firewall防火墙acl规则，以及介绍

admin

现在对安全的要求更严格了,对内网环境的特定服务器,现在只允许指定IP或IP段进行访问,其他一律屏蔽,配置步骤如下:
9 ~1 k" L. n, A: R1 J" h检查防火墙是否启动：
systemctl status firewalld.service
9 K2 _4 U! g/ O" h启动防火墙：
+ Y% g$ t5 P- `6 R$ tsystemctl start  firewalld.service

! n# S) ^5 t9 |6 e
开机启动防火墙：
/ @; O, Q! P- l: I$ L' f, Csystemctl enable firewalld.service


修改防火墙acl规则：
) q* }' K' O! [通过编辑文件：
$ [* G+ J6 B4 L, r6 y# Vvim /etc/firewalld/zones/public.xml

+ ]& A- |5 f( y6 W, i5 S# f3 O<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
6 V5 _9 ]6 L( g- q, c  <service name="ssh"/>
0 V/ s5 _. I) n1 _4 w6 }  <service name="dhcpv6-client"/>
! Z, b  l2 M/ ?+ G7 n4 p, Z</zone>
~                  

3 u3 r+ e, w% d+ [4 c& O6 m默认的防火墙规则
/ E% X, ]) L& z5 S4 z
/ c$ P* W5 [% s  N) i* E7 j第二种通过命令：

' z6 R+ K3 J( t, ~- u) O- O/ g手动开放指定端口
4 c; {# X" Y3 o+ g" L' T
  w/ q+ N" L# u: H

firewall-cmd --permanent --add-port=3306/tcp

  j4 q1 a: g; W
改完配置文件后重载一下防火墙服务
5 u" Y6 o( X0 {7 r5 W2 A' a+ ^firewall-cmd --reload

