您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

Centos7防火墙配置详解

时间:2023-03-02 11:32:45  来源:今日头条  作者:沪北柒哥

前言:

对于firewalld的理解

centos7中使用firewalld来作为防火墙,其底层调用的命令仍然是iptables等命令,但是在配置上发生了较大的变化。
Centos7中有两个位置存放了firewall的配置文件,一个是/etc/firewalld,一个是/usr/lib/firewalld,前者是用户配置目录,后者是系统配置目录。/usr/lib/firewalld目录中存放的是firewalld提供的一些默认和备份的配置文件,一般不随意改变,/etc/firewalld目录下才是用户配置的真正生效的配置文件,只有在/etc/firewalld目录不存在或该目录下不存在配置文件的情况下/usr/lib/firewalld目录下的配置文件才会生效。

01、zone的概念

zone定义了防火墙对某个连接、网口(interface)或源地址的信任等级,我们可以把他理解为防火墙对不同的连接(connection)、网口(interface)或源地址(source address)划分到不同的zone当中,而不同的zone定义了不同的规则,因此防火墙可以针对不同的连接、网口(interface)或源地址做出不同的行为。
例如,我们将10.12.18.201这个地址划分到zone1中,将10.12.18.202这个地址划分到zone2中,然后zone1中定义的规则为:允许访问3306端口,其余的端口都拒绝访问;zone2中定义的规则为:拒绝访问3306端口,其余的端口都允许访问。那么10.12.18.201就仅能访问本机的3306端口,10.12.18.202就仅不能访问本机的3306端口。每个zone的防火墙规则是通过/etc/firewalld/zones目录下的xml配置文件来配置的。
zone和connection、interface、source address之间是一对多的关系,即一个connection、interface或source address仅能划分到一个zone中,而一个zone中可以包含多个connection、interface或source address。

01-1

预定义的zone

Centos7中firewalld为用户预定义了9个zone,分别为drop,block,public,external,dmz,work,home,internal,tRusted。这9个zone的配置文件在/usr/lib/firewalld/zones目录下,通过查看他们的配置文件可以得知这9个zone的规则是怎么样的。

1-1-1 drop--丢弃

任何传入本机的网络数据包都会被丢弃,并且不会回复,只允许本机对外访问其他服务器。

1-1-2 block--阻塞

任何传入本机的网络连接请求都会被拒绝,并且会回复一条拒绝访问的消息。

1-1-3 public--公共

用于本机处于公共网络环境的场景下,仅接受特定的连接请求,如仅接受某些特定的IP的连接请求,或仅对外部开放特定的某些端口。Centos 7 默认的public.xml文件中仅开放用于ssh连接请求的22端口和dhcpv6-client服务的546端口。

1-1-4 external--外部

与public类似,Centos 7 默认仅开放用于ssh连接请求的22端口。

1-1-5 dmz--非军事区

与external一样,Centos 7 默认也是仅开放用于ssh连接请求的22端口。

1-1-6 work--工作

用于工作网络环境场景下,信任大部分的其他的计算机不会对本机进行攻击。Centos 7 默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,以及IPP协议的631端口。

1-1-7 home--家

用于家庭网络环境,信任网络上的其他计算机不会攻击本机。Centos 7默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,IPP协议的631端口,samba服务的137、138端口,mDNS服务的5353端口。

1-1-8 internal--内部

与home一样,Centos 7默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,IPP协议的631端口,samba服务的137、138端口,mDNS服务的5353端口。

1-1-9 trusted--信任

所有对本机的网络连接请求都会被接受。

01-2

将interface和source划分到某个zone

1-2-1 将source划分到某个zone的命令如下

将某个source划分到某个zone的命令如下:

firewall-cmd [--permanent] [--zone=zone] --add-source=source

1-2-2 例如

firewall-cmd --permanent --zone=trusted --add-source=192.168.5.112

这条命令会将192.168.5.112这个网口划分到trusted这个zone,–permanent参数会将该配置写入trusted这个zone的配置文件trusted.xml中,使其永久生效,如果不加–permanent,则只会临时生效,重启防火墙或者调用firewall-cmd --reload重新加载配置文件会使得该项配置失效。

1-2-3 将某个网口(interface)划分到某个zone的命令如下:

