浅谈，linux防火墙，Firewalld服务

Firewalld服务简介

▶1 基本介绍

firewalld是centos 7.0新推出的管理netfilter的工具

firewalld是配置和监控防火墙规则的系统守护进程，可以实现iptables,ip6tables,ebtables的功能

firewalld服务由firewalld包提供

​▶2 ZONE:区域

firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则

归入zone顺序：

先根据数据包中源地址，将其纳为某个zone

纳为网络接口所属zone

纳入默认zone，默认为public zone,管理员可以改为其它zone

网卡默认属于public zone,lo网络接口属于trusted zone

Firewalld zone分类

zone名称 默认配置

trusted 允许所有流量

home 拒绝除和传出流量相关的，以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client预定义服务之外其它所有传入流量

internal 和home相同

work 拒绝除和传出流量相关的，以及ssh,ipp-client,dhcpv6-client预定义服务之外的其它所有传入流量

public 拒绝除和传出流量相关的，以及ssh,dhcpv6-client预定义服务之外的其它所有传入流量，新加的网卡默认属于publiczone

external 拒绝除和传出流量相关的，以及ssh预定义服务之外的其它所有传入流量，属于external zone的传出ipv4流量的源地址将被伪装为传出网卡的地址。

dmz 拒绝除和传出流量相关的，以及ssh预定义服务之外的其它所有传入流量

block 拒绝除和传出流量相关的所有传入流量

drop 拒绝除和传出流量相关的所有传入流量（甚至不以ICMP错误进行回应）

预定义服务,下表只是列出几个例子，Firewalld预定义的服务太多了

服务名称 配置

ssh Local SSH server. Traffic to 22/tcp

dhcpv6-client Local DHCPv6 client. Traffic to 546/udp on the fe80::/64 IPv6 network

ipp-client Local IPP printing. Traffic to 631/udp.

samba-client Local windows file and print sharing client. Traffic to 137/udp and 138/udp.

mDNS Multicast DNS (mDNS) local-link name resolution. Traffic to 5353/udp to the

224.0.0.251 (IPv4) or ff02::fb (IPv6) multicast addresses.

​2️⃣ Firewalld服务配置

▶1 Firewalld预定义服务配置

firewall-cmd --get-services 查看预定义服务列表

/usr/lib/firewalld/services/*.xml 预定义服务的配置

▶2 Firewalld 三种配置方法

firewall-config （firewall-config包）图形工具

firewall-cmd （firewalld包）命令行工具

/etc/firewalld 配置文件，一般不建议

▶3 Firewall-cmd 命令选项

格式: Usage: firewall-cmd [OPTIONS...]

常见选项参数

--get-zones 列出所有可用区域

--get-default-zone 查询默认区域

--set-default-zone= 设置默认区域

--get-active-zones 列出当前正使用的区域

--add-source=[--zone=] 添加源地址的流量到指定区域，如果无--zone= 选项，使用默认区域

--remove-source= [--zone=] 从指定区域删除源地址的流量，如无--zone= 选项，使用默认区域

--add-interface=[--zone=] 添加来自于指定接口的流量到特定区域，如果无--zone= 选项，使用默认区

域

--change-interface=[--zone=] 改变指定接口至新的区域，如果无--zone= 选项，使用默认区域

--add-service= [--zone=] 允许服务的流量通过，如果无--zone= 选项，使用默认区域

--add-port=<PORT/PROTOCOL>[--zone=] 允许指定端口和协议的流量，如果无--zone= 选项，使用默

认区域

--remove-service= [--zone=] 从区域中删除指定服务，禁止该服务流量，如果无--zone= 选项，使用默

认区域

--remove-port=<PORT/PROTOCOL>[--zone=] 从区域中删除指定端口和协议，禁止该端口的流量，如

果无--zone= 选项，使用默认区域

--reload 删除当前运行时配置，应用加载永久配置

--list-services 查看开放的服务

--list-ports 查看开放的端口

--list-all [--zone=] 列出指定区域的所有配置信息，包括接口，源地址，端口，服务等，如果无--zone=

选项，使用默认区域

• 示例

/ 查看默认zone

[root@Centos7 ~]# firewall-cmd --get-default-zone

public

/ 设置默认zone问dmz

[root@Centos7 ~]# firewall-cmd --set-default-zone=dmz

success

[root@Centos7 ~]# firewall-cmd --get-default-zone

dmz

/ 在internal zone中增加源地址192.168.0.0/24的永久规则

[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24

success

/ 在internal zone中增加协议MySQL的永久规则

[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-service=mysql

success

/ 加载新增规则生效

[root@Centos7 ~]# firewall-cmd --reload

success

/ 查看前面两个设置的规则

[root@Centos7 ~]# firewall-cmd --list-all --zone=internal

internal (active)

target: default

icmp-block-inversion: no

interfaces:

sources: 192.168.0.0/24

services: dhcpv6-client mdns mysql samba-client ssh

ports:

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

3️⃣ rich规则

当基本firewalld语法规则不能满足要求时，可以使用以下更复杂的规则

rich-rules：富规则，功能强，表达性语言

direct configuration rules：直接规则，灵活性差

帮助：man 5 firewalld.direct

​1 rich规则简介

rich规则比基本的firewalld语法实现更强的功能，不仅实现允许/拒绝，还可以实现日志syslog和auditd，也可以实现端口转发，伪装和限制速率

rich语法

rule

[source]

[destination]

service|port|protocol|icmp-block|masquerade|forward-port

[log]

[audit]

[accept|reject|drop]

man 5 firewalld.richlanguage

▶2 rich规则实施顺序：

该区域的端口转发，伪装规则

该区域的日志规则

该区域的允许规则

该区域的拒绝规则

每个匹配的规则生效，所有规则都不匹配，该区域默认规则生效

▶3 rich规则选项

--add-rich-rule='<RULE>'

添加rich规则至指定zone，若未指明zone则为默认zone

--remove-rich-rule='<RULE>'

从指定zone删除rich规则，若未指明zone则为默认zone

--query-rich-rule='<RULE>'

查询指定zone中是否有RULE规则，若未指定zone则为默认zone

返回值0代表存在，返回值1代表不存在

​--list-rich-rules

列出指定zone的所有rich规则，若未指定zone则为默认zone

示例：

/ 拒绝从192.168.0.11的所有流量，当address 选项使用source 或 destination时，必须用family= ipv4|ipv6

firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'

/ 限制每分钟只有两个连接到ftp服务,下面命令省略指定zone区域，所以是给默认zone添加规则

firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'

/ 抛弃esp（ IPsec 体系中的一种主要协议）协议的所有数据包

firewall-cmd --add-rich-rule='rule protocol value=esp drop'

/ 接受所有192.168.1.0/24子网端口5900-5905范围的TCP流量,

firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=5900-5905 protocol=tcp accept'

/ 查看所有添加的rich-rules

[root@Centos7 ~]# firewall-cmd --list-rich-rules

You're performing an operation over default zone ('public'),

but your connections/interfaces are in zone 'internal' (see --get-active-zones)

You most likely need to use --zone=internal option.

rule service name="ftp" accept limit value="2/m"

rule protocol value="esp" drop

▶4 rich日志规则

log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limit value="<RATE/DURATION>"]

<LOGLEVEL>

可以是emerg, alert, crit, error, warning, notice, info, debug

​<DURATION>

s：秒，m：分钟，h：小时，d：天

audit [limit value="<RATE/DURATION>"]

示例

#接受ssh新连接，记录日志到syslog的notice级别，每分钟最多三条信息

firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh"

log prefix="ssh " level="notice" limit value="3/m" accept

#从2001:db8::/64子网的DNS连接在5分钟内被拒绝，并记录到日志到audit,每小时最大记录一条信息

firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"

service name="dns" audit limit value="1/h" reject' --timeout=300

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source

address=172.25.X.10/32 service name="http" log level=notice prefix="NEW HTTP " limit value="3/s" accept'

firewall-cmd --reload

tail -f /var/log/messages

curl http://serverX.example.com

▶5 伪造和端口转发

• NAT网络地址转换，firewalld支持伪造和端口转发两种NAT方式
• 伪造NAT

• 格式：firewall-cmd --zone=<ZONE> --add-masquerade

firewall-cmd --permanent --zone=<ZONE> --add-masquerade

firewall-cmd --query-masquerade #检查是否允许伪装

firewall-cmd --add-masquerade #允许防火墙伪装IP

firewall-cmd --remove-masquerade #禁止防火墙伪装IP

示例：将来自192.168.0.0/24网段的IP伪造为外网动态IP

firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'

端口转发：将发往本机的特定端口的流量转发到本机或不同机器的另一个端口。通常要配合地址伪造才能实现

格式：firewall-cmd --zone=<ZONE> --add-forward-port=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]

说明：toport=和toaddr=至少要指定一个

示例

转发传入的连接9527/TCP，到防火墙的80/TCP到public zone 的192.168.0.254

firewall-cmd --add-masquerade 启用伪装

firewall-cmd --zone=public --add-forwardport=

port=9527:proto=tcp:toport=80:toaddr=192.168.0.254

rich规则语法：

• 格式：forward-port port=<PORTNUM> protocol=tcp|udp [to-port=<PORTNUM>] [to-addr=<ADDRESS>]
• 示例

/ 转发从192.168.0.0/24来的，发往80/TCP的流量到防火墙的端口8080/TCP

firewall-cmd --zone=work --add-rich-rule='rule family=ipv4 source

address=192.168.0.0/24 forward-port port=80 protocol=tcp to-port=8080'

山东掌趣网络科技