! x" B; k' ^) t/ o0 O( G, q6 }
1 o1 {. M+ Q. U3 J! _基本应用

firewall-cmd --state
获取firewalld状态
+ s7 t8 ?3 s( L7 `5 |0 x.
, z; b" x, x2 ]7 W6 K+ M/ _5 Q4 V. dfirewall-cmd --reload
" k7 B4 Y) S. }5 {8 J- O在不改变状态的条件下重载防火墙
.
firewall-cmd --complete-reload
1 F! S6 @: N) B% w' Y完全重启，状态信息将会丢失
/ v* e- [7 X7 H9 ^, F0 B1 [.
firewall-cmd --get-zones
9 A- W# S" T/ D. z; \2 G获取支持的区域
- o$ O/ v. b% @9 D1 L" {8 ?, o.
) j; j/ y% A/ G6 _! cfirewall-cmd --get-services
0 c9 o% r! u% E获取所有支持的服务，支持的服务存放在/usr/lib/firewalld/services目录下。
服务是firewalld所使用的有关端口和选项的规则集合。
. J6 }, ^- h1 p/ k被启动的服务会在firewalld服务开启或运行是自动加载。
& U6 S3 S7 D0 z$ H我们还可以创建自己的服务，即添加端口和服务的对应关系，将在下面讲解。
.
+ c. ]4 _. q$ B- P. r5 o' a6 }5 gfirewall-cmd --get-icmptypes
, q/ `) K- U/ P. D; Z获取所有支持的ICMP类型
! z9 S6 N# a4 j9 u/ U1 F2 k.
( j5 q$ ?$ ~5 {: M% Q6 E& R$ Mfirewall-cmd --list-all-zones
; J1 K+ F, d9 t  B! ]4 s列出全部启用的区域的特性（即查询当前防火墙策略），特性是定义的防火墙策略。
策略如：服务、端口和协议的组合、端口/数据报转发、伪装、ICMP拦截或自定义规则等。
/ |# l& s) G: H5 \+ S该命令会列出所有区域的所有特性，包括详细规则（rich-rules）。
; o1 w1 S2 Z/ g9 d% ^* Y.
' t4 o+ J  U: e$ E5 Z( f( Ifirewall-cmd [--zone=区域] --list-all
输出指定区域启用的全部特性，如果区域被省略，将显示默认区域的信息。
.
! s$ L! U' p  r/ c; f8 ^& Jfirewall-cmd --get-default-zone
查默认区域，默认的默认区域为public
+ W9 V$ q5 K( `+ S9 |9 x! _) R.
$ }5 H' [; L4 H0 v- @" |firewall-cmd --set-default-zone=区域
% h, ]/ Z- P6 q' _1 z设置默认区域，也可通过/etc/firewalld/firewalld.conf中的DefaultZone配置项定义默认区域。
: Z/ b  `% A5 k' ~& \, {  _流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的连接将不受影响。
( W" S$ Z# v  s' s9 Q; G.
firewall-cmd --get-active-zones
获取活动的区域，同时会输出活动区域所包含的接口。
.
; h9 i% r, Z$ e# o! {firewall-cmd --get-zone-of-interface=网卡名
查指定接口属于哪个区域
- G0 e1 |: q6 i* q; x! ?.
firewall-cmd [--zone=区域] --add-interface=接口名
将指定接口增加到指定区域，如果区域被省略了，将会被添加到默认区域。
0 h* C: ?# c" {! V8 a一个接口同时只能属于一个区域，接口会在防火墙重新加载后重新应用。
9 F  O% z, U% `! S: ]" ?.
$ p1 }4 n' x5 c' |9 Kfirewall-cmd [--zone=区域] --change-interface=接口名
! e9 e/ W, K4 Q, n修改接口所属区域，这个选项与--add-interface选项相似。
4 S1 f% W6 N, M但不同的是，当接口已经存在于另一个区域的时候，该接口将被重置到新的区域。
.
! i/ q8 B+ B! x0 t7 w7 y1 B' f4 cfirewall-cmd [--zone=区域] --remove-interface=接口名
从指定区域中删除指定接口，删除后，这个接口的所有数据包将使用默认区域的规则。
.
firewall-cmd [--zone=区域] --query-interface=接口名
4 {/ [8 r3 h- r! x, K查指定区域中是否包含指定接口，如果区域被省略了，将被指定为默认区域。
.
firewall-cmd [--zone=区域] --list-services
列举区域中启用的服务，如果区域被省略了，将使用默认区域。
.
firewall-cmd --query-masquerade 检查是否允许NAT转发
7 D+ i/ U3 o% d% y4 M1 xfirewall-cmd --zone=public --add-masquerade --permanent 永久开启路由转发
- x3 Q/ U. |& f$ G: efirewall-cmd --remove-masquerade 禁止防火墙NAT转发
.
firewall-cmd --panic-on 启用应急模式，将阻断所有网络连接，以防出现紧急状况。
4 ?- {) Y3 d7 D( j4 m/ Qfirewall-cmd --panic-off 禁用应急模式
firewall-cmd --query-panic 查应急模式状态
.
其它相关的配置可在手册页man firewall-cmd中查看。

