Centos7的Firewalld防火墙基础命令详解

 更新时间:2019年11月27日 09:28:14   作者:俊伟祺i  
这篇文章主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

一、Linux防火墙的基础

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统。

  • netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”的防火墙功能体系;
  • firewalld:指用来管理Linux防护墙的命令程序,属于“用户态”的防火墙管理体系;

1、firewalld概述

firewalld的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。支持IPv4、IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:

  • 运行配置
  • 永久配置

还支持服务或应用程序直接添加防火墙规则接口。

2、firewalld网络区域

firewalld将所有的网络数据流量划分为多个区域,从而简化防火墙管理。根据数据包的源IP地址或传入网络接口等条件,将数据流量转入相应区域的防火墙规则。

对于进入系统的数据包,首先检查的就是其源地址:

  • 若源地址关联到特定的区域,则执行该区域所制定的规则;
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则;
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所制定的规则;

默认区域不是单独的区域,而是指向系统上定义的某个其他区域。默认情况下,默认区域是public,但是也可以更改默认区域。以上匹配规则,按照先后顺序,第一个匹配的规则胜出。在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld的每个预定义的区域都设置了默认打开的服务。

3、firewalld预定义区域说明

  • trusted(信任区域):可接收所有的网络连接;
  • public:(公共区域):除非与传出流量相关,或与ssh或dhcpv6-client预定义服务匹配,否则拒绝流量传入;
  • work(工作区域):除非与传出流量相关,或与ssh、ipp-client、dhcpv6-client预定义服务匹配,否则拒绝流量传入,用于工作区;
  • home(家庭区域):除非与传出流量相关,或与ssh、ipp-client、mdns、samba-client、dhcpv6-client预定义服务匹配,否则拒绝流量传入,用于家庭网络;
  • internal(内部区域):除非与传出流量相关,或与ssh、ipp-client、mdns、samba-client、dhcpv6-client预定义服务匹配,否则拒绝流量传入,用于内部网络;
  • external(外部区域):除非与传出流量相关,或与ssh预定义服务匹配,否则拒绝流量传入;
  • dmz(隔离区域也称为非军事化区域):除非和传出的流量相关 ,或与ssh预定义服务匹配,否则拒绝流量传入;
  • blocak(限制区域):除非与传出流量相关,否则拒绝所有传入流量;
  • drop(丢弃区域):除非与传出流量相关,否则丢弃所有传入流量,并且不产生包含ICMP的错误响应;

二、firewalld防火墙的配置方法

在Centos 7系统中,可以使用三种方式配置firewalld防火墙:

  • firewalld-config图形化工具;
  • firewalld-cmd命令行工具;
  • /etc/firewalld/中的配置文件;

一般情况下,不建议直接编辑配置文件;

1、firewalld-cmd的基础命令

[root@centos01 ~]# systemctl start firewalld  <!--启动firewalld-->
[root@centos01 ~]# systemctl enable firewalld<!--设置开机自动启动firewalld-->
[root@centos01 ~]# systemctl status firewalld <!--查看防火墙运行状态-->
[root@localhost ~]# firewall-cmd --state <!--查看防火墙允许状态-->
running
[root@centos01 ~]# systemctl stop firewalld<!--停止firewalld-->
[root@centos01 ~]# systemctl disable firewalld<!--设置开机不自动启动firewalld-->
[root@centos01 ~]# firewall-cmd --get-zones <!--查看防火墙预定义的区域-->
[root@centos01 ~]# firewall-cmd --get-service <!--查看防火墙支持的预定义服务类型-->
[root@centos01 ~]# firewall-cmd --get-default-zone <!--查看系统的默认区域 -->
[root@localhost /]# firewall-cmd --reload   <!--重载防火墙-->
[root@centos01 ~]# firewall-cmd --get-active-zones <!--查看激活的区域-->

[root@centos01 ~]# firewall-cmd --get-icmptypes <!--显示预定义的ICMP类型-->
address-unreachable bad-header communication-prohibited destination-unreachable 
echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited
host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement
neighbour-solicitation network-prohibited network-redirect network-unknown 
network-unreachable no-route packet-too-big parameter-problem port-unreachable
precedence-cutoff protocol-unreachable redirect required-option-missing
router-advertisement router-solicitation source-quench source-route-failed time-exceeded
timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable 
tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly 
ttl-zero-during-transit unknown-header-type unknown-option

firewall-cmd --get-icmptypes命令执行结果中部分阻塞类型的含义如下:

