区块链技术博客
www.b2bchain.cn

防火墙基础–firewalld的详细介绍与项目实操

这篇文章主要介绍了防火墙基础–firewalld的详细介绍与项目实操的讲解,通过具体代码实例进行21207 讲解,并且分析了防火墙基础–firewalld的详细介绍与项目实操的详细步骤与相关技巧,需要的朋友可以参考下https://www.b2bchain.cn/?p=21207

本文实例讲述了2、树莓派设置连接WiFi,开启VNC等等的讲解。分享给大家供大家参考文章查询地址https://www.b2bchain.cn/7039.html。具体如下:

文章目录

  • 1.firewalld 概述
    • 1.1 区域的概念
    • 1.2 firewalld 和 iptales 的关系
    • 1.3 firewalld 和 iptales 的区别
  • 2.字符管理工具
    • 2.1 firewall–cmd介绍
    • 2.2 区域管理
      • 2.2.1 查看默认区域
      • 2.2.2 列出当前正在使用的区域及其对应的网卡接口
      • 2.2.3 列出所有可用区域
      • 2.2.4 设置默认区域
    • 2.3 服务管理
      • 2.3.1 查看预定义服务
      • 2.3.2 添加httpd服务到public区域
      • 2.3.3 查看public区域已设置规则
      • 2.3.4 移除public区域的httpd服务
    • 2.4 端口管理
      • 2.4.1 允许TCP的3360端口到public区域
      • 2.4.2 从public区域将TCP的3360端口移除
      • 2.4.3 允许某一范围的端口
    • 2.5 项目配置实例
  • 3.图形管理工具
    • 3.1 设置为临时或永久
    • 3.2 图形界面工具中选项窗口
      • 3.2.1 重载防火墙
      • 3.2.2 关联网卡到指定区域
      • 3.2.3 修改默认区域
    • 3.3 区域选项卡
    • 3.4 图形管理工具项目实例
      • 3.4.1 把来源加入work区域
      • 3.4.2 配置work区域
      • 3.4.3 配置public

1.firewalld 概述

1)firewalld特点

  • 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具;
  • 支持IPv4、IPv6 防火墙设置以及以太网桥;
  • 支持服务或应用程序直接添加防火墙规则接口;
  • 拥有两种配置模式runtime和permanent

2)firewalld的配置模式如下

  • 运行时配置(runtime)
    指正在运行生效的状态,在runtime状态添加新的防火墙规则,这些规则会立即生效,但是重新加载防火墙配置或者再重启系统后这些规则将会失效,不能修改服务配置
  • 永久配置(permanent)
    指永久生效的状态,在permanent状态添加新的防火墙规则,这些规则不会马上生效,需要重新加载防火墙配置或者重启系统后生效,可以修改服务配置

1.1 区域的概念

  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口;
  • firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口条件等将流量传入相应区域,每个区域都定义了自己打开或关闭的端口和服务列表。
  • firewalld默认区域为public区域。

firewalld防火墙预定义区域,如下表:

区域名称 默认配置说明
Trusted(信任) 允许所有的传入流量,可接受所有的网络连接
Home(家庭) 允许与ssh、mdns、samba-client、ipp-client或dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
Internal(内部) 用于内部网络。默认值时与home区域相同
Work(工作) 允许与ssh、ipp-client或dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
Public(公共) 允许与ssh或dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
External(外部) 允许与ssh 预定义服务匹配的传入流量,其余均拒绝。默认将经过此区域转发的IPv4地址传出流量进行地址伪装
Dmz(非军事区) 允许与ssh 预定义服务匹配的传入流量,其余均拒绝
Block(限制) 拒绝所有传入流量
Drop(丢弃) 丢弃所有传入流量

firewalld数据处理流程:

检查数据来源的源地址:

  • 若源地址关联到特定的区域,则执行该区域所指定的规则
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域,并执行该区域所指定的规则
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

1.2 firewalld 和 iptales 的关系

netfilter 与 iptables 的主要区别如下:

  • netfilter:位于linux内核中的包过滤功能体系;被称为linux防火墙的“内核态”

  • firewalld/iptables:centos7 默认的管理防火墙规则的工具(firewalld),称为linux防火墙的“用户态”。在防火墙中,发挥作用的是netfilter(内核态),不可以直接管理,只能间接管理,使用firewalld或者iptables。

防火墙基础--firewalld的详细介绍与项目实操

运作关系:

  • 使用工具或者操作去管理进程和服务;
  • 进程服务去控制封装的iptables命令,间接的去管理内核中的netfiler;
  • 真正能跟netfilter交互的是iptables,firewalld去管理iptables;