; T. ^" E: c5 Z
7 k/ S& `2 ]8 J: i

admin

firewalld默认为我们提供了9个区域，默认就有一些区域是有效的。这些区域按照不信任到信任的顺序排序，如下。
.
2 z" s9 j: c. c起---------------------------------
丢弃区域（Drop Zone）
* P' ]( d( Y  O, P& q; U3 J如果使用丢弃区域，任何进入的数据包都将被丢弃。
这个类似于6.x版本中使用的iptables -j drop。
$ B* [4 M& ?: p使用丢弃规则意味着将不存在响应。
.
阻塞区域（Block Zone）
+ d% ^( M. U) e* M  Q6 F& ~+ ?阻塞区域会拒绝进入的网络连接，并返回icmp-host-prohibited。
只有服务器已经建立的连接会被通过，即只允许由该系统初始化的网络连接。
.
公共区域（Public Zone）
* h" i- P8 O5 f( g3 Q; @只接受被选中的连接，默认只允许ssh和dhcpv6-client。
这个zone是缺省zone，即被默认使用的Zone。
- D; s4 e& F& J# ~' ?" X.
外部区域（External Zone）
* P3 e# }  }3 F只有指定的连接会被接受，即ssh，而其它的连接将被丢弃或不被接受。
这个区域类似于路由器的启用伪装(masquerading)选项。
) i( H* ?) e! i$ n+ K1 U# ?) l' h.
隔离区域（DMZ Zone）
0 y) I+ Y0 I2 p$ i5 @. U- z! D该区域只允许被选中的连接通行。
如果只允许部分服务能被外部访问，可以在DMZ区域中定义。
% [7 g- Z! {3 B( l- ].
工作区域（Work Zone）
) p: @  w2 t2 N1 ?0 T8 k1 X: {4 k在这个区域，我们只能定义内部网络连接。
& S; L- i) Z1 j, U) X比如私有网络通信才被允许，只允许ssh， ipp-client和dhcpv6-client。
.
家庭区域（Home Zone）
这个区域专用于家庭环境。
它同样只允许被选中的连接，即ssh，ipp-client，mdns，samba-client和dhcpv6-client。
.
. a7 s. D0 [6 k/ n- a, [, P内部区域（Internal Zone）
这个区域和工作区域类似，只有被选中的连接才可通行，和家庭区域一样。
.
) E5 g1 F; ~# s( o: u( p信任区域（Trusted Zone）
信任区域允许所有网络连接通行。
: _. p$ y# u, p; s切记：trusted区域是最被信任的区域，使用该区域时，在不做任何配置的情况下允许所有连接通行。
: z+ \6 C6 T5 G" A--------------------------------------始
1 F6 n( l. a2 s.
/ A! K2 G! \: [7 T6 |8 {以上是系统定义的所有的zone，但这些zone并不是都在使用，只有活跃的zone才有实际操作意义。

$ f5 J% N2 G* JFirewalld 原则
.
当一个客户端访问服务器时，服务器将根据以下原则决定使用哪个zone的策略去匹配。
.
) N4 ~1 E/ G, t* J6 [4 M9 q$ y) w+ @* J1
3 w$ K& K6 q+ n- Q; h# _9 m如果这个客户端数据包的源IP地址匹配zone的sources(来源)，那么该zone的规则就适用这个客户端。
注意：一个源只能属于一个zone，不能同时属于多个zone。
.
2
$ r4 ^" f) r  L/ z7 |如果这个客户端数据包进入服务器的某一个接口(如eth0)区配zone的interfaces， 则么该zone的规则就适用这个客户端。
! ?! l% h7 e: P; f2 m/ D. _; s一个接口只能属于一个zone，不能同时属于多个zone。
0 r' H: Q0 `; N0 M7 n.
3
2 Z  \3 [5 h5 v, o4 Y8 G: ^/ k如果上述两个原则都不满足，那么缺省的zone将被应用，即使用public区域。

admin

实现过程

; e: ^0 }3 g# q9 R4 M3 [; ^& S下面的命令将配置192.168.1.0/24整个网段的IP允许访问服务器的22端口

2 s+ d: L9 ?% ^
// 先移除默认开启的没有访问限制的ssh服务
1 U8 \& L& Y7 M7 I( _# firewall-cmd --permanent --remove-service=ssh
8 |" R- f' u" j" n4 Y6 H// 添加复杂规则,只允许指定IP段访问22端口
( j+ S1 t  F$ G" V  k# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'
// 使上面配置生效
# firewall-cmd --reload
// 查看当前配置信息
# firewall-cmd --list-all
8 N  q/ U3 s# S% S0 L1 w
; V& F) q0 M1 |, t: ^备注:
5 K" b; M" |* @! f7 V, v5 n source address也可以设置为单个IP地址,例如192.168.1.1
1 l8 E& x# m1 U- D/ J7 c: h. v port可以为单个端口或端口范围，例如1-10000
' i) ?7 W" i- P2 t, o6 i

