Linux 管理员 - firewalld 防火墙设置
firewalld 是 CentOS 上 iptables 的默认前端控制器。firewalld 前端与原始 iptables 相比有两个主要优势 −
使用易于配置和实施的区域抽象链和规则。
规则集是动态的,这意味着当设置更改和/或修改时,有状态连接不会中断。
请记住,firewalld 是 iptables 的包装器 - 而不是替代品。虽然自定义 iptables 命令可以与 firewalld 一起使用,但建议使用 firewalld 以免破坏防火墙功能。
首先,让我们确保 firewalld 已启动并启用。
[root@CentOS rdc]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2017-01-26 21:42:05 MST; 3h 46min ago
Docs: man:firewalld(1)
Main PID: 712 (firewalld)
Memory: 34.7M
CGroup: /system.slice/firewalld.service
└─712 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
我们可以看到,firewalld 处于活动状态(在启动时启动)并且当前正在运行。如果处于非活动状态或未启动,我们可以使用 −
systemctl start fired && systemctl enable fired
现在我们已经配置了 firewalld 服务,让我们确保它可以运行。
[root@CentOS]# firewall-cmd --state running [root@CentOS]#
我们可以看到,firewalld 服务功能齐全。
Firewalld 基于 区域 的概念。区域通过网络管理器应用于网络接口。我们将在 配置网络 中讨论这一点。但现在,默认情况下,更改默认区域将更改任何处于"默认区域"默认状态的网络适配器。
让我们快速浏览一下 firewalld 自带的每个区域。
| Sr.No. | 区域和说明 |
|---|---|
| 1 | drop 低信任级别。所有传入连接和数据包均被丢弃,只有传出连接可通过状态性实现 |
| 2 | block 传入连接将通过 icmp 消息进行回复,让发起者知道请求被禁止 |
| 3 | public 所有网络均受限制。但是,可以明确允许选定的传入连接 |
| 4 | external 为 NAT 配置防火墙。内部网络保持私密但可访问 |
| 5 | dmz 仅允许某些传入连接。用于 DMZ 隔离中的系统 |
| 6 | work 默认情况下,假设系统处于安全的工作环境中,则信任网络上的更多计算机 |
| 7 | hone 默认情况下,更多服务未受过滤。假设系统位于家庭网络上,将使用 NFS、SAMBA 和 SSDP 等服务 |
| 8 | 受信任 网络上的所有机器都受信任。大多数传入连接都不受限制。这不适用于暴露在互联网上的接口 |
最常用的区域是:public、drop、work和home。
每个公共区域的一些使用场景是 −
public − 这是管理员最常用的区域。它允许您应用自定义设置并遵守 LAN 上操作的 RFC 规范。
drop − 何时使用 drop 的一个很好的例子是在安全会议、公共 WiFi 或直接连接到互联网的接口上。drop 假定所有未经请求的请求都是恶意的,包括 ICMP 探测。因此,任何状态外的请求都不会收到回复。drop 的缺点是,在某些需要严格遵守 RFC 的情况下,它可能会破坏应用程序的功能。
work −您处在一个半安全的公司局域网中。所有流量都可以假定为适度安全。这意味着它不是 WiFi,我们可能已部署 IDS、IPS 和物理安全或 802.1x。我们还应该熟悉使用局域网的人。
home − 您处在一个家庭局域网中。您个人对局域网上的每个系统和用户负责。您了解局域网上的每台机器,并且没有一台机器受到损害。新服务通常会在受信任的个人之间共享媒体,您无需为了安全而花费额外的时间。
区域和网络接口在一对多级别上工作。一个网络接口一次只能应用一个区域。而一个区域可以同时应用于多个接口。
让我们看看有哪些区域可用,以及当前应用的区域是什么。
[root@CentOS]# firewall-cmd --get-zones work drop internal external trusted home dmz public block
[root@CentOS]# firewall-cmd --get-default-zone public [root@CentOS]#
准备好在firewalld中添加一些自定义规则了吗?