  • destination-unreachable:目的地址不可达;
  • echo-reply:应答回应;
  • parameter-problem:参数问题;
  • redirect:重新定向;
  • router-advertisement:路由器通告;
  • router-solicitation:路由器征寻;
  • source-quench:源端抑制;
  • time-exceeded:超时;
  • timestamp-reply:时间戳应答回应;
  • timestamp-request:时间戳请求;

2、firewalld区域管理选项

  • --get-default-zone:显示网络连接或接口的默认区域;
  • --set-default-zone=<zone>:设置网络连接或接口的默认区域;
  • --get-active-zones:显示已激活的所有区域;
  • --get-zone-of-interface=<interface>:显示指定接口绑定的区域;
  • --zone=<zone> --add-interface=<interface>:为指定接口绑定的区域;
  • --zone=<zone> --change-interface=<interface>:为指定的区域更改绑定的网络接口;
  • --zone=<zone> --remove-interface=<interface>:为指定的区域删除绑定的网络接口;
  • --list-all=zones:显示所有区域及其规则;
  • [--zone=<zone>] --list-all:显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作;

区域管理示例如下:

[root@centos01 ~]# firewall-cmd --get-default-zone <!--显示当前系统中的默认区域-->
[root@centos01 ~]# firewall-cmd --list-all<!--显示默认区域的所有规则-->
[root@centos01 ~]# firewall-cmd --get-zone-of-interface=ens32 <!--查看ens32接口所在的区域-->
internal
[root@centos01 ~]# firewall-cmd --zone=internal --change-interface=ens32 <!--修改ens32接口对应的区域更改到internal区域-->
 The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@centos01 ~]# firewall-cmd --zone=internal --list-interface <!--查看internal区域的接口列表-->
ens32
[root@centos01 ~]# firewall-cmd --get-active-zones  <!--显示所有激活区域-->
internal
 interfaces: ens32

3、firewalld服务管理

为了方便管理,firewalld预先定义了很多服务,存放在/usr/lib/firewalld/services/目录中,服务通过单个的XML配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如ssh服务等。我们需要将service配置文件放置在/etc/firewalld/services/目录中。service配置具有以下优点:

通过服务名字来管理规则更加人性化;

通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式;

1)firewalld-cmd命令区域中服务管理的常用选项说明:

  • [--zone=<zone>] --list-services:显示指定区域内允许访问的所有服务;
  • [--zone=<zone>] --add-service=<service>:为指定区域设置允许访问的某项服务;
  • [--zone=<zone>] --remove-service=<service>:删除指定区域已设置的允许访问的某项服务;
  • [--zone=<zone>] --list-ports:显示指定区域内允许访问的所有端口号;
  • [--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>:为指定区域设置允许访问的某个/某段端口号(包括协议号);
  • [--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocl>:删除指定区域已设置的允许访问的端口号(包括协议名);
  • [--zone=<zone>] --list-icmp-blocaks:显示指定区域内拒绝访问的所有ICMP类型;
  • [--zone=<zone>] --add-icmp-block=<icmptype>:为指定区域设置拒绝访问的某项ICMP类型;
  • [--zone=<zone>] --remove-icmp-block=<icmptype>:删除指定区域已设置的拒绝访问的某项ICMP类型,省略--zone=<zone>时表示对默认区域操作;

2)firewalld服务管理示例如下(为默认区域设置允许访问的服务):

 [root@centos01 ~]# firewall-cmd --list-services <!--显示默认区域内允许访问的所有服务-->
dhcpv6-client ssh 
[root@centos01 ~]# firewall-cmd --add-service=http <!--设置默认区域允许访问http服务-->
success
[root@centos01 ~]# firewall-cmd --add-service=https <!--设置默认区域允许访问https服务-->
success
[root@centos01 ~]# firewall-cmd --list-services <!--显示默认区域内允许访问的所有服务-->

dhcpv6-client ssh https http

3)firewalld服务管理示例如下(为internal区域设置允许访问的服务):

[root@centos01 ~]# firewall-cmd --zone=internal --add-service=mysql 
       <!--设置internal区域允许访问mysql服务-->
success
[root@centos01 ~]# firewall-cmd --zone=internal --remove-service=samba-client 
     <!--设置internal区域不允许访问Samba-client服务-->
success
[root@centos01 ~]# firewall-cmd --zone=internal --list-services 
       <!--显示internal区域内允许访问的所有服务-->
ssh mdns dhcpv6-client mysql