  y, l3 l, O3 d4 c9 ?
其他常用命令

$ V" D5 m6 K# g( {9 M! R删除之前的复杂规则,这里的内容需要与之前添加时的rule内容完全一致,可以复制粘贴过来
  q$ p4 O/ q0 c# R  r
( R# }$ G# _5 s/ g" ]. hfirewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'
3 P$ u/ [$ I6 a& S! ]; s- i
5 y7 X4 ~( w+ v7 @9 E& b1 ^; ]手动开放指定端口
- W' J4 }3 ^4 {/ [% i
) e# X, [2 x8 n! T/ Q' Gfirewall-cmd --permanent --add-port=3306/tcp
2 N; q) f" d, i+ v- R! T  d
删除开放的端口
* f5 e- m3 m$ i" o) |" @$ F
4 N& ~; U' u. k1 Z( vfirewall-cmd --permanent --remove-port=3306/tcp
* X+ E( K7 ]1 X" K" g
2 d; [' J# _" Z" b5 v* N9 ~6 t开放指定服务(系统内置的)

firewall-cmd --permanent --add-service=http
& |" ~2 L5 X! N7 v
删除服务
1 K5 V+ S! z. `8 p9 t* k) u" x. \0 m' @
9 J+ |% j  l: b$ Mfirewall-cmd --permanent --remove-service=http
. g9 A# c" W1 C# `" q% f' V# J
; o1 e+ b0 y* d: T' F5 ~添加白名单地址(单IP)
' I* y4 f* C! g1 j* R' H2 O6 T7 w
! o7 Z1 D6 X$ |+ afirewall-cmd --permanent --add-source=192.168.1.100

注: 白名单中的IP可以任意访问所有服务器可用的端口 这个白名单的作用不是这样的,有待继续研究
) F' R6 l9 ~) ^: o+ p8 d$ R( r

# V( H# ?5 E% w* b4 a0 b) O添加白名单地址(指定网络段CIDR格式)
  M0 W& Q$ Q* X( [
) N! Z; H4 k1 |6 c+ d& Sfirewall-cmd --permanent --add-source=192.168.1.0/24
6 [* P& r. q. p, ^# v
- V- S3 r! l! G) _删除白名单地址

! U7 G: e5 R- W% M0 _1 v! u) l/ _firewall-cmd --permanent --remove-source=192.168.1.100
4 S1 H* _2 R# y" f9 b
9 d; B+ A6 T$ s5 n7 w屏蔽指定IP地址
) b7 G0 Q8 s9 e
; p8 c7 C* H/ S, M, w, ]firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.100' reject"

0 |" m/ O5 l+ r$ K/ X6 ^4 f屏蔽IP地址段

" z! Z6 Q  x! ^2 |* Q, Q  ^firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' reject"
/ R8 w" j) }  G1 ~% y
2 k" L# ^, d- H2 K! T( Y手动编辑xml配置文件
! I- O" z3 M' A; V% c
( E6 d% E- G2 u( \除了上面的命令添加规则外,还可以直接编辑/etc/firewalld/zones/public.xml文件(改完后记得执行firewall-cmd --reload生效)

admin

1.firewalld的基本使用
4 q; d3 p* q& y. O% y
启动：  systemctl start firewalld

查状态：systemctl status firewalld
/ L3 k2 c% n/ g
停止：  systemctl disable firewalld

禁用：  systemctl stop firewalld
% z: O  ?1 L. X5 _$ G5 Q  S+ T
在开机时启用一个服务：systemctl enable firewalld.service

5 A; ~. ?: D6 I5 O1 M! y- h$ M9 k在开机时禁用一个服务：systemctl disable firewalld.service
) T$ A. }1 S% h0 S2 `8 @* m
查看服务是否开机启动：systemctl is-enabled firewalld.service
# A% G5 |$ W/ L/ j5 Y% {! ]3 Y
查看已启动的服务列表：systemctl list-unit-files|grep enabled
0 Y7 \0 j- E4 x4 Z' e3 [
查看启动失败的服务列表：systemctl --failed
2 Y% h8 i, I% d, }7 B5 k2 |; c
1 N9 q8 V3 V4 a

