firewall防火墙acl规则，以及介绍

admin

现在对安全的要求更严格了,对内网环境的特定服务器,现在只允许指定IP或IP段进行访问,其他一律屏蔽,配置步骤如下:
7 W9 l3 V7 j6 t1 h- [' y2 {检查防火墙是否启动：
systemctl status firewalld.service
) y! J( x$ ?, H* g* ^. D启动防火墙：
systemctl start  firewalld.service
% W+ |& p5 S# g7 D% f
! p  r% K3 }+ @2 W/ t
开机启动防火墙：
% y7 d1 |. \6 `/ g  zsystemctl enable firewalld.service


& l4 w* J; ]( A6 E; l: h/ T修改防火墙acl规则：
3 F) I0 a. y0 L  |通过编辑文件：
4 c% ]/ B; H# E4 q9 e" C8 {vim /etc/firewalld/zones/public.xml
+ ]0 ?6 l4 @& m2 ^/ L
<?xml version="1.0" encoding="utf-8"?>
+ u; S" ~8 y# d- k2 d<zone>
6 x6 `" H7 c( p5 ~6 K( f  <short>Public</short>
2 Z& K# Y2 z: V( W( g  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
' X% I& w0 G: p  T% p/ |2 O</zone>
+ h: N  B, {( J2 L# j( T" p~                  

默认的防火墙规则
3 {5 T. V# \+ \/ D
第二种通过命令：

" @# j5 e; j: C9 M  r- X$ |手动开放指定端口

firewall-cmd --permanent --add-port=3306/tcp

改完配置文件后重载一下防火墙服务
" R/ d9 g3 z6 \0 G' x. _) D3 n( Pfirewall-cmd --reload
( B0 x- c  y9 T; b/ t0 x& [( H

基本应用

firewall-cmd --state
获取firewalld状态
.
  A* x* }/ G& f- zfirewall-cmd --reload
4 m8 x0 ~8 s5 O4 O, z8 k) F在不改变状态的条件下重载防火墙
$ J) j: I: g/ V+ F5 k& Q3 g6 I.
firewall-cmd --complete-reload
# R9 Q% b: A1 F; T0 U# B- A完全重启，状态信息将会丢失
.
# i$ ^% [1 ]/ v2 y6 {1 ?; Z+ E$ nfirewall-cmd --get-zones
获取支持的区域
.
firewall-cmd --get-services
: c5 U; S6 k3 i获取所有支持的服务，支持的服务存放在/usr/lib/firewalld/services目录下。
( Y- y% g, K# u8 c服务是firewalld所使用的有关端口和选项的规则集合。
, y0 x3 c2 i* w5 }+ i被启动的服务会在firewalld服务开启或运行是自动加载。
我们还可以创建自己的服务，即添加端口和服务的对应关系，将在下面讲解。
.
$ r* q$ F% \% |firewall-cmd --get-icmptypes
获取所有支持的ICMP类型
+ T6 m% q" b9 s8 q: ].
4 z% ^% e* i5 cfirewall-cmd --list-all-zones
列出全部启用的区域的特性（即查询当前防火墙策略），特性是定义的防火墙策略。
策略如：服务、端口和协议的组合、端口/数据报转发、伪装、ICMP拦截或自定义规则等。
该命令会列出所有区域的所有特性，包括详细规则（rich-rules）。
) G2 O5 r7 k  L8 K5 O& D9 q.
: {8 M6 N/ _" n$ e- C( x* i  {/ _+ cfirewall-cmd [--zone=区域] --list-all
输出指定区域启用的全部特性，如果区域被省略，将显示默认区域的信息。
.
firewall-cmd --get-default-zone
+ f0 E& U  T; `, W2 u# y查默认区域，默认的默认区域为public
.
9 E0 n7 @4 C: g) h- Z) d( l- t. Efirewall-cmd --set-default-zone=区域
5 |0 _) e! x% \/ v+ Z, P& A设置默认区域，也可通过/etc/firewalld/firewalld.conf中的DefaultZone配置项定义默认区域。
流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的连接将不受影响。
5 X! e6 _& f& y' M* E8 Z.
  _2 n7 R+ t- h' `% O# Vfirewall-cmd --get-active-zones
7 D3 _" [- C8 B: A- C获取活动的区域，同时会输出活动区域所包含的接口。
.
9 o3 {5 c9 @8 j; ]( b  Sfirewall-cmd --get-zone-of-interface=网卡名
查指定接口属于哪个区域
% j) z4 S) U$ q( [1 d.
firewall-cmd [--zone=区域] --add-interface=接口名
将指定接口增加到指定区域，如果区域被省略了，将会被添加到默认区域。
一个接口同时只能属于一个区域，接口会在防火墙重新加载后重新应用。
.
: {- T/ _3 `0 O( O) cfirewall-cmd [--zone=区域] --change-interface=接口名
修改接口所属区域，这个选项与--add-interface选项相似。
3 h+ @6 x; n3 `1 z$ V  b0 Q; |但不同的是，当接口已经存在于另一个区域的时候，该接口将被重置到新的区域。
" ^6 p# D+ C; ~+ S& D+ X.
6 m* [) I7 b8 E$ `- a  |firewall-cmd [--zone=区域] --remove-interface=接口名
从指定区域中删除指定接口，删除后，这个接口的所有数据包将使用默认区域的规则。
! x9 F: o0 r. ?+ B! U3 Q.
firewall-cmd [--zone=区域] --query-interface=接口名
查指定区域中是否包含指定接口，如果区域被省略了，将被指定为默认区域。
3 v% ]+ z# O/ @( d; A- ~0 s5 x, c+ V.
firewall-cmd [--zone=区域] --list-services
列举区域中启用的服务，如果区域被省略了，将使用默认区域。
4 F7 e3 t- ?: @- A! ].
& w. E" U- U6 A" @& I$ I8 Vfirewall-cmd --query-masquerade 检查是否允许NAT转发
0 p# Q( g1 l# S* Vfirewall-cmd --zone=public --add-masquerade --permanent 永久开启路由转发
5 X( h6 ^4 i9 L2 s1 O/ `$ P1 g0 x1 |firewall-cmd --remove-masquerade 禁止防火墙NAT转发
.
firewall-cmd --panic-on 启用应急模式，将阻断所有网络连接，以防出现紧急状况。
: V5 R  U# ^8 t/ e8 }5 ^firewall-cmd --panic-off 禁用应急模式
firewall-cmd --query-panic 查应急模式状态
9 A+ I2 f, y' D3 t# T.
+ y* z7 C& t7 j) [' a) d- s其它相关的配置可在手册页man firewall-cmd中查看。