将某个source划分到某个zone的命令如下:

firewall-cmd [--permanent] [--zone=zone] --add-interface=interface

1-2-4 例如

firewall-cmd --permanent --zone=block --add-interface=ens33

这条命令会将ens33这个网口划分到block这个zone,这样其他机器访问本机的ens33网口时就会默认走这个zone。
如果某个连接请求没有划分到任何一个zone,那么就会走默认的zone,Centos7 默认情况下,默认zone为public。可以通过以下命令查看或者修改默认zone。

1-2-5 获取默认的zone:

firewall-cmd --get-default-zone

1-2-6 修改默认的zone:

firewall-cmd --permanent --set-default-zone=[zone]

1-2-7 其他的一些相关的命令:

列出该zone下绑定了哪些interface:
firewall-cmd [--zone=zone] --list-interfaces


将该interface绑定到另一个zone上:
firewall-cmd [--permanent] [--zone=zone] --change-interface=interface


如果该interface之前绑定到了某个zone,则取消绑定,这样就会走默认zone
firewall-cmd [--permanent] --remove-interface=interface


与source相关的:
firewall-cmd [--permanent] --remove-source=source
firewall-cmd [--permanent] [--zone=zone] --list-sources
firewall-cmd [--permanent] [--zone=zone] --add-source=source

01-2

zone的配置文件

一个zone的xml配置文件的示例如下:

<?xml version="1.0" encoding="utf-8"?>
<zone target="DEFAULT">
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on.NETworks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <port protocol="tcp" port="80"/>
  <port protocol="tcp" port="8080"/>
  <source address="192.168.5.112">
  <source address="10.12.18.0/24"/>
  <rule family="ipv4">
    <source address="10.12.18.0/24"/>
    <port protocol="tcp" port="7180-7190"/>
    <accept/>
  </rule>
</zone>

每个标签的含义:
zone:给一个zone指定target,

target=“ACCEPT|%%REJECT%%|DROP”

可用于接受(ACCEPT)、拒绝(%%REJECT%%)或丢弃(DROP)与任何规则(端口、服务等)都不匹配的每个数据包,即指定该zone的默认的对连接(connection)、网口(interface)或源地址(source address)的行为,如果不指定target,则默认为default,default的行为与REJECT类似。
 

short:给该zone指定一个名字。

description:对该zone的描述

service:该zone开启的服务(service),service下一小节会讲 port:该zone打开的端口,protocol属性可以指定协议,通常为tcp或udp,port属性指定端口号
source:绑定到该zone的source,其效果等同于 firewall-cmd [–permanent] [–zone=zone] --add-source=source 指令
rule:为该zone添加的富语言规则(rich language rule)。

rich language rule的写法可以参照官网https://firewalld.org/documentation/man-pages/firewalld.richlanguage

上述示例的富语言规则的含义为对10.12.18.X网段的source开放7180至7190所有端口的tcp连接请求。

 

对于service的理解

02、Service的概念

service是预定义的一系列的本机的协议、端口、目标ip等,service可以让我们更加方便的让防火墙限制外部对本机的某些端口的访问。service的配置文件在/etc/firewalld/services或
/usr/lib/firewalld/services文件夹下,每个service的配置都是一个xml文件。

02-1

service配置文件

系统在
/usr/lib/firewalld/services文件夹下为我们预定义了一些列的service配置文件,我们也可以在/etc/firewalld/services定义自己的service。例如,ftp.xml的内容如下:

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>FTP</short>
  <description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly avAIlable, enable this option. You need the vsftpd package installed for this option to be useful.</description>
  <port protocol="tcp" port="21"/>
  <module name="nf_conntrack_ftp"/>
</service>

这样,在某个zone的配置文件中可以引用这个service,例如,在public.xml中引入ftp service:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <service name="ftp"/>
</zone>

等价于:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <port protocol="tcp" port="21"/>
</zone>

02-2

service的相关指令

打印所有预定义的service(
/usr/lib/firewalld/services或/etc/firewalld/services下每个xml配置文件就是一个预定义的service):

firewall-cmd [--permanent] --get-services

列出此zone开启的服务列表:

firewall-cmd [--permanent] [--zone=zone] [--permanent] [--policy=policy] --list-services

