Firewalld防火墻安全防護
引言
Firewalld 服務是紅帽 RHEL7 系統中默認的防火墻管理工具,特點是擁有運行時配置與永久配置選項且能夠支持動態更新以及 "zone" 的區域功能概念,使用圖形化工具 firewall-config 或文本管理工具 firewall-cmd,下面實驗中會講到~
區域概念與作用
防火墻的網絡區域定義瞭網絡連接的可信等級,我們可以根據不同場景來調用不同的 firewalld 區域,區域規則有:
| 區域 | 默認規則策略 |
|---|---|
| trusted | 允許所有的數據包。 |
| home | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh,mdns,ipp-client,samba-client 與 dhcpv6-client 服務則允許。 |
| internal | 等同於 home 區域 |
| work | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh,ipp-client 與 dhcpv6-client 服務則允許。 |
| public | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh,dhcpv6-client 服務則允許。 |
| external | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh 服務則允許。 |
| dmz | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh 服務則允許。 |
| block | 拒絕流入的數據包,除非與輸出流量數據包相關。 |
| drop | 拒絕流入的數據包,除非與輸出流量數據包相關。 |
簡單來講就是為用戶預先準備瞭幾套規則集合,我們可以根據場景的不同選擇合適的規矩集合,而默認區域是 public。
字符管理工具
如果想要更高效的配置妥當防火墻,那麼就一定要學習字符管理工具 firewall-cmd 命令, 命令參數有:
| 參數 | 作用 |
|---|---|
| –get-default-zone | 查詢默認的區域名稱。 |
| –set-default-zone=<區域名稱> | 設置默認的區域,永久生效。 |
| –get-zones | 顯示可用的區域。 |
| –get-services | 顯示預先定義的服務。 |
| –get-active-zones | 顯示當前正在使用的區域與網卡名稱。 |
| –add-source= | 將來源於此 IP 或子網的流量導向指定的區域。 |
| –remove-source= | 不再將此 IP 或子網的流量導向某個指定區域。 |
| –add-interface=<網卡名稱> | 將來自於該網卡的所有流量都導向某個指定區域。 |
| –change-interface=<網卡名稱> | 將某個網卡與區域做關聯。 |
| –list-all | 顯示當前區域的網卡配置參數,資源,端口以及服務等信息。 |
| –list-all-zones | 顯示所有區域的網卡配置參數,資源,端口以及服務等信息。 |
| –add-service=<服務名> | 設置默認區域允許該服務的流量。 |
| –add-port=<端口號/協議> | 允許默認區域允許該端口的流量。 |
| –remove-service=<服務名> | 設置默認區域不再允許該服務的流量。 |
| –remove-port=<端口號/協議> | 允許默認區域不再允許該端口的流量。 |
| –reload | 讓 “永久生效” 的配置規則立即生效,覆蓋當前的。 |
特別需要註意的是 firewalld 服務有兩份規則策略配置記錄,必需要能夠區分:
- RunTime: 當前正在生效的。
- Permanent: 永久生效的。
當下面實驗修改的是永久生效的策略記錄時,必須執行 "--reload" 參數後才能立即生效,否則要重啟後再生效。
查看當前的區域:
$ firewall-cmd --get-default-zone public
查詢 eno16777728 網卡的區域:
$ firewall-cmd --get-zone-of-interface=eno16777728 public
在 public 中分別查詢 ssh 與 http 服務是否被允許:
$ firewall-cmd --zone=public --query-service=ssh yes $ firewall-cmd --zone=public --query-service=http no
設置默認規則為 dmz:
$ firewall-cmd --set-default-zone=dmz
讓 “永久生效” 的配置文件立即生效:
$ firewall-cmd --reload success
啟動/關閉應急狀況模式,阻斷所有網絡連接:
應急狀況模式啟動後會禁止所有的網絡連接,一切服務的請求也都會被拒絕,當心,請慎用。
$ firewall-cmd --panic-on success $ firewall-cmd --panic-off success
如果您已經能夠完全理解上面練習中 firewall-cmd 命令的參數作用,不妨來嘗試完成下面的模擬訓練吧:
模擬訓練 1
允許 https 服務流量通過 public 區域,要求立即生效且永久有效:
方法一: 分別設置當前生效與永久有效的規則記錄:
$ firewall-cmd --zone=public --add-service=https $ firewall-cmd --permanent --zone=public --add-service=https
方法二: 設置永久生效的規則記錄後讀取記錄:
$ firewall-cmd --permanent --zone=public --add-service=https $ firewall-cmd --reload
模擬訓練 2
不再允許 http 服務流量通過 public 區域,要求立即生效且永久生效:
$ firewall-cmd --permanent --zone=public --remove-service=http success
使用參數 "–reload" 讓永久生效的配置文件立即生效:
$ firewall-cmd --reload success
模擬訓練 3
允許 8080 與 8081 端口流量通過 public 區域,立即生效且永久生效:
$ firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp $ firewall-cmd --reload
模擬訓練 4
查看模擬實驗 C 中要求加入的端口操作是否成功:
$ firewall-cmd --zone=public --list-ports 8080-8081/tcp $ firewall-cmd --permanent --zone=public --list-ports 8080-8081/tcp
模擬實驗 5
將 eno16777728 網卡的區域修改為 external,重啟後生效:
$ firewall-cmd --permanent --zone=external --change-interface=eno16777728 success $ firewall-cmd --get-zone-of-interface=eno16777728 public
端口轉發功能可以將原本到某端口的數據包轉發到其他端口:
firewall-cmd --permanent --zone=<區域> --add-forward-port=port=<源端口號>:proto=<協議>:toport=<目標端口號>:toaddr=<目標 IP 地址>
將訪問 192.168.10.10 主機 888 端口的請求轉發至 22 端口:
$ firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10 success
使用客戶機的 ssh 命令訪問 192.168.10.10 主機的 888 端口:
$ ssh -p 888 192.168.10.10 The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established. ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts. [email protected]'s password: Last login: Sun Jul 19 21:43:48 2015 from 192.168.10.10
再次提示: 註意立即生效與重啟後依然生效的差別,千萬不要修改錯瞭。
模擬實驗 6
設置富規則,拒絕 192.168.10.0/24 網段的用戶訪問 ssh 服務:
firewalld 服務的富規則用於對服務、端口、協議進行更詳細的配置,規則的優先級最高。
$ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"source address="192.168.10.0/24"service name="ssh"reject" success
以上就是Firewalld防火墻安全防護的詳細內容,更多關於Firewalld防火墻的資料請關註WalkonNet其它相關文章!
推薦閱讀:
- CentOS7 防火墻(firewall)的操作命令大全
- CentOS7防火墻和端口相關命令介紹
- 關於idea+centos7+zookeeper報錯connectionloss,timeout問題
- 騰訊雲服務器tomcat端口無法訪問的解決方法
- docker端口映射及外部無法訪問問題