default-zone=區(qū)域名
流入默認(rèn)區(qū)域中配置的接口的新訪問請(qǐng)求將被置入新的默認(rèn)區(qū)域�����。當(dāng)前活動(dòng)的連接將不受影響�����。 10��、獲取活動(dòng)的區(qū)域
這條命令將用以下格式輸出每個(gè)區(qū)域所含接口: 區(qū)域名 interfaces : 接口名 11����、根據(jù)接口獲取區(qū)域即需要查看哪個(gè)區(qū)域和這個(gè)接口綁定即查看某個(gè)接口是屬于哪個(gè)zone的: firewall-cmd --get-zone-of-interface=接口名
這條命令將輸出接口所屬的區(qū)域名稱。 12�����、將接口(網(wǎng)卡)增加到區(qū)域 firewall-cmd [--zone=] --add-interface=接口名
如果接口不屬于區(qū)域��,接口將被增加到區(qū)域���。如果區(qū)域被省略了����,將使用默認(rèn)區(qū)域���。接口在重新加載后將重新應(yīng)用�����。 13�����、修改接口所屬區(qū)域 firewall-cmd [--zone=] --change-interface=接口名
這個(gè)選項(xiàng)與--add-interface 選項(xiàng)相似��,但是當(dāng)接口已經(jīng)存在于另一個(gè)區(qū)域的時(shí)候��,該接口將被添加到新的區(qū)域��。 14���、從區(qū)域中刪除一個(gè)接口 firewall-cmd [--zone=] --remove-interface=接口名
注:如果某個(gè)接口不屬于任何Zone���,那么這個(gè)接口的所有數(shù)據(jù)包使用默認(rèn)的Zone的規(guī)則 15、查詢區(qū)域中是否包含某接口 firewall-cmd [--zone=] --query-interface=接口名
如果區(qū)域被省略了�,將使用默認(rèn)區(qū)域 16�、列舉區(qū)域中啟用的服務(wù) firewall-cmd [ --zone= ] --list-services
如果區(qū)域被省略了,將使用默認(rèn)區(qū)域 查看home區(qū)域中啟用服務(wù)
17���、啟用應(yīng)急模式阻斷所有網(wǎng)絡(luò)連接����,以防出現(xiàn)緊急狀況
18��、禁用應(yīng)急模式 firewall-cmd --panic-off 19��、查詢應(yīng)急模式 firewall-cmd --query-panic 其他相關(guān)的配置項(xiàng)可以查看firewall-cmd的手冊(cè)頁:#man firewall-cmd 處理運(yùn)行時(shí)區(qū)域: 運(yùn)行時(shí)模式下對(duì)區(qū)域進(jìn)行的修改不是永久有效的���。重新加載或者重啟后修改將失效����。 1、啟用區(qū)域中的一種服務(wù)即給某個(gè)區(qū)域開啟某個(gè)服務(wù) firewall-cmd [--zone=區(qū)域] --add-service=服務(wù) [--timeout=秒數(shù)] 此操作啟用區(qū)域中的一種服務(wù)��。如果未指定區(qū)域�,將使用默認(rèn)區(qū)域。如果設(shè)定了超時(shí)時(shí)間��,服務(wù)將只啟用特定秒數(shù)���。
使區(qū)域中的ipp-client 服務(wù)生效60秒: 啟用默認(rèn)區(qū)域中的http服務(wù):firewall-cmd--add-service=http 2����、禁用區(qū)域中的某種服務(wù)即關(guān)閉某個(gè)服務(wù) firewall-cmd [--zone=區(qū)域] --remove-service=服務(wù) 此舉禁用區(qū)域中的某種服務(wù)�。如果未指定區(qū)域,將使用默認(rèn)區(qū)域���。 例:禁止默認(rèn)區(qū)域中的 http 服務(wù):
3�、查詢區(qū)域中是否啟用了特定服務(wù) firewall-cmd [--zone=區(qū)域] --query-service=服務(wù)
Yes表示服務(wù)啟用��,no表示服務(wù)關(guān)掉了�。 4�、啟用區(qū)域端口和協(xié)議組合 firewall-cmd [--zone=區(qū)域] --add-port=portid[-portid]/protocol[--timeout=seconds] 此操作將啟用端口和協(xié)議的組合�����。端口可以是一個(gè)單獨(dú)的端口或者是一個(gè)端口范圍 - ��。協(xié)議可以是tcp或udp�����。
5�、禁用端口和協(xié)議組合 firewall-cmd [--zone=區(qū)域] --remove-port=portid[-portid]/protocol
6、查詢區(qū)域中是否啟用了端口和協(xié)議組合 firewall-cmd [--zone=區(qū)域] --query-port=portid[-portid]/protocol