将一个service添加到一个zone,timeout可以为这个zone设置这个service的生效时间,过了这个生效时间,此service将从该zone中被移除。–timeout参数和–permanent参数是不兼容的

firewall-cmd [--permanent] [--zone=zone] [--permanent] [--policy=policy] --add-service=service [--timeout=timeval]

 

 

03、ipset的概念

ipset,顾名思义,就是可用于将多个IP或mac地址分组在一起。通过使用ipset,可以将不同的ip地址进行分组,简化ip地址的管理和zone的配置。ipset的配置文件在/etc/firewalld/ipsets目录下,该目录下一个xml配置文件对应一个ipset。

03-1

ipset配置文件

例如,将以下ip地址组合为一个ipset,配置文件命名为ipset1.xml:

<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:net">
  <entry>10.12.18.201</entry>
  <entry>192.168.5.201</entry>
</ipset>

将以下mac地址组合为一个ipset,配置文件命名为ipset2.xml:

<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:mac">
  <entry>00:11:22:33:44:55</entry>
  <entry>11:22:33:44:55:66</entry>
</ipset>

在public.xml中引用这两个ipset:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <source ipset="ipset1" />
  <source ipset="ipset2" />
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <rule family="ipv4">
    <source ipset="ipset1" />
    <port port="3306" protocol="tcp" />
    <accept />
  </rule>
  <rule family="ipv4">
    <source ipset="ipset2" />
    <port port="8080" protocol="tcp" />
    <accept />
  </rule>
</zone>

这等同于:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <source address="10.12.18.201" />
  <source address="192.168.5.201" />
  <source mac="00:11:22:33:44:55" />
  <source mac="11:22:33:44:55:66" />
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <rule family="ipv4">
    <source address="10.12.18.201" />
    <port port="3306" protocol="tcp" />
    <accept />
  </rule>
  <rule family="ipv4">
    <source address="192.168.5.201" />
    <port port="3306" protocol="tcp" />
    <accept />
  </rule>
  <rule family="ipv4">
    <source mac="00:11:22:33:44:55" />
    <port port="8080" protocol="tcp" />
    <accept />
  </rule>
  <rule family="ipv4">
    <source mac="11:22:33:44:55:66" />
    <port port="8080" protocol="tcp" />
    <accept />
  </rule>
</zone>

显然,采用ipset可以极大简化配置。

04、简单实战案例:

04-1

查看firewalld

 firewall-cmd --state

04-2

启动关闭防火墙

#启动防火墙
 systemctl start firewalld

#重启防火墙
systemctl restart firewalld 或 systemctl reload firewalld

#关闭
systemctl stop firewalld

#设置开机自启动防火墙
systemctl enable firewalld.service

#查看防火墙设置开机自启是否成功
systemctl is-enabled firewalld.service

 

 

04-2

防火墙端口配置

在开启防火墙之后,我们有些服务就会访问不到,是因为服务的相关端口没有打开。

04-3

查看已开启的端口

firewall-cmd --list-ports或netstat -ntlp

 

 

04-4

查看防火墙规则

firewall-cmd --list-all

 

 

04-5

查看允许协议

firewall-cmd --list-protocols

04-6

开启,关闭,查询端口

# 查询端口是否开放
 firewall-cmd --query-port=80/tcp

 

 


命令规则:

–permanent:表示永久生效,若没有重启失效;

– zone :表示作用域

–add-port=80/tcp 表示添加端口,格式为端口/通讯协议

开启端口的关键字:add

移除的关键字:remove

#永久增加/开启80端口
 firewall-cmd --permanent --add-port=80/tcp
 firewall-cmd --permanent --add-port=443/tcp
 firewall-cmd --add-port=8080/tcp
#重启防火墙服务
 systemctl restart firewalld
#删除端口 
firewall-cmd --remove-port=8080/tcp

 

 

05、防火墙IP限制配置:

05-1

允许指定IP访问所有流量

允许ip访问的关键字:accept

阻止ip访问的关键字:drop

#开启192.168.43.88访问
 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.43.100" accept"

#重启防火墙服务
firewall-cmd --reload

#禁止192.168.43.88访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.43.100" drop"

05-2

允许指定IP访问指定端口

# 允许IPV4 Ip是8.8.8.8 连接端口80 accept表示允许使用
 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="8.8.8.8" port protocol="tcp" port="80" accept"

# 允许IPV4 Ip是10.168.186.25 连接端口22 accept表示允许使用
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.168.186.25" port protocol="tcp" port="22" accept"