$ y6 a+ ]3 ?; Q

admin

firewalld默认为我们提供了9个区域，默认就有一些区域是有效的。这些区域按照不信任到信任的顺序排序，如下。
.
$ I  d- U3 {3 y$ y. g起---------------------------------
0 l2 t* Q- O9 x& p1 Y丢弃区域（Drop Zone）
' Z3 C% S. P1 L% K9 ~如果使用丢弃区域，任何进入的数据包都将被丢弃。
- _+ D" D3 M+ q: k% S这个类似于6.x版本中使用的iptables -j drop。
7 k4 v' z  Q7 E* y使用丢弃规则意味着将不存在响应。
.
阻塞区域（Block Zone）
# q1 h" l8 s0 z2 T5 {5 C' X8 b- K阻塞区域会拒绝进入的网络连接，并返回icmp-host-prohibited。
只有服务器已经建立的连接会被通过，即只允许由该系统初始化的网络连接。
5 x8 J) D/ g4 |6 p; m.
. r. K" B0 y/ c/ a* k8 j公共区域（Public Zone）
3 I  V, b  C; P0 h  Q* z只接受被选中的连接，默认只允许ssh和dhcpv6-client。
9 ~! }* Q" r' C- j/ `+ M( c这个zone是缺省zone，即被默认使用的Zone。
.
" ]/ P+ u" r1 n2 Z: e5 X7 y$ w. M外部区域（External Zone）
0 F* p! {  p" i4 U$ N只有指定的连接会被接受，即ssh，而其它的连接将被丢弃或不被接受。
$ v- N' b, f% D4 E! C! h7 M这个区域类似于路由器的启用伪装(masquerading)选项。
/ C, m0 [( \+ Q1 m& s, i& J.
/ ], L" Y3 p8 O4 b; v隔离区域（DMZ Zone）
$ l8 @+ _3 m$ _3 ]5 t4 j该区域只允许被选中的连接通行。
; b. p+ C* `0 @7 V6 N4 A# J3 C如果只允许部分服务能被外部访问，可以在DMZ区域中定义。
# p6 S; w/ I) J& c.
工作区域（Work Zone）
6 I/ N: M# U5 `5 P- L  W在这个区域，我们只能定义内部网络连接。
( P2 Q% Z/ f2 ]# g比如私有网络通信才被允许，只允许ssh， ipp-client和dhcpv6-client。
.
, h- A' ]* E/ A8 I$ c家庭区域（Home Zone）
: ^# _. B( Z1 f  W这个区域专用于家庭环境。
# d* X2 X, \/ ^它同样只允许被选中的连接，即ssh，ipp-client，mdns，samba-client和dhcpv6-client。
. z9 @8 Q7 V# q9 X8 a+ H0 }.
. A6 k, B$ J. o8 v' K) h内部区域（Internal Zone）
6 R5 |" I% |: ~4 V; W/ H9 _这个区域和工作区域类似，只有被选中的连接才可通行，和家庭区域一样。
$ A3 F. A0 ^8 i.
信任区域（Trusted Zone）
. r" C  B. d$ Y+ f: g8 x' Z信任区域允许所有网络连接通行。
切记：trusted区域是最被信任的区域，使用该区域时，在不做任何配置的情况下允许所有连接通行。
--------------------------------------始
1 B5 T- A" f. z" V) e/ S" L9 U2 f.
以上是系统定义的所有的zone，但这些zone并不是都在使用，只有活跃的zone才有实际操作意义。

