防火墻 之 firewalld介紹
1 概述
firewalld是CentOS 7.0新推出的管理netfilter的工具,firewalld是配置和監控防火墻規則的系統守護進程。可以實現iptables,ip6tables,ebtables的功能
本文將結合實例介紹firewalld的功能和配置
2 配置和實例
.firewalld服務由firewalld包提供
.firewalld支持劃分區域zone,每個zone可以設置獨立的防火墻規則
.歸入zone順序:
.先根據數據包中源地址,將其納為某個zone
.納為網絡接口所屬zone
.納入默認zone,默認為public zone,管理員可以改為其它
.網卡默認屬於public zone,lo網絡接口屬於trusted zone
firewalldzone分類
預定義服務
2.1 firewalld配置
.firewall-cmd --get-services 查看預定義服務列表
./usr/lib/firewalld/services/*.xml預定義服務的配置
.三種配置方法
.firewall-config (firewall-config包)圖形工具
.firewall-cmd (firewalld包)命令行工具
.修改/etc/firewalld配置文件,一般不建議
2.2 firewall-cmd 命令選項
.--get-zones列出所有可用區域
.--get-default-zone查詢默認區域
.--set-default-zone=<ZONE>設置默認區域
.--get-active-zones
.--add-source=<CIDR>[--zone=<ZONE>]添加源地址的流量到指定區域,如果無--zone= 選項,使用默認區域
.--remove-source=<CIDR> [--zone=<ZONE>]從指定區域中刪除源地址的流量,如果無--zone= 選項,使用默認區域
.--add-interface=<INTERFACE>[--zone=<ZONE>]添加來自於指定接口的流量到特定區域,如果無--zone= 選項,使用默認區域
.--change-interface=<INTERFACE>[--zone=<ZONE>]改變指定接口至新的區域,如果無--zone= 選項,使用默認區域
.--list-all [--zone=<ZONE>]列出指定區域的所有配置信息,包括接口,源地址,端口,服務等,如果無--zone= 選項,使用默認區域
.--add-service=<SERVICE>[--zone=<ZONE>]允許服務的流量通過,如果無--zone= 選項,使用默認區域
.--add-port=<PORT/PROTOCOL>[--zone=<ZONE>]允許指定端口和協議的流量,如果無--zone= 選項,使用默認區域,可以用來指定非標準協議
.--remove-service=<SERVICE>[--zone=<ZONE>]從區域中刪除指定服務,禁止該服務流量,如果無--zone= 選項,使用默認區域
.--remove-port=<PORT/PROTOCOL>[--zone=<ZONE>]從區域中刪除指定端口和協議,禁止該端口的流量,如果無--zone= 選項,使用默認區域
.--reload刪除當前運行時配置,應用加載永久配置
2.3 firewall-cmd 命令示例
#查看默認zone firewall-cmd --get-default-zone #默認zone設為dmz firewall-cmd --set-default-zone=dmz #在internal zone中增加源地址192.168.0.0/24的永久規則 firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24 #--permanent這個選項表示要存盤,永久生效,不加該選項默認是runtime,臨時性的 #在internalzone中增加協議mysql的永久規則,運行mysql服務 firewall-cmd --permanent –zone=internal --add-service=mysql #添加ftp服務器 firewall-cmd --add-service=ftp #如果協議是非標準端口,用--add-port來指定非標準協議 firewall-cmd –add-port=8000/tccp #加載新規則以生效 firewall-cmd --reload
2.4 實驗:配置firewalld
systemctl mask iptables #mask是屏蔽,用start啟動不了服務,必須先umask systemctlmask ip6tables systemctlstatus firewalld systemctlenable firewalld systemctlstart firewalld firewall-cmd--get-default-zone firewall-cmd--set-default-zone public firewall-cmd--permanent --zone=public --list-all firewall-cmd--permanent --zone=public --add-port 8080/tcp firewall-cmd ---reload
3 rich規則
.當基本firewalld語法規則不能滿足要求時,可以使用以下更復雜的規則
.rich-rules 富規則,功能強,表達性語言,查看幫助:man 5firewalld.richlanguage
.Direct configuration rules 直接規則,靈活性差,查看幫助:man 5 firewalld.direct
接下來將講解rich規則的概念和配置
3.1 管理rich 規則
.rich規則比基本的firewalld語法實現更強的功能,不僅實現允許/拒絕,還可以實現日誌syslog和auditd,也可以實現端口轉發,偽裝和限制速率
rich規則實施順序有以下四點
a.該區域的端口轉發,偽造規則
b.該區域的日誌規則
c.該區域的允許規則
d.該區域的拒絕規則
每個匹配的規則生效,所有規則都不匹配,該區域默認規則生效
3.2 rich語法:
rule [source] [destination] service|port|protocol|icmp-block|masquerade|forward-port [log] [audit] [accept|reject|drop]