1.3 firewalld 和 iptales 的区别

区别 firewalld iptables
配置文件 /usr/lib/firewalld/ /etc/firewalld etc/firewalld /etc/sysconfig/iptables
对规则的修改 不需要全部刷新策略,不丢失现行连接 需要全部刷新策略,丢失连接
防火墙类型 动态防火墙 静态防火墙

注意:

  • CentOS 6 和CentOS 7 防火墙的区别
    centos7有firewalld,iptables;centos6是iptables

2.字符管理工具

2.1 firewall–cmd介绍

  • firewall-cmd是firewalld防火墙自带的字符管理工具,可以用来设置firewalld防火墙的各种规则;
  • 在使用firewall-cmd命令管理防火墙时,需要添加为永久生效的规则需在配置规则时添加–permanent选项(否则所有命令都是作用于runtime,运行时配置);
  • 如果让永久生效规则立即覆盖当前规则生效使用,还需要使用firewall-cmd –reload命令重新加载防火墙配置。

扩展:

  • firewall-config 是图形化工具
  • firewall-cmd 是字符命令

常用的firewall-cmd命令,如下表:

firewall–cmd命令 说明
–get-zones 查看所有区域也可以用–list-all-zones
–get-services 查看支持的所有服务名称
–get-default-zone 查看当前默认区域
–get-active-zones 列出当前正在使用的区域及其对应的网卡接口
–get-zones 列出所有可用区域
–get-zone-of-interface=ens33 查看指定网卡所处的区域
–zone=区域 –query-service=服务 查看指定区域中有没有相关的服务开放
–set-default-zone=区域 设置该区域为默认区域(注意此命令会同时修改运行时配置和永久配置)
–add-source=ip/网段 –zone=区域 将来自IP地址或网段的所有流量路由到指定区域,没有指定区域时使用默认区域
–remove-source=ip/网段 –zone=区域 从指定区域中删除来自IP地址或网段的所有路由流量规则,没有指定区域时使用默认区域
–add-interface=接口 –zone=区域 将来自该接口的所有流量都路由到指定区域,没有指定区域时使用默认区域
–change-interface=接口 –zone=区域 将接口与指定区域关联,没有指定区域时使用默认区域
–list-all [–zone=区域] 列出指定区域已配置接口、源、服务、端口信息。没有指定区域时使用默认区域
–add-service=服务 [–zone=区域] 允许到该服务的流量通过指定区域,没有指定区域时使用默认区域
–remove-service=服务 [–zone=区域] 从指定区域的允许列表中删除该服务,没有指定区域时使用默认区域
–add-port=端口 [–zone=区域] 允许到该端口的流量通过指定区域,没有指定区域时使用默认区域
–remove-port=端口 [–zone=区域] 从指定区域的允许列表中删除该端口,没有指定区域时使用默认区域
–list-services 查看当前区域允许的服务
–reload 重新加载配置文件

注意:表中“[ ]”表示可以省略,省略指定区域就表示使用默认区域。

2.2 区域管理

2.2.1 查看默认区域

[[email protected] ~]# firewall-cmd --get-default-zone public 

2.2.2 列出当前正在使用的区域及其对应的网卡接口

[[email protected] ~]# firewall-cmd --get-active-zone public   interfaces: ens33  [[email protected] ~]# firewall-cmd --permanent --zone=external --change-interface=ens33	//为网卡设置区域 [[email protected] ~]# firewall-cmd --reload 

2.2.3 列出所有可用区域

[[email protected] ~]# firewall-cmd --get-zones block dmz drop external home internal public trusted work 

2.2.4 设置默认区域

[[email protected] ~]# firewall-cmd --set-default-zone=home success [[email protected] ~]# firewall-cmd --get-default-zone home 

2.3 服务管理

2.3.1 查看预定义服务

[[email protected] ~]# firewall-cmd --get-service 

防火墙基础--firewalld的详细介绍与项目实操

2.3.2 添加httpd服务到public区域

[[email protected] ~]# firewall-cmd --add-service=http --zone=public --permanent    									  //加permanent是指永久配置,不加表示即时生效的临时配置 success [[email protected] ~]# firewall-cmd --reload success 

2.3.3 查看public区域已设置规则

[[email protected] ~]# firewall-cmd --list-all --zone=public public (active)   target: default   icmp-block-inversion: no   interfaces: ens33   sources:    services: ssh dhcpv6-client http   ports:    protocols:    masquerade: no   forward-ports:    source-ports:    icmp-blocks:    rich rules:  

2.3.4 移除public区域的httpd服务

[[email protected] ~]# firewall-cmd --remove-service=httpd --permanent		//不指定区域表示使用默认区域 success 也可以同时添加多个服务 [[email protected] ~]# firewall-cmd --add-service=httpd --add-service=https success 