Firewalld 原则
; h6 A( c( a0 q7 e2 l! d! N.
8 i. M0 V% H, \& `当一个客户端访问服务器时，服务器将根据以下原则决定使用哪个zone的策略去匹配。
* t  Y' _& Z  y. D- m$ a( ^5 x! b) z.
4 @& s/ `% |; _  m. u" O1
如果这个客户端数据包的源IP地址匹配zone的sources(来源)，那么该zone的规则就适用这个客户端。
注意：一个源只能属于一个zone，不能同时属于多个zone。
.
2
如果这个客户端数据包进入服务器的某一个接口(如eth0)区配zone的interfaces， 则么该zone的规则就适用这个客户端。
一个接口只能属于一个zone，不能同时属于多个zone。
.
3
如果上述两个原则都不满足，那么缺省的zone将被应用，即使用public区域。

admin

实现过程
, ~; t+ B, c0 y0 i7 a
3 w$ I8 R  i, p/ n! O" ]下面的命令将配置192.168.1.0/24整个网段的IP允许访问服务器的22端口


// 先移除默认开启的没有访问限制的ssh服务
1 H2 j/ g. Z% k. J+ N; P# firewall-cmd --permanent --remove-service=ssh
6 n2 [3 a1 }0 u// 添加复杂规则,只允许指定IP段访问22端口
7 g6 F9 u1 o6 N# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'
- j5 d$ c* p" t% p* G) [- P2 f. y+ D// 使上面配置生效
% l: ?& N  A6 [( T4 E# firewall-cmd --reload
// 查看当前配置信息
# firewall-cmd --list-all
7 |" x( }+ S/ P  y: ~
备注:
source address也可以设置为单个IP地址,例如192.168.1.1
: z2 @. j6 R% D) ?! h( b! @# x port可以为单个端口或端口范围，例如1-10000

3 V- |, q8 {- Y) B% h: S

7 a7 ^! ^- ~0 u2 |. j9 |其他常用命令

删除之前的复杂规则,这里的内容需要与之前添加时的rule内容完全一致,可以复制粘贴过来
6 P* T: h& N& w, l# j, F/ l) r
2 Y, K( M" P4 h$ bfirewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'

手动开放指定端口
9 n7 [8 X+ N3 @5 k' t+ r
( P5 H8 S" E6 D1 I; D# Q8 u9 hfirewall-cmd --permanent --add-port=3306/tcp

$ F- x" |6 I1 K) F( ~" k' X删除开放的端口
3 O; r7 o$ q4 A6 f0 v1 _
* m2 G8 v, L2 hfirewall-cmd --permanent --remove-port=3306/tcp

开放指定服务(系统内置的)

7 x) A" W! [0 n6 ^0 ofirewall-cmd --permanent --add-service=http
* X6 T: q& B" j& u
* K* |# j: X0 n4 l/ B1 d/ ^删除服务
2 z4 B" m& U& }
firewall-cmd --permanent --remove-service=http
1 d% l$ s3 [. h6 R
5 U8 A6 \* n8 R& }, O添加白名单地址(单IP)
$ ^9 `- y2 e0 M, x
firewall-cmd --permanent --add-source=192.168.1.100

; R8 |5 Q" B. \6 C注: 白名单中的IP可以任意访问所有服务器可用的端口 这个白名单的作用不是这样的,有待继续研究
5 V9 B. H: C. A! F

# K# Q$ ^" P0 x' k' ~" j添加白名单地址(指定网络段CIDR格式)
" z. c' {, J) ~+ ?0 b, ~( }
firewall-cmd --permanent --add-source=192.168.1.0/24
. W! P: p$ j/ S  u) ^/ L
0 d2 d% j0 [) M* \: T删除白名单地址
; J/ g3 X8 w5 @- w- U
firewall-cmd --permanent --remove-source=192.168.1.100

