Linux之iptables(5、firewall命令及配置)

firewalld服務

• firewalld是CentOS 7.0新推出的管理netfilter的工具
• firewalld是配置和監控防火牆規則的系統守護進程。能夠實現iptables,ip6tables,ebtables的功能
• firewalld服務由firewalld包提供
• firewalld支持劃分區域zone,每一個zone能夠設置獨立的防火牆規則
• 納入zone順序：
• 先根據數據包中源地址，將其納爲某個zone
• 納爲網絡接口所屬zone
• 歸入默認zone，默認爲public zone,管理員能夠改成其它zone
• 網卡默認屬於public zone,lo網絡接口屬於trusted zone

firewalld zone分類

預約義服務

 

firewalld配置

• firewall-cmd --get-services 查看預約義服務列表
• /usr/lib/firewalld/services/*.xml預約義服務的配置
• 三種配置方法
• firewall-config （firewall-config包）圖形工具
• firewall-cmd （firewalld包）命令行工具
• /etc/firewalld 配置文件，通常不建議

firewall-cmd 命令選項

• --get-zones 列出全部可用區域
• --get-default-zone 查詢默認區域
• --set-default-zone=<ZONE> 設置默認區域
• --get-active-zones 列出當前正使用的區域
• --add-source=<CIDR>[--zone=<ZONE>]添加源地址的流量到指定區域果無--zone= 選項，使用默認區域
• --remove-source=<CIDR> [--zone=<ZONE>] 從指定區域中刪除源地址的流量，如無--zone= 選項，使用默認區域
• --add-interface=<INTERFACE>[--zone=<ZONE>] 添加來自於指定接口的流量到特定區域，若是無--zone= 選項，使用默認區域
• --change-interface=<INTERFACE>[--zone=<ZONE>] 改變指定接口至新的區域，若是無--zone= 選項，使用默認區域
• --add-service=<SERVICE> [--zone=<ZONE>] 容許服務的流量經過，若是無--zone= 選項，使用默認區域
• --add-port=<PORT/PROTOCOL>[--zone=<ZONE>] 容許指定端口和協議的流量，若是無--zone= 選項，使用默認區域
• --remove-service=<SERVICE> [--zone=<ZONE>] 從區域中刪除指定服務，禁止該服務流量，若是無--zone= 選項，使用默認區域
• --remove-port=<PORT/PROTOCOL>[--zone=<ZONE>] 從區域中刪除指定端口和協議，禁止該端口的流量，若是無--zone= 選項，使用默認區域--reload 刪除當前運行時配置，應用加載永久配置
• --list-services 查看開放的服務
• --list-ports 查看開放的端口
• --list-all [--zone=<ZONE>] 列出指定區域的全部配置信息，包括接口，源地址，端口，服務等，若是無--zone= 選項，使用默認區域

firewall-cmd 命令示例

• 查看默認zone

firewall-cmd --get-default-zone

• 默認zone設爲dmz

firewall-cmd --set-default-zone=dmz

• 在internal zone中增長源地址192.168.0.0/24的永久規則

　　firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24

• 在internal zone中增長協議mysql的永久規則

　　firewall-cmd --permanent –zone=internal --add-service=mysql

• 加載新規則以生效

　　firewall-cmd --reload

 

實驗：配置firewalld

systemctl mask iptablessystemctl mask ip6tablessystemctl status firewalldsystemctl enable firewalldsystemctl start firewalldfirewall-cmd --get-default-zonefirewall-cmd --set-default-zone=publicfirewall-cmd --permanent --zone=public --list-allfirewall-cmd --permanent --zone=public --add-port 8080/tcpfirewall-cmd ---reload