2.配置firewalld-cmd

查看版本： firewall-cmd --version

7 N! B5 `0 o6 {. u, c' S查看帮助： firewall-cmd --help
, q1 f3 W. X' g7 S! Q
) A( R, B$ u" a' \显示状态： firewall-cmd --state
! B  s; t. K$ l, p: m* `! X
查看所有打开的端口： firewall-cmd --zone=public --list-ports
& j, o7 M; l- p' j8 D8 O
更新防火墙规则： firewall-cmd --reload
" m3 _$ b9 V6 l' i* O" Z' w/ \  x
查看区域信息:  firewall-cmd --get-active-zones

查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0

拒绝所有包：firewall-cmd --panic-on
" a- E/ V" Q3 W% v/ `
取消拒绝状态： firewall-cmd --panic-off
9 h6 a$ m) |( G3 |$ w
查看是否拒绝： firewall-cmd --query-panic
& a) k2 {8 S% D  O  J  h5 j; e

$ w. A# X: x0 t0 p
3.添加/删除  一条规则


/ Z# ^8 j+ ]% n. ^  @/ I  H' T
0 X. q- w/ `6 I- \8 q+ [6 U添加
; {; z7 G( ^3 T  H) i! k; l
) c0 R+ P1 q+ i' P* `firewall-cmd --zone=public(作用域) --add-port=80/tcp(端口和访问类型) --permanent(永久生效)

firewall-cmd --zone=public --add-service=http --permanent
9 f" h- ?: E$ D; s; R* y6 H: z
( f. q& T2 l4 J+ ?3 @firewall-cmd --reload    # 重新载入，更新防火墙规则
( g/ }  D" _8 u* c7 u( W
5 o% Y) g: ^) n# W  ~firewall-cmd --zone= public --query-port=80/tcp  #查看


3 D! _  y0 I- a( |
删除

" s* ]' v$ ^" X. H. l& I5 M2 ufirewall-cmd --zone= public --remove-port=80/tcp --permanent  # 删除

0 g  l2 f4 e+ E5 e4 `  V

firewall-cmd --list-services
) `( |. Z" N% O
$ r- _5 M1 \' _8 G% p/ o& L/ ^firewall-cmd --get-services

firewall-cmd --add-service=<service>

firewall-cmd --delete-service=<service>
8 D9 |. D& a% ]4 ]+ S& p  _
+ }" h6 O) z2 y在每次修改端口和服务后/etc/firewalld/zones/public.xml文件就会被修改,所以也可以在文件中之间修改,然后重新加载
4 s& R! Q4 R  B  W
$ {4 C7 E+ i3 e& K使用命令实际也是在修改文件，需要重新加载（firewall-cmd --reload）才能生效。
1 N8 ^# M$ t3 M. P
1 v& K6 Y* }. g2 n/ C( S8 K& _
7 C& P# U* [5 A* Q& {0 |& R9 Z! a
$ w- O1 U: q/ I3 `5 x. yfirewall-cmd --zone=public --query-port=80/tcp
! Z1 F5 O. h8 E9 S! Q. E
4 v6 }1 P3 v$ _; M* c+ ~firewall-cmd --zone=public --query-port=8080/tcp
1 g0 T9 ?- r& V: l2 n, q6 p
3 H' P# z7 u4 A1 Efirewall-cmd --zone=public --query-port=3306/tcp

( s, ~7 @5 h' D" \firewall-cmd --zone=public --add-port=8080/tcp --permanent

firewall-cmd --zone=public --add-port=3306/tcp --permanent
; h* F/ o2 [) R1 i
firewall-cmd --zone=public --query-port=3306/tcp
" m$ V! V1 x. i
) p8 W" p1 s6 O: O" m9 gfirewall-cmd --zone=public --query-port=8080/tcp
$ [: n2 W5 g$ n2 _6 C9 e' X6 n
firewall-cmd --reload  # 重新加载后才能生效