屏蔽指定IP地址

4 Z! u, R* r3 m  \& u( |firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.100' reject"
& p2 C, j$ v0 g8 w+ O$ ?
1 a. V) B& I) Q1 Q& E) X( `屏蔽IP地址段

: z9 Y* w- E- G% a. Ffirewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' reject"

手动编辑xml配置文件
" ^4 D: X. W5 P1 J- f2 H
除了上面的命令添加规则外,还可以直接编辑/etc/firewalld/zones/public.xml文件(改完后记得执行firewall-cmd --reload生效)

admin

1.firewalld的基本使用
; \, ]; t, T/ T
启动：  systemctl start firewalld

查状态：systemctl status firewalld
  B6 L! L7 q9 G; L
停止：  systemctl disable firewalld
+ w% m3 j% [6 p) t" S7 N
禁用：  systemctl stop firewalld
5 l* X) ?: t# g( G* n5 a# L- `/ v
8 w4 s7 `- m0 S7 `在开机时启用一个服务：systemctl enable firewalld.service
. V- P4 v. r% V( Q, o+ g
在开机时禁用一个服务：systemctl disable firewalld.service
- O0 o0 s! m/ t: L. K1 ~5 y
9 w# j- X0 [4 k7 r查看服务是否开机启动：systemctl is-enabled firewalld.service

查看已启动的服务列表：systemctl list-unit-files|grep enabled
5 f- @+ H, d) G8 t  D& F4 p
8 }+ b: |4 ]5 Y查看启动失败的服务列表：systemctl --failed
, }8 l  A/ L6 c. N

3 L! K0 l, f2 w
2.配置firewalld-cmd

查看版本： firewall-cmd --version
% O) N) o" [& G; U
查看帮助： firewall-cmd --help
; o" V% c8 A8 r5 X$ d
$ k( k- K' a, H显示状态： firewall-cmd --state

查看所有打开的端口： firewall-cmd --zone=public --list-ports

, _0 W. |$ [( D! C: U5 s更新防火墙规则： firewall-cmd --reload

- V1 n8 e7 a0 V; ]6 C查看区域信息:  firewall-cmd --get-active-zones
; S8 ^; F; m: N5 e
查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0

! v: R6 P5 a  f拒绝所有包：firewall-cmd --panic-on

7 @! V# @, ~2 a  Y% E& \1 o- @取消拒绝状态： firewall-cmd --panic-off

  H0 K& l1 J7 k+ P! E6 r. c/ J2 O查看是否拒绝： firewall-cmd --query-panic

# f- j/ e) K! {. a2 P
7 U2 s: |- R- B6 _8 l0 Q/ H3 K
3.添加/删除  一条规则


/ b0 A% `. O- Q
9 u3 h: w4 T8 B$ Y# j, Y: Q7 C2 w" S添加

; z( f. L! p5 c3 J4 ^) kfirewall-cmd --zone=public(作用域) --add-port=80/tcp(端口和访问类型) --permanent(永久生效)

6 k5 T9 d4 m: s1 @; p, A- y2 wfirewall-cmd --zone=public --add-service=http --permanent

& M% B1 J2 F; M( ]* o, r* zfirewall-cmd --reload    # 重新载入，更新防火墙规则
& A+ v( B& Y" c/ G
9 i0 r# K/ J" V) F! k4 U% Lfirewall-cmd --zone= public --query-port=80/tcp  #查看

: \2 V/ n. o5 l

8 X6 u# q: ?* T7 n9 |删除
5 z# _& ?5 ^0 T7 k
firewall-cmd --zone= public --remove-port=80/tcp --permanent  # 删除

9 K& G! X  t! P& ]% M9 j7 c7 j

firewall-cmd --list-services

firewall-cmd --get-services

3 S. w# l5 S1 u  ?1 f7 x' u- U; _firewall-cmd --add-service=<service>

firewall-cmd --delete-service=<service>

在每次修改端口和服务后/etc/firewalld/zones/public.xml文件就会被修改,所以也可以在文件中之间修改,然后重新加载

4 d& t; F! ^0 y使用命令实际也是在修改文件，需要重新加载（firewall-cmd --reload）才能生效。



firewall-cmd --zone=public --query-port=80/tcp
0 T  J* m5 Q% r$ A9 a# z
+ Y7 X* {" }9 [( K; X# t5 C1 ofirewall-cmd --zone=public --query-port=8080/tcp
% @# B4 A) I' C+ B
) x$ v7 M, e1 @% Nfirewall-cmd --zone=public --query-port=3306/tcp
  k" \9 x. h* C$ s
$ G' k9 R$ }0 z0 G) Yfirewall-cmd --zone=public --add-port=8080/tcp --permanent
5 u$ }6 t6 z: T1 o9 F. d
firewall-cmd --zone=public --add-port=3306/tcp --permanent

firewall-cmd --zone=public --query-port=3306/tcp
# @- t0 r6 {/ j, F0 I$ @
firewall-cmd --zone=public --query-port=8080/tcp