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.168.186.25,10.168.186.211" port protocol="tcp" port="3306" accept"

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.168.186.0/24" port protocol="tcp" port="22" accept"
# 以上运行完后提示success则表示配置成功

05-3

允许指定IP访问指定协议

#阻止ICMP包
 firewall-cmd  --permanent --add-rich-rule="rule protocol value="icmp" drop"

#允许特定地址通过icmp

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="120.12.23.136" protocol value="icmp" accept"

05-4

允许指定IP访问指定服务

#允许特定地址可以访问SSH服务
 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.168.186.25" service name="ssh" accept"

05-5

防火墙移除某个服务

 firewall-cmd --remove-rich-rule="rule family="ipv4" source address="10.168.186.25" service name="ssh" drop"
#从允许通过防火墙的列表里移除SSH服务
 sudo firewall-cmd --remove-service=ssh --permanent

firewall-cmd --remove-rich-rule="rule protocol value="icmp" drop" --permanent

05-6

xml方式查看所有规则--对应zone的xml文件中查看规则

cat /etc/firewalld/zones/public.xml 



Tags:防火墙   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
NGFW:网络工程师必备防火墙
在网络技术飞速发展的今天,防火墙已成为网络工程师必备的防御工具之一。而其中,下一代防火墙(NGFW)凭借其高效、智能的防护特点,更是成为了业界的明星产品。本文将详细介绍NGFW的...【详细内容】
2023-12-12  Search: 防火墙  点击:(132)  评论:(0)  加入收藏
如何保护应用?Web应用防火墙详细解读
如今,多云环境、API安全功能扩展、合作伙伴集成即时可用、可用性和可视化增强以及提高自动化程度已经成为基本要求。伴随企业应用架构的迁移,在用户端,需要在部署环境不断扩展...【详细内容】
2023-12-06  Search: 防火墙  点击:(134)  评论:(0)  加入收藏
详解交换机与防火墙的关系?
在网络的巨大森林中,有三位关键角色,它们分别是交换机、路由器和防火墙。这三者几乎是每个网络的基石,但很多人对它们的使用却容易产生混淆。今天,我们将深入剖析这三种设备的应...【详细内容】
2023-12-01  Search: 防火墙  点击:(176)  评论:(0)  加入收藏
十个最佳免费 Linux 防火墙工具
概述防火墙是保护网络边界的关键。防火墙会阻止敏感端口并过滤传入和传出流量,以阻止恶意连接并确保不会发生未经请求的数据交换。在自由开源软件的世界里,有很多防火墙解决方...【详细内容】
2023-11-28  Search: 防火墙  点击:(173)  评论:(0)  加入收藏
防火墙与杀毒软件有什么区别?
硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯...【详细内容】
2023-11-16  Search: 防火墙  点击:(215)  评论:(0)  加入收藏
防火墙的工作原理是什么?
防火墙的原理是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制...【详细内容】
2023-08-29  Search: 防火墙  点击:(297)  评论:(0)  加入收藏
一键关闭防火墙软件
作为一名电脑从业者,我有10年的经验,并熟悉Windows系统的各种设置和指令。来解决您的问题,如何关闭Windows系统的防火墙。以下是几个解决方案:一键关闭防火墙的工具包在这里:52ru...【详细内容】
2023-08-24  Search: 防火墙  点击:(221)  评论:(0)  加入收藏
一键关闭win10防火墙小工具
关闭windows系统防火墙的几个解决方案如下:一键关闭防火墙工具自取:52ruanjian.top/share/wall.html 使用控制面板: 打开控制面板,选择"Windows Defender 防火墙",在防火墙设置...【详细内容】