  R# Z. V9 B. Bfirewall-cmd --zone=public --query-port=3306/tcp
3 C) D) A0 b# O: ?7 p. Z# Y
8 j" `6 `& o( A3 B" M( c5 `firewall-cmd --zone=public --query-port=8080/tcp

9 N) t" A9 y' h3 Y3 w, x8 x

4 D/ e* Y( _3 ]; o& i7 J" A# U4.参数解释
- z1 m' F1 H/ \9 Q- E  A
% B8 N, A* w% m' K. Z6 G–add-service #添加的服务
& U7 D$ r7 D% R) M& c6 m" k
–zone #作用域

. f3 {) B2 V  }5 R1 @/ c: |–add-port=80/tcp #添加端口，格式为：端口/通讯协议

' ]" f( u9 U. _+ ~( X–permanent #永久生效，没有此参数重启后失效
( i0 }, Z! `8 ~2 o  L
9 h( i- Z7 l" |( U; L6 F+ N8 R. z
# J8 j! W; U9 M  ~5 X
& d5 m' ]/ O! r7 f' e& ~) S- |5.使用举例
2 ]- u6 _; M- p6 k7 L5 P" M0 W/ R

& J& ?+ z9 Z- I2 i3 M9 z; }
/ [+ m: x( }( ~7 Ifirewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept'    //设置某个ip访问某个服务

firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.4/24" service name="http" accept' //删除配置
7 F8 e5 o- e9 ?2 p4 b9 [* }7 q
! }' j) l+ a5 H& P% `! h1 Nfirewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'     //设置某个ip访问某个端口

/ C+ g% [% i$ l$ D+ W: H) A9 f& Vfirewall-cmd --permanent --remove-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'     //删除配置



6 ]4 u! q3 x3 }firewall-cmd --query-masquerade  # 检查是否允许伪装IP

firewall-cmd --add-masquerade    # 允许防火墙伪装IP

  g# x5 [+ t7 Z  b+ f- a( W6 Afirewall-cmd --remove-masquerade # 禁止防火墙伪装IP
0 y  v$ g2 F- I* x; H) {* x3 h: d5 }, G
% n- j+ F% f5 W9 N: D) |4 {
5 [& A1 y' q6 W6 x9 ]
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至8080

0 W$ O/ {9 w$ I, ~& Vfirewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口
. }+ }1 V0 V  f; {5 K7 `; l. D3 i
% B' Q& C& p: w: Y5 n$ L

admin

开放指定服务(系统内置的)
firewall-cmd --permanent --add-service=http
/ L/ y2 o2 D5 b; X5 f1
删除服务
firewall-cmd --permanent --remove-service=http
1
添加白名单地址(单IP)
" _, \4 f+ T2 L: p+ ^; ?firewall-cmd --permanent --add-source=192.168.1.100
1
) v" J; Z, }; M8 _/ `: F注: 白名单中的IP可以任意访问所有服务器可用的端口 这个白名单的作用不是这样的,有待继续研究
4 V. _; ^6 N$ @, C: \0 a
添加白名单地址(指定网络段CIDR格式)
firewall-cmd --permanent --add-source=192.168.1.0/24
1
删除白名单地址
firewall-cmd --permanent --remove-source=192.168.1.100
$ z6 j: _) J5 s/ ~9 ~$ f& T' _, V1
屏蔽指定IP地址
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.100' reject"
1
5 }  o' k7 x0 {! r- z屏蔽IP地址段
( ]) q& _) A4 G# ^) Wfirewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' reject"
1
7 h$ s8 t# e; h. ]4 }  [& y/ u- S手动编辑xml配置文件
除了上面的命令添加规则外,还可以直接编辑/etc/firewalld/zones/public.xml文件(改完后记得执行firewall-cmd --reload生效)