防火墙之firewall配置

firewall

​ CentOS 7中防火墙已经由firewalld来管理,Centos7默认安装了firewalld。

与iptables区别

  1. iptables 仅能通过命令行进行配置;而 firewalld 提供了图形接口,类似windows防火墙的操作方式;
  2. iptables 每一个单独更改意味着清除所有旧的规则,并从 /etc/sysconfig/iptables 中读取所有新的规;则;而 firewalld 在有规则变动后,可以仅仅运行规则中的不同之处,即在 firewalld 运行时间内,改变设置时可以不丢失现行链接;
  3. iptables 的配置文件在 /etc/sysconfig/iptables 中;而 firewalld 的配置文件在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件中;
  4. iptables 没有守护进程,并不能算是真正意义上的服务;而 firewalld 有守护进程;
  5. iptables 通过控制端口来控制服务,而 firewalld 则是通过控制协议来控制端口;
  6. firewalld默认是拒绝;而iptables默认是允许

firewall 服务

# 查看服务状态
service firewalld status
systemctl status firewalld
firewall-cmd --state

# 启动
service firewalld start
systemctl start firewalld

# 重启
service firewalld restart
systemctl start firewalld

# 关闭
service firewalld stop

# 重新加载
firewall-cmd --reload	# 每次修改规则、配置后,需要重新加载使其生效!

开机启动

# 设置开机启动
systemctl enable firewalld
# 停止并禁用开机启动
systemctl disable firewalld

firewalld区域与配置规则

​ 宽松模式::trusted ,单独拒绝的源ip地址写入block,适合于拒绝的少,允许的多的应用场景
​ 严格模式: block,单独允许的源IP地址写入trusted,适合于允许的少,拒绝的多的应用场景;

# 默认为 public
-public:	仅允许访问本机的sshd,dhcp,ping少数几个服务
-trusted:	允许任何访问
-block:		阻塞任何来访请求(明确拒绝)
-drop:		丢弃任何来访的数据包(直接丢弃,不给客户端回应,节省资源)

​ firewalld默认提供了九个zone配置文件:block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml,都保存在**/usr/lib/firewalld/zones/**目录下。

查看默认区域
firewall-cmd --get-default-zone    #默认就是public
修改默认区域
# 修改默认区域为: trusted 区域
firewall-cmd --set-default-zone=trusted
在一个区域添加协议
# 查看区域public里面的所有配置,ping服务没有列出来
firewall-cmd --zone=public --list-all

# runtime,添加http到public区域中,可以正常访问http了
firewall-cmd --zone=public --add-service=http

# runtime,添加ftp到public区域中,可以正常访问ftp了
firewall-cmd --zone=public --add-service=ftp

# 永久添加,写到了相当的配置文件中了
firewall-cmd --zone=public --add-service=http --permanent

# 从public中永久的移除dhcpv6-client服务
firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent
拒绝源IP

​ 1个源IP只能在1个区域中,在block区域中,就不能在trusted区域中了

# firewall-cmd --zone=block --add-source=10.10.67.40 --permanent

firewall-cmd 规则配置

查看规则
firewall-cmd --list-all

prots:所开放、暴漏的端口(包括ipv4、ipv6)
rich rules:自定义防火墙规则,灵活运用,非常的实用(可限制ipv4、ipv6、源地址等)

端口策略
# 查看端口列表
firewall-cmd --permanent --list-port
# 查看所有已开端口
firewall-cmd  --list-ports

# 查询8080端口是否开放
firewall-cmd --query-port=8080/tcp
# 开放80端口
firewall-cmd --permanent --add-port=80/tcp
# 开放3306端口(--permanent:永久生效,没有此参数防火墙重启便失效)
firewall-cmd --zone=public --add-port=3306/tcp --permanent
# 关闭开放的3306端口
firewall-cmd --zone=public --remove-port=3306/tcp --permanent

# 移除端口
firewall-cmd --permanent --remove-port=8080/tcp

firwall-cmd:是Linux提供的操作firewall的一个工具;
permanent:表示设置为持久;
add-port:标识添加的端口;

ipv4、ipv6双协议区分限制
# ipv4
# 默认是public域
# 添加端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="3306" accept'
# 删除端口
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" port protocol="tcp" port="3306" accept'

# ipv6
# 添加端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" port protocol="tcp" port="3306" accept'
# 删除端口
firewall-cmd --permanent --remove-rich-rule='rule family="ipv6" port protocol="tcp" port="3306" accept'

# 查看已经设置的规则
firewall-cmd --zone=public --list-rich-rules
对ip段开放所有端口
# 添加
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.127.0/24" accept'
# 删除
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.127.0/24" accept'

firewall-cmd --reload
限制访问源、访问端口
# 限制具体ip
# 添加
firewall-cmd  --permanent --add-rich-rule="rule family="ipv4" source address="192.168.21.4" port protocol="tcp" port="3005-3007" accept"
# 删除
firewall-cmd  --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.21.4" port protocol="tcp" port="3005-3007" accept"

# 限制ip段
# 添加
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.254.0.0/16" accept' 
# 删除
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.254.0.0/16" accept' 
信任docker、tunl0和calico卡(k8s常用)
# 需要注意的是如果使用了多个域例如trusted、public,加规则时需要加声明参数,否则会有提示
# 例如:--zone=public
firewall-cmd --permanent --zone=trusted --change-interface=docker0
firewall-cmd --permanent --zone=trusted --change-interface=tunl0 
firewall-cmd --permanent --zone=trusted --change-interface=calixxx
firewall-cmd --reload

# 查看信任网卡
firewall-cmd --zone=trusted --list-interfaces
实现本机的端口映射

​ 本地应用的端口重定向(8080–>80),应用场景:从客户机访问 8080 的请求,自动映射到本机 80

# 8080映射到80    
firewall-cmd --permanent --zone=public --add-forward-port=port=8080:proto=tcp:toport=80

firewall-cmd --reload
清空所有规则
# root执行
firewall-cmd --permanent --list-all | grep ports | head -n 1 | \
cut -d: -f2 | tr ' ' '\n' | xargs -I {} firewall-cmd --permanent --remove-port={}

firewall-cmd --reload