7�����、啟用區(qū)域中的 IP 偽裝功能 firewall-cmd [--zone=區(qū)域]--add-masquerade 此操作啟用區(qū)域的偽裝功能���。私有網(wǎng)絡(luò)的地址將被隱藏并映射到一個(gè)公有IP。這是地址轉(zhuǎn)換的一種形式����,常用于路由。由于內(nèi)核的限制����,偽裝功能僅可用于IPv4���。 8、禁用區(qū)域中的 IP 偽裝 firewall-cmd [--zone=區(qū)域]--remove-masquerade 9�����、查詢區(qū)域的偽裝狀態(tài) firewall-cmd [--zone=區(qū)域]--query-masquerade 注意:啟用偽裝功能的主機(jī)同時(shí)也需要開啟轉(zhuǎn)發(fā)服務(wù): #echo 1 > /proc/sys/net/ipv4/ip_forward 或 #vi /etc/sysctl.conf 添加如下內(nèi)容 net.ipv4.ip_forward = 1 保存退出并執(zhí)行#sysctl -p使修改生效 10���、啟用區(qū)域的 ICMP 阻塞功能 firewall-cmd [--zone=區(qū)域] --add-icmp-block=icmp類型
此操作將啟用選中的 Internet 控制報(bào)文協(xié)議(ICMP)報(bào)文進(jìn)行阻塞�����。 ICMP報(bào)文可以是請(qǐng)求信息或者創(chuàng)建的應(yīng)答報(bào)文���,以及錯(cuò)誤應(yīng)答。 11�����、禁止區(qū)域的 ICMP 阻塞功能 firewall-cmd [--zone=區(qū)域] --remove-icmp-block=icmp類型 12�、查詢區(qū)域的 ICMP 阻塞功能 firewall-cmd [--zone=區(qū)域] --query-icmp-block=icmp類型 13、在區(qū)域中啟用端口轉(zhuǎn)發(fā)或映射 firewall-cmd [--zone=區(qū)域] --add-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][ :toaddr=address [/mask]] 端口可以映射到另一臺(tái)主機(jī)的同一端口�,也可以是同一主機(jī)或另一主機(jī)的不同端口��。端口號(hào)可以是一個(gè)單獨(dú)的端口或者是端口范圍 - ���。協(xié)議可以為tcp或udp。目標(biāo)端口可以是端口號(hào)或者是端口范圍 - ����。目標(biāo)地址可以是 IPv4地址。受內(nèi)核限制�����,端口轉(zhuǎn)發(fā)功能僅可用于IPv4�。 意思是凡是來從external進(jìn)來的22端口的數(shù)據(jù)包全部轉(zhuǎn)發(fā)到211.106.65.50 firewall-cmd --zone=external--add-forward-port=port=22:proto=tcp:toaddr=211.106.65.50 14、禁止區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射 firewall-cmd [--zone=]--remove-forward-port=port=portid[-portid]:proto=protocol[ :toport=portid[-portid]][:toaddr=address [/mask]] 15�、查詢區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射 firewall-cmd [--zone=]--query-forward-port=port=portid[-portid]:proto=protocol[:toport=portid[-portid]][ :toaddr=address [/mask]] 處理永久區(qū)域: 永久選項(xiàng)不直接影響運(yùn)行時(shí)的狀態(tài)。這些選項(xiàng)僅在重載或者重啟服務(wù)時(shí)可用�。為了使用運(yùn)行時(shí)和永久設(shè)置,需要分別設(shè)置兩者��。選項(xiàng)--permanent需要是永久設(shè)置的第一個(gè)參數(shù)���。 1、獲取永久選項(xiàng)所支持的服務(wù) firewall-cmd --permanent --get-services 2��、獲取永久選項(xiàng)所支持的ICMP類型列表 firewall-cmd --permanent --get-icmptypes 3、獲取支持的永久區(qū)域 firewall-cmd --permanent --get-zones 4��、配置防火墻在public區(qū)域打開http協(xié)議���,并保存����,以致重啟有效 firewall-cmd --permanent --zone=public --add-service=http 查看永久模式下public區(qū)域是否打開http服務(wù)�����。 firewall-cmd --permanent --zone=public --query-service=http 5�����、防火墻開放8080端口在public區(qū)域 firewall-cmd --permanent--zone=public --add-port=8080/tcp 6�、命令行配置富規(guī)則: 查看富規(guī)則:# firewall-cmd --list-rich-rules 創(chuàng)建富規(guī)則: firewall-cmd --add-rich-rule 'rule family=ipv4 sourceaddress=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent firewall-cmd --add-rich-rule 'rule family=ipv4 sourceaddress=10.35.89.0/24 port port=80 protocol=tcp log