rich規則選項
rich規則示例
#拒絕從192.168.0.11的所有流量,當address 選項使用source或destination時,必須用family= ipv4|ipv6. firewall-cmd --permanent --zone=classroom --add-rich-rule=‘rule family=ipv4 source address=192.168.0.11/32 reject‘ #--zone=classroom,自己定義新zone ,classroom #限制每分鐘只有兩個連接到ftp服務 firewall-cmd --add-rich-rule=’rule service name=ftp limitvalue=2/m accept’ #拋棄esp(IPsec 體系中的一種主要協議)協議的所有數據包 firewall-cmd --permanent --add-rich-rule=‘rule protocol value=espdrop‘ #接受所有192.168.1.0/24子網端口範置7900-7905的TCP流量 firewall-cmd --permanent --zone=vnc --add-rich-rule=‘rule family=ipv4 sourceaddress=192.168.1.0/24 port port=7900-7905 protocol=tcpaccept‘
3.3 rich日誌規則
.log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limitvalue="<RATE/DURATION>"]
.<LOGLEVEL>可以是emerg,alert,crit,error,warning,notice,info,debug.
.<DURATION>s:秒,m:分鐘,h:小時, d:天
.audit [limit value="<RATE/DURATION>"]
rich日誌規則實例
.接受ssh新連接,記錄日誌到syslog的notice級別,每分鐘最多三條信息
firewall-cmd --permanent --zone=work--add-rich-rule=‘rule service name="ssh" log prefix="ssh" level="notice" limitvalue="3/m" accept’
.從2001:db8::/64子網的DNS連接在5分鐘內被拒絕,並記錄到日誌到audit,每小時最大記錄一條信息。
firewall-cmd --add-rich-rule=‘rule family=ipv6 source address="2001:db8::/64"service name="dns" audit limit value="1/h" reject‘--timeout=300’
#--timeout=300超時時間,300s
firewall-cmd --permanent --add-rich-rule=‘rule family=ipv4source address=172.18.50.73/32 service name="http" log level=noticeprefix="NEW HTTP " limit value="3/s" accept‘ firewall-cmd --reload
測試
tail -f /var/log/messages
curl http://serverX.example.com
4 偽造和端口轉發
.NAT網絡地址轉換,firewalld支持偽造和端口轉發兩種NAT方式
.偽造NAT
firewall-cmd --permanent --zone=<ZONE> --add-masquerade firewall-cmd --permanent --zone=<ZONE> --add-rich-rule=‘rulefamily=ipv4 source address=192.168.0.0/24 masquerade‘
4.1 普通規則端口轉發
.端口轉發:將發往本機的特定端口的流量轉發到本機或不同機器的另一個端口。通常要配合地址偽造才能實現
語法
firewall-cmd --permanent --zone=<ZONE> --add-forward-port=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]
說明:toport=和toaddr=至少要指定一個
.示例:
轉發傳入的連接513/TCP,到訪火墻的132/TCP到public zone 的192.168.0.254
firewall-cmd --permanent --zone=public --add-forward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254
4.2 rich轉發規則語法:
forward-port port=<PORTNUM>protocol=tcp|udp[to-port=<PORTNUM>][to-addr=<ADDRESS>]
.示例:
轉發從192.168.0.0/26來的,發往80/TCP的流量到防火墻的端口8080/TCP
firewall-cmd --permanent --zone=work --add-rich-rule=‘rulefamily=ipv4 source address=192.168.0.0/26 forward-port port=80 protocol=tcpto-port=8080‘
rich轉發規則示例
firewall-cmd --permanent --add-rich-rule‘rule family=ipv4 source address=172.25.X.10/32 forward-port port=443protocol=tcp to-port=22‘ firewall-cmd --reload
測試
ssh -p 443 serverX.example.com
本文出自 “陽光運維” 博客,請務必保留此出處http://ghbsunny.blog.51cto.com/7759574/1974587
防火墻 之 firewalld介紹