iptables是linux内核自带的防火墙，功能强大，但是因为其配置比较复杂，往往会让新手望而生畏。想当年，我在学习iptbles的时候就花费了不少精力，全凭自己零碎地摸索积累，着实走了不少弯路。接下来，我将给大家分享一下如何使用firewalld工具管理iptables。

1、使用firewalld的好处

首先，firewall-cmd是对iptables操作命令的封装，使用简单，新手比较容易接受。

其次，firewalld可靠性高，相对于直接使用iptables命令进行配置，它几乎不会出错，特别适合在生产环境中使用。

2、查看firewalld状态

大多数Linux系统都默认安装了firewalld包，提供的操作命令为firewall-cmd，我们可以使用--state参数查看firewalld的状态：

root@kali2020:~# firewall-cmd --state
running
root@kali2020:~# 

有时候，虽然firewalld已经安装，但不一定开启，我们可以使用systemctl命令把它开起来：

root@kali2020:~# systemctl enable firewalld
Synchronizing state of firewalld.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable firewalld
root@kali2020:~# systemctl start firewalld
root@kali2020:~# 

3、查看当前配置

我们可以使用--list-all参数查看当前zone的配置，也可以使用--list-services、--list-ports等参数查看指定的配置：

root@kali2020:~# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: dhcpv6-client ipsec ssh
  ports:
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
root@kali2020:~# 

默认所有网卡都属于默认public zone，可以使用--zone参数指定其它zone，关于zone的概念新手可以先忽略。我们看到，防火墙默认只允许dhcpv6-client、ipsec、ssh服务，实际上相当于允许服务响应的端口，而服务跟端口之间的关系在/etc/service文件中定义。

4、开放指定端口或服务

对于一些默认允许的服务，我们可以使用--remove-service参数进行删除，加上--permanent参数可指定当前操作为永久生效，否则在firewalld重启后配置又恢复了：

root@kali2020:~# firewall-cmd --list-services
http ssh
root@kali2020:~# firewall-cmd --remove-service=ipsec --permanent
success
root@kali2020:~# firewall-cmd --remove-service=dhcpv6-client --permanent
success
root@kali2020:~# firewall-cmd --reload
success
root@kali2020:~# 

我们可以使用--add-service或--add-port方式允许相应的端口，配置修改后不会立即生效，需要使用--reload参数重新加载配置文件，下面的例子分别添加了http服务及tcp443端口：

root@kali2020:~# grep http /etc/services 
# Updated from https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml .
http            80/tcp          www             # WorldWideWeb HTTP
https           443/tcp                         # http protocol over TLS/SSL
http-alt        8080/tcp        webcache        # WWW caching service
root@kali2020:~# 
root@kali2020:~# iptables -L -nv | grep :80           tcp dpt:80 ctstate NEW,UNTRACKED
root@kali2020:~# 

5、添加rich rule

--add-service或--add-port参数只是简单地开放某个端口，无法对源/目的IP、端口等进行限制。要基于更多条件进行限制，我们需要添加rich rule：

root@kali2020:~# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.30.88/32" port port=21 protocol="tcp"  accept' --permanent
success
root@kali2020:~# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.30.8/32" service name="http" reject' --permanent
success
root@kali2020:~# iptables -L -nv | grep 192.168.30.8
    0     0 REJECT     tcp  --  *      *       192.168.30.8         0.0.0.0/0            tcp dpt:80 ctstate NEW,UNTRACKED reject-with icmp-port-unreachable
    0     0 ACCEPT     tcp  --  *      *       192.168.30.88        0.0.0.0/0            tcp dpt:21 ctstate NEW,UNTRACKED
root@kali2020:~# 
root@kali2020:~# firewall-cmd --reload
success
root@kali2020:~# firewall-cmd --list-rich-rules
rule family="ipv4" source address="192.168.30.8/32" service name="http" reject
rule family="ipv4" source address="192.168.30.88/32" port port="21" protocol="tcp" accept
root@kali2020:~# 

上面的例子中，我们分别允许192.168.30.88访问本机的21端口，以及拒绝192.168.30.8访问本机的80端口。关于rich rule更多的参数信息请man firewalld.richlanguage。

6、添加direct rule

如果rich rule还不满足我们的需求，我们可以使用--direct参数直接添加原生iptables规则：

root@kali2020:~# firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 1 -m tcp -p tcp -s 192.168.30.0/24 --dport 10000 -j REJECT
success
root@kali2020:~# 
root@kali2020:~# firewall-cmd --reload
success
root@kali2020:~# 
root@kali2020:~# firewall-cmd --direct --get-rules ipv4 filter INPUT
1 -m tcp -p tcp -s 192.168.30.0/24 --dport 10000 -j REJECT
root@kali2020:~# 
root@kali2020:~# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: http ssh
  ports: 443/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.30.8/32" service name="http" reject
        rule family="ipv4" source address="192.168.30.88/32" port port="21" protocol="tcp" accept
root@kali2020:~# 

在上面的例子中我们通过添加direct rule方式拒绝了192.168.30.0/24网段访问本机的10000端口。查看当前direct rule配置需要使用firewall-cmd --direct --get-rules ipv4 filter INPUT命令，其中filter表示iptbles的表，INPUT为指定的链（关于表链的知识这里暂时不做详细解释），通过--list-all参数是无法看到direct rule的。更多关于direct rule的帮助信息请man firewalld.direct。

7、其它需要注意的地方

• --reload参数用于重新加载iptables，不会导致当前已经建立的网络连接中断，而使用--complete-reload参数重新加载配置则会使当前已经建立的连接中断，因此不建议使用。
• firewall-cmd工具实际上是修改/etc/firewalld目录下的相应文件，因此除了使用命令行，还可以直接修改这些配置文件，再使用--reload参数重新加载。
• 可以使用iptables-save命令查看当前所有原生配置。

好了，关于firewalld的基本使用就先介绍到这里，后续我会继续分享firewalld更高级的用法，敬请关注，谢谢。