prefix="80" level=info accept'--permanent firewall-cmd --add-rich-rule rule family="ipv4" sourceaddress="192.168.10.30" forward-port port="808"protocol="tcp" to-port="80" to-addr="10.10.10.2" 富規(guī)則中使用偽裝功能可以更精確詳細(xì)的限制: firewall-cmd--add-rich-rule 'rule family=ipv4 source address=10.10.10.2/24 masquerade' 僅允許部分IP訪問本機(jī)服務(wù)配置 firewall-cmd --permanent--zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.0/24"service name="http" accept" 禁止遠(yuǎn)程IP訪問ssh firewall-cmd --permanent--zone=public --add-rich-rule=’rule family=ipv4 source address=192.168.0.0/24service name=ssh reject’ 7、刪除rich規(guī)則 firewall-cmd --permanent--zone=public --remove-rich-rule=’rule family=ipv4 source address=192.168.0.0/24service name=ssh reject’ 8����、僅允許部分IP訪問本機(jī)端口配置 firewall-cmd --permanent--zone=public --add-rich-rule="rule family="ipv4" sourceaddress="192.168.0.0/24"port protocol="tcp"port="8080" accept" 9、創(chuàng)建rich規(guī)則����,可以指定日志的前綴和輸出級(jí)別 firewall-cmd --permanent--zone=public --add-rich-rule="rule family="ipv4" sourceaddress="192.168.0.4/24"port port=8080 protocol="tcp" logprefix=proxy level=warning accept" 可以通過查看/var/log/messages日志文件 10��、端口轉(zhuǎn)發(fā)���。實(shí)驗(yàn)環(huán)境下,desktop訪問server的5423端口�,將訪問server的80端口。 Server上的操作:(172.25.0.10是desktop的IP地址)
11�����、172.25.1.0/24網(wǎng)段內(nèi)的客戶端不能訪問主機(jī)的SSH
12���、也可通過配置以下XML文件�,進(jìn)行對(duì)防火墻的配置修改 #cat/etc/firewalld/zones/public.xml <?xmlversion="1.0" encoding="utf-8"?> <zone> <short>Public</short> <description>Foruse in public areas. You do not trust the other computers on networks to notharm your computer. Only selected incoming connections areaccepted.</description> <servicename="dhcpv6-client"/> <servicename="ssh"/> <rulefamily="ipv4"> <sourceaddress="192.168.0.4/24"/> <servicename="http"/> <accept/> </rule> </zone> 總結(jié) netfilter 防火墻總是容易受到規(guī)則順序的影響�,因?yàn)橐粭l規(guī)則在鏈中沒有固定的位置。在一條規(guī)則之前添加或者刪除規(guī)則都會(huì)改變此規(guī)則的位置��。在靜態(tài)防火墻模型中���,改變防火墻就是重建一個(gè)干凈和完善的防火墻設(shè)置����,默認(rèn)鏈通常也沒有安全的方式添加或刪除規(guī)則而不影響其他規(guī)則����。 動(dòng)態(tài)防火墻有附加的防火墻功能鏈。這些特殊的鏈按照已定義的順序進(jìn)行調(diào)用����,因而向鏈中添加規(guī)則將不會(huì)干擾先前調(diào)用的拒絕和丟棄規(guī)則。從而利于創(chuàng)建更為合理完善的防火墻配置��。 下面是一些由守護(hù)進(jìn)程創(chuàng)建的規(guī)則�,過濾列表中啟用了在公共區(qū)域?qū)?/span> ssh , mdns和 ipp-client 的支持:
總結(jié): 圖形化配置工具 firewall daemon 主要的配置工具是firewall-config。它支持防火墻的所有特性����。管理員也可以用它來改變系統(tǒng)或用戶策略。 命令行客戶端 firewall-cmd是命令行下提供大部分圖形工具配置特性的工具����。 附錄:要想了解更多firewall防火墻更多知識(shí)可以查看firewall的相關(guān)手冊(cè)頁,下圖所顯示的就是firewall防火墻的相關(guān)手冊(cè)頁:
若要查看rich-rule手冊(cè)頁
例如:允許icmp協(xié)議的數(shù)據(jù)包通信
|