2023-08-16  Search: 防火墙  点击:(302)  评论:(0)  加入收藏
什么是Web应用程序防火墙,WAF与其他网络安全工具差异在哪?
一、什么是Web 应用程序防火墙 (WAF) ? WAF软件产品被广泛应用于保护Web应用程序和网站免受威胁或攻击,它通过监控用户、应用程序和其他互联网来源之间的流量,有效防御跨站点伪...【详细内容】
2023-08-14  Search: 防火墙  点击:(258)  评论:(0)  加入收藏
华为防火墙,客户端无法连接,建立连接超时,配置错误或网络故障
之前为某客户的华为防火墙配置了L2TP OVER IPSEC,突然发现无法连接了,UniVPN报错:与对方建立连接超时,配置错误或网络故障。根据华为官方的解释是,配置的认证模式和设备侧配置的L...【详细内容】
2023-08-10  Search: 防火墙  点击:(149)  评论:(0)  加入收藏
▌简易百科推荐
如何使用免费网络安全工具Canary Tokens查明黑客何时访问了您的文件?
译者 | 布加迪审校 | 重楼担心您的个人文件被黑客窃取吗?Canary Tokens是一款免费且易于使用的工具,可以快速部署。如果黑客打开您的文件,它就会通知您。什么是Canary Tokens?Ca...【详细内容】
2024-03-26    51CTO  Tags:Canary Tokens   点击:(13)  评论:(0)  加入收藏
如何用ChatGPT分析恶意软件
译者 | 陈峻审校 | 重楼自从我们进入数字化时代以来,恶意软件就一直是计算机应用系统的“心腹大患”。事实上,每一次技术进步都会为恶意行为者提供更多的工具,使得他们的攻击行...【详细内容】
2023-12-12    51CTO  Tags:恶意软件   点击:(201)  评论:(0)  加入收藏
NGFW:网络工程师必备防火墙
在网络技术飞速发展的今天,防火墙已成为网络工程师必备的防御工具之一。而其中,下一代防火墙(NGFW)凭借其高效、智能的防护特点,更是成为了业界的明星产品。本文将详细介绍NGFW的...【详细内容】
2023-12-12    历史痕迹  Tags:防火墙   点击:(132)  评论:(0)  加入收藏
如何保护应用?Web应用防火墙详细解读
如今,多云环境、API安全功能扩展、合作伙伴集成即时可用、可用性和可视化增强以及提高自动化程度已经成为基本要求。伴随企业应用架构的迁移,在用户端,需要在部署环境不断扩展...【详细内容】
2023-12-06  科技信息分析者    Tags:防火墙   点击:(134)  评论:(0)  加入收藏
八个优秀开源内网穿透工具
内网穿透(NAT穿透)是一种将本地网络服务暴露给互联网的一种技术。这种技术可以很好地解决许多局域网内的资源共享。采用路由的方式将一台计算机变成一个“路由器”,将公共的网...【详细内容】
2023-11-29  andflow  微信公众号  Tags:内网穿透   点击:(213)  评论:(0)  加入收藏
十个最佳免费 Linux 防火墙工具
概述防火墙是保护网络边界的关键。防火墙会阻止敏感端口并过滤传入和传出流量,以阻止恶意连接并确保不会发生未经请求的数据交换。在自由开源软件的世界里,有很多防火墙解决方...【详细内容】
2023-11-28  雪竹聊技术  今日头条  Tags:防火墙   点击:(173)  评论:(0)  加入收藏
防火墙与杀毒软件有什么区别?
硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯...【详细内容】
2023-11-16    天铭互联网  Tags:防火墙   点击:(215)  评论:(0)  加入收藏
ngrok-内网穿透神器,开发人员必备
概述ngrok是一款开源的网络服务,能够为在本地运行的网络应用提供公开的、基于互联网的URL。这使得网络开发人员可以将自己正在开发的网页或者API暴露到互联网上,方便进行演示...【详细内容】
2023-10-07  阿拉尔的阳光  今日头条  Tags:内网穿透   点击:(102)  评论:(0)  加入收藏
“二次约会”间谍软件分析报告:网络攻击西北工业大学 美国相关人员真实身份被锁定
近日,国家计算机病毒应急处理中心和360公司对名为“二次约会”(SecondDate)的“间谍”软件进行了技术分析,该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS...【详细内容】
2023-09-14    央视新闻客户端  Tags:间谍软件   点击:(302)  评论:(0)  加入收藏
DNSBin:一款功能强大的DNS与服务器安全测试工具
关于DNSBinDNSBin是一款功能强大的DNS与服务器安全测试工具,该工具可以通过DNS来测试数据泄露,并在目标环境部署了严苛网络安全限制的场景下帮助广大研究人员测试远程代码执...【详细内容】
2023-09-08    FreeBuf.COM  Tags:DNSBin   点击:(245)  评论:(0)  加入收藏
站内最新
站内热门
站内头条