firewalld是防火墙的另一种程序,与iptables相同,但是使用起来要比iptables简单的点,不需要了解3张表和5条链也可以使用。
1、firewall的基本命令
"firewall-cmd --list-all"。查看当前的firewall的信息和配置。
"firewall-cmd --reload"。重新加载firewall配置,
"firewall-cmd --add-service=xxxx"。添加一个服务,例如下图,添加http,使得这个服务的数据可以通过,但是这个添加是临时的,重新加载配置后就会消失。
"firewall-cmd --permanent --add-service=xxxx"。可以永久添加这个服务。
"vim /etc/firewalld/zones/public.xml"。firewall的默认模式"public"的配置文件,如下图所示,可以看到添加的服务都在里面,如果在其中按照格式添加"ftp",重新加载后就添加了这个服务了。
"firewall-cmd --remove-service=xxxx"。可以去掉某一个服务。
"cd /usr/lib/firewalld/services/"。进入这个目录后,如下图所示,输入"ls",就可以看到可以添加哪些服务,并且可以看到这些服务的名称了。
"firewall-cmd --permanent --add-port=xxxx/tcp"。使某个端口的数据可以通过。例如在Apache配置文件中将端口改为8080,则即使firewall中添加了htpp也无法访问,因为其设置的可以通过的端口是80。此时需要用上述命令,添加8080端口,完成后,即可使用Apache访问。
"firewall-cmd --permanent --add-source=172.25.254.102 --zone=trusted"。表示来自"172.25.254.102"的数据全部通过。如果开启,firewall不添加http,且改为8080端口后不添加到firewall,"172.25.254.102"主机也可以访问Apache。"add"改为"remove"可以取消。
"firewall-cmd --permanent --remove-interface=eth1 --zone=public"。将eth1网卡从public模式下移除。
"firewall-cmd --permanent --add-interface=eth1 --zone=trusted"。将eth1网卡添加到trusted模式下。但是完成后需要重启防火墙"systemctl restart firewalld"才可以生效。
2、firewall的模式
"firewall-cmd --get-default-zone"。查看firewall的默认模式,是public。
"firewall-cmd --get-zones"。查看firewall都有哪几种模式。
"firewall-cmd --set-default-zone=xxx"。将firewall的默认模式改为xxx,这是一个临时更改。
firewall中常用的几种模式如下所示:
trusted:信任。可接受所有的网络连接。
home :家庭。用于家庭网络,仅接受dhcpv6-client ipp-client mdns samba-client ssh服务连接。
work :工作。工作网络,仅接受dhcpv6-client ipp-client ssh服务连接。
public :公共。公共区域使用,仅接受dhcpv6-client ssh服务连接,这是firewalld的默认区域。
external:外部。出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接。
dmz :非军事区。仅接受ssh服务连接。
block :限制。拒绝所有网络连接。
drop :丢弃。任何接收的网络数据包都被丢弃,没有任何回复。
3、firewall的应用
例如下图所示,client的主机可以通过ssh连接上server主机。去掉server主机上所添加的ssh服务,这样所有主机都不能连接了。然后在server主机上配置"firewall-cmd --permanent --direct --add-rule -ipv4 filter INPUT 0 ! -s 172.25.254.102 -p tcp --dport 22 -j ACCEPT",该策略表示除了172.25.254.102的主机的数据都可以通过22端口。添加后可以使用"firewall-cmd --direct --get-all-rules"来查看所添加的策略。
完成后用client测试,重新通过ssh连接,发现就连接不上了。
去除这条策略将"add"改为"remove"即可。
4、firewall的路由策略
与iptables相同,firewall也可以添加路由策略,使得不同网段的主机也可以连接。三台主机的IP与网关与iptables篇中相同。
"firewall-cmd --list-all"。基本上是最初的样子。
firewall的路由策略配置如下所示:
"firewall-cmd --permanent --add-masquerade"。打开地址伪装功能。
"firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=172.25.254.202 masquerade""。该策略表示,将通过server主机的数据都封装为IP"172.25.254.202"。
"firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=172.25.254.0/24 forward-port port=22 protocol=tcp to-port=22 to-addr=172.25.2.102""。该条策略表示,将所有"172.25.254"网段的通过22端口的数据转到"172.25.2.102"主机上。
完成后重启firewall生效。"firewall-cmd --list-all"可以看到这些策略。
测试时,"2"网段的client主机可以成功连接"254"网段的"172.25.254.2"主机。与iptables相同,"172.25.254.2"的主机上看到的依旧是"172.25.254.202"的连接,ssh连接这个IP就会自动连接到"2"网段的client主机。
iptables和firewall是防火墙中常用的两种程序,可以灵活运用。