📅 最后修改于: 2020-10-31 13:29:52 🧑 作者: Mango
firewalld是CentOS上iptables的默认前端控制器。与原始iptables相比,防火墙前端有两个主要优势-
使用易于配置的区域并实现抽象链和规则的区域。
规则集是动态的,这意味着在更改和/或修改设置时状态连接不会中断。
请记住, firewalld是iptables的包装器-而不是替代品。尽管自定义iptables命令可与firewalld一起使用,但建议使用firewalld,以免破坏防火墙功能。
首先,让我们确保firewalld已启动并启用。
[root@CentOS rdc]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2017-01-26 21:42:05 MST; 3h 46min ago
Docs: man:firewalld(1)
Main PID: 712 (firewalld)
Memory: 34.7M
CGroup: /system.slice/firewalld.service
└─712 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
我们可以看到,firewalld既处于活动状态(在启动时启动),又正在运行。如果不活动或未开始,我们可以使用-
systemctl start firewalld && systemctl enable firewalld
现在我们已经配置了防火墙服务,让我们确保它可以运行。
[root@CentOS]# firewall-cmd --state
running
[root@CentOS]#
我们可以看到,firewalld服务已完全正常运行。
Firewalld致力于区域概念。通过网络管理器将区域应用于网络接口。我们将在配置网络时对此进行讨论。但是目前,默认情况下,更改默认区域将更改保留在默认状态“默认区域”中的所有网络适配器。
让我们快速浏览一下firewalld提供的每个可用区域。
| Sr.No. | Zone & Description |
|---|---|
| 1 |
drop Low trust level. All incoming connections and packetsare dropped and only outgoing connections are possible via statefullness |
| 2 |
block Incoming connections are replied with an icmp message letting the initiator know the request is prohibited |
| 3 |
public All networks are restricted. However, selected incoming connections can be explicitly allowed |
| 4 |
external Configures firewalld for NAT. Internal network remains private but reachable |
| 5 |
dmz Only certain incoming connections are allowed. Used for systems in DMZ isolation |
| 6 |
work By default, trust more computers on the network assuming the system is in a secured work environment |
| 7 |
hone By default, more services are unfiltered. Assuming a system is on a home network where services such as NFS, SAMBA and SSDP will be used |
| 8 |
trusted All machines on the network are trusted. Most incoming connections are allowed unfettered. This is not meant for interfaces exposed to the Internet |
最常用的区域是:公共区域,停靠区域,工作区域和家庭区域。
使用每个公共区域的一些场景是-
公共-这是管理员使用的最常见区域。它将允许您应用自定义设置并遵守RFC规范以在LAN上进行操作。
drop-何时使用drop的一个很好的例子是在安全会议,公共WiFi或直接连接到Internet的接口上。 drop假定所有未经请求的请求都是恶意的,包括ICMP探针。因此,任何状态不佳的请求都不会收到答复。缺点是,在某些需要严格遵守RFC的情况下,它可能破坏应用程序的功能。
工作-您在半安全的公司LAN上。可以假定所有流量为中等安全的地方。这意味着它不是WiFi,我们可能已经安装了IDS,IPS和物理安全性或802.1x。我们还应该熟悉使用LAN的人员。
home-您在家庭局域网中。您要对局域网上的每个系统和用户个人负责。您知道LAN上的每台计算机,并且没有一台受到威胁。通常会为信任的个人之间的媒体共享带来新的服务,并且出于安全性考虑,您不需要花费额外的时间。
区域和网络接口在一对多的层次上工作。一个网络接口一次只能应用一个区域。同时,一个区域可以同时应用于许多接口。
让我们看一下可用的区域以及当前应用的区域。
[root@CentOS]# firewall-cmd --get-zones
work drop internal external trusted home dmz public block
[root@CentOS]# firewall-cmd --get-default-zone
public
[root@CentOS]#
准备在firewalld中添加一些自定义规则了吗?
首先,让我们看看我们的盒子从外面看是什么样的形状。
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:36 MST
Nmap scan report for centos.shared (10.211.55.1)
Host is up (0.00046s latency).
Not shown: 1023 filtered ports
PORT STATE SERVICE
22/tcp open ssh
Nmap done: 1 IP address (1 host up) scanned in 3.71 seconds
bash-3.2#
让我们允许传入的请求到端口80。
首先,检查默认应用了哪个区域。
[root@CentOs]# firewall-cmd --get-default-zone
public
[root@CentOS]#
然后,将允许端口80的规则设置为当前默认区域。
[root@CentOS]# firewall-cmd --zone=public --add-port = 80/tcp
success
[root@CentOS]#
现在,让我们在允许端口80连接后选中我们的复选框。
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:42 MST
Nmap scan report for centos.shared (10.211.55.1)
Host is up (0.00053s latency).
Not shown: 1022 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp closed http
Nmap done: 1 IP address (1 host up) scanned in 3.67 seconds
bash-3.2#
现在,它允许未经请求的流量到达80。
让我们把默认的区域下降,并看看会发生什么端口扫描。
[root@CentOS]# firewall-cmd --set-default-zone=drop
success
[root@CentOS]# firewall-cmd --get-default-zone
drop
[root@CentOs]#
现在,让我们在更安全的区域中使用网络接口扫描主机。
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:50 MST
Nmap scan report for centos.shared (10.211.55.1)
Host is up (0.00094s latency).
All 1024 scanned ports on centos.shared (10.211.55.1) are filtered
Nmap done: 1 IP address (1 host up) scanned in 12.61 seconds
bash-3.2#
现在,一切都从外部过滤掉了。
如下所示,当放置drop时,主机甚至不会响应ICMP ping请求。
bash-3.2# ping 10.211.55.1
PING 10.211.55.1 (10.211.55.1): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
让我们再次将默认区域设置为public 。
[root@CentOs]# firewall-cmd --set-default-zone=public
success
[root@CentOS]# firewall-cmd --get-default-zone
public
[root@CentOS]#
现在,让我们在public中检查当前的过滤规则集。
[root@CentOS]# firewall-cmd --zone=public --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s5
sources:
services: dhcpv6-client ssh
ports: 80/tcp
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:
[root@CentOS rdc]#
按照配置,我们的端口80过滤规则仅在运行配置的上下文内。这意味着一旦系统重新启动或防火墙服务重新启动,我们的规则将被丢弃。
我们将很快配置一个httpd守护进程,所以让我们的更改持久化-
[root@CentOS]# firewall-cmd --zone=public --add-port=80/tcp --permanent
success
[root@CentOS]# systemctl restart firewalld
[root@CentOS]#
现在,我们在公共区域中的端口80规则在重新启动和服务重新启动后将保持不变。
以下是对firewall-cmd应用的常见firewalld命令。
| Command | Action |
|---|---|
| firewall-cmd –get-zones | Lists all zones that can be applied to an interface |
| firewall-cmd —status | Returns the currents status of the firewalld service |
| firewall-cmd –get-default-zone | Gets the current default zone |
| firewall-cmd –set-default-zone= |
Sets the default zone into the current context |
| firewall-cmd –get-active-zone | Gets the current zones in context as applied to an interface |
| firewall-cmd –zone= |
Lists the configuration of supplied zone |
| firewall-cmd –zone= |
Applies a port rule to the zone filter |
| –permanent | Makes changes to the zone persistent. Flag is used inline with modification commands |
这些是管理和配置Firewalld的基本概念。
在更复杂的网络场景中,在CentOS中配置基于主机的防火墙服务可能是一项复杂的任务。 CentOS中对firewalld和iptables的高级用法和配置可以学习整个教程。但是,我们介绍了足以完成大多数日常任务的基础知识。