2.4 端口管理

2.4.1 允许TCP的3360端口到public区域

[[email protected] ~]# firewall-cmd --add-port=3360/tcp  success [[email protected] ~]# firewall-cmd --list-all public (active)   target: default   icmp-block-inversion: no   interfaces: ens33   sources:    services: ssh dhcpv6-client http https   ports: 3360/tcp   protocols:    masquerade: no   forward-ports:    source-ports:    icmp-blocks:    rich rules:  

2.4.2 从public区域将TCP的3360端口移除

[[email protected] ~]# firewall-cmd --remove-port=3360/tcp success 

2.4.3 允许某一范围的端口

[[email protected] ~]# firewall-cmd --add-port=2048-2050/udp  success [[email protected] ~]# firewall-cmd --list-ports	//查看加入的端口操作是否成功 2048-2050/udp 

2.5 项目配置实例

  • 将默认区域设置为dmz,来自网络192.168.54.0/24的流量全部分配给 internal 区域,并且打开 internal 区域的80端口供用户访问
[[email protected] ~]# firewall-cmd --set-default-zone=dmz success [[email protected] ~]# firewall-cmd --add-source=192.168.54.0/24 --zone=internal --permanent success [[email protected] ~]# firewall-cmd --add-service=http --zone=internal --permanent success [[email protected] ~]# firewall-cmd --reload success 

如果使用firewalld的基本语法不够用,还可以添加富规则,设置针对某个服务、主机地址、端口号等等更加详细的规则策略,在所有的策略设置中的优先级也是最高的。

富规则添加实例:

[[email protected] ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source  address="172.16.10.0/22" service name="ssh" reject"		//拒绝172.16.10.0/22网络用户访问ssh 

3.图形管理工具

  • 除了字符管理工具外,firewalld防火墙还提供了图形管理工具 firewall-config ,可用于查看和更改 firewalld 防火墙正在运行时的配置和永久配置,可以使用 firewall-config 软件包进行安装使用;
  • 安装好后,使用 firewall-config 命令启动图形管理工具,启动界面如下图:

防火墙基础--firewalld的详细介绍与项目实操

3.1 设置为临时或永久

防火墙基础--firewalld的详细介绍与项目实操

3.2 图形界面工具中选项窗口

3.2.1 重载防火墙

  • 设置新的防火墙规则,并设置为永久时,我们需要使用“firewall-cmd –reload”重载防火墙,在图形界面设置如图所示

防火墙基础--firewalld的详细介绍与项目实操

3.2.2 关联网卡到指定区域

防火墙基础--firewalld的详细介绍与项目实操

3.2.3 修改默认区域

防火墙基础--firewalld的详细介绍与项目实操

3.3 区域选项卡

防火墙基础--firewalld的详细介绍与项目实操

3.4 图形管理工具项目实例

  • 服务机192.168.100.120充当防火墙服务机

服务机配置如下:

[[email protected] ~]# systemctl status sshd ● sshd.service - OpenSSH server daemon    Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)    Active: active (running) since 二 2020-07-28 10:12 [[email protected] ~]# rpm -q httpd httpd-2.4.6-93.el7.centos.x86_64 [[email protected] ~]# systemctl start httpd 

3.4.1 把来源加入work区域

防火墙基础--firewalld的详细介绍与项目实操
防火墙基础--firewalld的详细介绍与项目实操

3.4.2 配置work区域

  • 关闭ICMP协议,关闭ping的请求与回复

防火墙基础--firewalld的详细介绍与项目实操

  • 开启ssh服务供192.168.100.130访问

防火墙基础--firewalld的详细介绍与项目实操

  • 开启http服务供来源页面访问

防火墙基础--firewalld的详细介绍与项目实操

  • 验证防火墙

防火墙基础--firewalld的详细介绍与项目实操
防火墙基础--firewalld的详细介绍与项目实操
防火墙基础--firewalld的详细介绍与项目实操

3.4.3 配置public

  • 关闭ssh

防火墙基础--firewalld的详细介绍与项目实操

  • 开启http

防火墙基础--firewalld的详细介绍与项目实操

  • 关闭ping 功能

防火墙基础--firewalld的详细介绍与项目实操

  • 验证防火墙
    把客户机192.168.100.130换个地址,不在work区域内,匹配到public区域

防火墙基础--firewalld的详细介绍与项目实操
防火墙基础--firewalld的详细介绍与项目实操
防火墙基础--firewalld的详细介绍与项目实操

本文转自互联网,侵权联系删除防火墙基础–firewalld的详细介绍与项目实操

赞(0) 打赏
部分文章转自网络,侵权联系删除b2bchain区块链学习技术社区 » 防火墙基础–firewalld的详细介绍与项目实操
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

b2b链

联系我们联系我们