6 t" @/ [3 c! m. y* f& C# ufirewall-cmd --reload  # 重新加载后才能生效
" h! k! Y9 D5 l+ w
/ r2 {% f3 u9 |$ Q* L; u( ]7 vfirewall-cmd --zone=public --query-port=3306/tcp

8 j/ c) z& H* l: ifirewall-cmd --zone=public --query-port=8080/tcp

, h/ H8 `9 n2 C- _* ~) N- C

: K9 u% u( o7 D" P% \& q! Z4.参数解释
1 _5 d8 e* |5 w  ~" o
–add-service #添加的服务

–zone #作用域
( j* d1 y6 a) a3 f2 _: @
( s7 P/ C3 o2 j) u' d2 A2 ^–add-port=80/tcp #添加端口，格式为：端口/通讯协议
5 _7 G4 ]5 z: {
9 ~( J$ y: w" j2 p# X7 y–permanent #永久生效，没有此参数重启后失效

" Q0 @0 c9 X5 j2 I( [
0 g; `2 S; Q' M# }9 `3 v, L$ l! W
5.使用举例


3 |/ l) l% b0 j! r
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept'    //设置某个ip访问某个服务

firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept' //删除配置
7 t' n, s7 Z4 e1 V# }1 m% X7 K
! O7 Q+ ^: J7 {- Y7 c" m8 B% qfirewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'     //设置某个ip访问某个端口
( k- r" O5 O* [5 R
firewall-cmd --permanent --remove-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'     //删除配置
+ s! j# M2 S/ A- L
0 {% z) z: D# L3 Y: A

firewall-cmd --query-masquerade  # 检查是否允许伪装IP

firewall-cmd --add-masquerade    # 允许防火墙伪装IP

firewall-cmd --remove-masquerade # 禁止防火墙伪装IP
1 M6 k+ M0 ?; [) f; i( W

% ]- u$ c/ T4 ~/ `; M0 w5 }
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至8080
3 \7 X4 K' v  k: {; a+ Z( k( P# d
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1

5 Y) F! A1 u7 N( @9 Yfirewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口
! ~1 X, T9 R. l5 y4 \

admin

开放指定服务(系统内置的)
2 R6 ^1 d8 ~7 u7 l/ p8 J2 h- lfirewall-cmd --permanent --add-service=http
& {/ j: s$ D1 W: I3 a! `1
删除服务
firewall-cmd --permanent --remove-service=http
8 [7 \& ]& `0 \& X7 `/ U& D  n3 y1
% j% j2 g$ H, e( K# d7 g3 N3 N添加白名单地址(单IP)
" [/ Q6 ]  I% Z, N' o0 rfirewall-cmd --permanent --add-source=192.168.1.100
1
注: 白名单中的IP可以任意访问所有服务器可用的端口 这个白名单的作用不是这样的,有待继续研究

添加白名单地址(指定网络段CIDR格式)
( W. X2 S! V* _3 z3 H( o$ Dfirewall-cmd --permanent --add-source=192.168.1.0/24
! R% h) a. G% C" j" Y1
4 i( h' C( e5 ?9 r5 L+ `4 Y4 G$ ?删除白名单地址
firewall-cmd --permanent --remove-source=192.168.1.100
/ ~% w2 f  t$ u! K* r0 D& V. D1
$ c) z4 d9 T- O3 |4 ]# u$ b0 S3 E屏蔽指定IP地址
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.100' reject"
% `) p7 b, m! V' G6 b4 N1
2 u7 r5 C" Q6 ]  |( |屏蔽IP地址段
/ _7 i* m4 {0 Rfirewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' reject"
7 ?) q' f- i, V0 x0 s. g3 ]1
2 h( `" o/ C+ f8 q$ B$ o2 }手动编辑xml配置文件
除了上面的命令添加规则外,还可以直接编辑/etc/firewalld/zones/public.xml文件(改完后记得执行firewall-cmd --reload生效)
( t) [& ^$ b$ Z0 F+ l+ v