4、端口管理

在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作即可实现在internal区域打开443/TCP端口。示例如下:

 [root@centos01 ~]# firewall-cmd --zone=internal --add-port=443/tcp
         <!--在internal区域打开443/tcp端口-->
success

若想实现在internal区域禁止443/TCP端口访问,可执行以下命令:

 [root@centos01 ~]# firewall-cmd --zone=internal --remove-port=443/tcp
        <!--在internal区域禁止443/tcp端口访问-->
success

以上配置都为临时配置,若想将当前配置保存为永久配置,可以使用下面命令:

 [root@centos01 ~]# firewall-cmd --runtime-to-permanent
success

直接配置为永久性规则,须带--permanent选项,如下:

[root@centos01 ~]# firewall-cmd --add-icmp-block=echo-request --permanent  <!--禁止ping-->

success
[root@centos01 ~]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent      
      <!--配置external区域禁止ping-->
success

三、firewalld两种配置模式

前面提到firewall-cmd命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置,在系统或firewalld服务重启、停止时配置将失效;永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。

firewall-cmd命令工具与配置模式相关的选项有三个:

  • --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置;
  • --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动或重新加载防火墙规则时才会生效;若不带此项,表示用于设置运行时规则;
  • --runtime-to-permanent:将当前运行时的配置写入规则配置文件中,使当前内存中的规则称为永久性配置;

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

相关文章

  • Ubuntu系统下网络配置文件解析与说明

    Ubuntu系统下网络配置文件解析与说明

    这篇文章主要给大家介绍了关于Ubuntu系统下网络配置文件的解析与说明,文中通过示例代码介绍的非常详细,对大家学习或者使用Ubuntu具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
    2019-08-08
  • CentOS7 systemd添加自定义系统服务的方法

    CentOS7 systemd添加自定义系统服务的方法

    这篇文章主要介绍了CentOS7 systemd添加自定义系统服务,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2019-03-03
  • linux 服务器自动备份脚本的方法(mysql、附件备份)

    linux 服务器自动备份脚本的方法(mysql、附件备份)

    这篇文章主要介绍了linux 服务器自动备份脚本(mysql、附件备份),本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-01-01
  • 浅谈Linux vfork与fork简单对比分析

    浅谈Linux vfork与fork简单对比分析

    本篇文章主要介绍了浅谈Linux vfork与fork简单对比分析,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-12-12
  • CentOS7.4开机出现welcome to emergency mode的解决方法

    CentOS7.4开机出现welcome to emergency mode的解决方法

    CentOS7.4开机出现welcome to emergency mode,报这个错误多数情况下是因为/etc/fstab文件的错误。注意一下是不是加载了外部硬盘、存储器或者是网络共享空间,在重启时没有加载上导致的
    2018-09-09
  • 使用Linux要改掉几个的命令习惯

    使用Linux要改掉几个的命令习惯

    现在越来越多的人用linux系统,本文分享的这些习惯也许会令你事半功倍,找到其中的乐趣。刚开始使用Linux时你也许会感到不习惯,许多高手也都有这样的经历。毕竟,曾经他们也都是新手。好的习惯可以提高工作效率以及命令的运行效率,下面来一起看看吧。
    2016-11-11
  • Gunicorn运行与配置方法

    Gunicorn运行与配置方法

    这篇文章主要介绍了Gunicorn运行与配置方法,使用pre-fork worker模式,具有使用非常简单,轻量级的资源消耗,以及高性能等特点。对此感兴趣的朋友跟随小编一起看看吧
    2019-08-08
  • ubuntu中python调用C/C++方法之动态链接库详解

    ubuntu中python调用C/C++方法之动态链接库详解

    这篇文章主要给大家介绍了关于如何在ubuntu中python调用C/C++方法之动态链接库的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起看看吧
    2018-11-11
  • ubuntu环境下的php相关路径与修改方法

    ubuntu环境下的php相关路径与修改方法

    这篇文章主要介绍了ubuntu环境下的php相关的路径,需要的朋友可以参考下
    2020-12-12
  • Linux VPS下简单解决CC攻击的方法

    Linux VPS下简单解决CC攻击的方法

    Linux VPS下简单解决CC攻击的方法,需要的朋友可以参考下
    2012-04-04

最新评论