首先,让我们看看我们的盒子在外面的端口扫描器看来是什么样子的。
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1 Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:36 MST Nmap scan report for centos.shared (10.211.55.1) Host is up (0.00046s latency). Not shown: 1023 filtered ports PORT STATE SERVICE 22/tcp open ssh Nmap done: 1 IP address (1 host up) scanned in 3.71 seconds bash-3.2#
让我们允许传入请求到端口 80。
首先,检查默认应用了哪个区域。
[root@CentOs]#firewall-cmd --get-default-zone public [root@CentOS]#
然后,将允许端口 80 的规则设置为当前默认区域。
[root@CentOS]#firewall-cmd --zone=public --add-port = 80/tcp success [root@CentOS]#
现在,让我们在允许端口 80 连接后检查我们的复选框。
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1 Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:42 MST Nmap scan report for centos.shared (10.211.55.1) Host is up (0.00053s latency). Not shown: 1022 filtered ports PORT STATE SERVICE 22/tcp open ssh 80/tcp closed http Nmap done: 1 IP address (1 host up) scanned in 3.67 seconds bash-3.2#
现在允许未经请求的流量到达 80。
让我们将默认区域设置为drop,看看端口扫描会发生什么。
[root@CentOS]# firewall-cmd --set-default-zone=drop success [root@CentOS]# firewall-cmd --get-default-zone drop [root@CentOs]#
现在让我们扫描网络接口位于更安全区域的主机。
bash-3.2# nmap -sS -p 1-1024 -T 5 10.211.55.1 Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:50 MST Nmap scan report for centos.shared (10.211.55.1) Host is up (0.00094s latency). All 1024 scanned ports on centos.shared (10.211.55.1) are filtered Nmap done: 1 IP address (1 host up) scanned in 12.61 seconds bash-3.2#
现在,所有内容都从外部进行了过滤。
如下所示,当主机处于drop状态时,它甚至不会响应 ICMP ping 请求。
bash-3.2# ping 10.211.55.1 PING 10.211.55.1 (10.211.55.1): 56 data bytes Request timeout for icmp_seq 0 Request timeout for icmp_seq 1 Request timeout for icmp_seq 2
让我们再次将默认区域设置为public。
[root@CentOs]# firewall-cmd --set-default-zone=public success [root@CentOS]# firewall-cmd --get-default-zone public [root@CentOS]#
现在让我们检查public中的当前过滤规则集。
[root@CentOS]# firewall-cmd --zone=public --list-all public (active) target: default icmp-block-inversion: no interfaces: enp0s5 sources: services: dhcpv6-client ssh ports: 80/tcp protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules: [root@CentOS rdc]#
根据配置,我们的 80 端口过滤规则仅在正在运行的配置上下文中。这意味着一旦系统重新启动或重新启动了防火墙服务,我们的规则将被丢弃。
我们很快将配置一个 httpd 守护进程,因此让我们将更改持久化−
[root@CentOS]# firewall-cmd --zone=public --add-port=80/tcp --permanent success [root@CentOS]# systemctl restart firewalld [root@CentOS]#
现在,我们在公共区域中的端口 80 规则在重新启动和服务重启后仍然有效。
以下是使用 firewall-cmd 应用的常见firewalld 命令。
| 命令 | 操作 |
|---|---|
| firewall-cmd --get-zones | 列出可应用于接口的所有区域 |
| firewall-cmd —status | 返回firewalld服务的当前状态 |
| firewall-cmd --get-default-zone | 获取当前默认zone |
| firewall-cmd --set-default-zone=<zone> | 将默认区域设置为当前上下文 |
| firewall-cmd --get-active-zone | 获取应用于接口的上下文中的当前区域 |
| firewall-cmd --zone=<zone> --list-all | 列出所提供区域的配置 |
| firewall-cmd --zone=<zone> --addport=<port/transport protocol> | 将端口规则应用于区域过滤器 |
| --permanent | 使对区域的更改持久化。标志与修改命令内联使用 |
这些是管理和配置 firewalld 的基本概念。
在更复杂的网络场景中,在 CentOS 中配置基于主机的防火墙服务可能是一项复杂的任务。在 CentOS 中对 firewalld 和 iptables 的高级使用和配置可能需要一整篇教程。但是,我们介绍的基本知识足以完成大多数日常任务。
