Linux----------防火牆

目錄

• 1、防火牆概念
  • 1.1 安全技術
  • 1.2 防火牆
    • 1.2.1 網絡層防火牆
    • 1.2.2 應用層防火牆
  • 1.3 防火牆工具
• 2、iptables
  • 2.1 iptables的組件
  • 2.2 iptables組成
    • 2.2.1四個表t
    • 2.2.2 五個內置鏈chain
    • 2.2.3 iptables規則
  • 2.3 iptables工做原理
  • 2.4 iptables命令
    • 2.4.1 iptables語法格式
  • 2.5 iptables命令之匹配條件
  • 2.6 iptables命令處理動做
  • 2.7 iptables命令之開放被動模式的ftp服務
  • 2.8 iptables命令之target
  • 2.9 注意事項
• 3、網絡防火牆
  • 3.1 NAT
    • 3.1.1 SNAT
    • 3.1.2 DNAT
  • 3.2 轉發
• 4、firewalld服務
  • 4.1 zone分類
  • 4.2 firewalld配置
    • 4.2.1 firewall-cmd命令
    • 4.2.2 其餘規則
    • 4.2.3 rich規則
    • 4.2.4 rich日誌規則
    • 4.2.5 假裝和端口轉發

1、防火牆概念

1.1 安全技術

安全技術分爲三個方面：

• 入侵檢測與管理系統（Intrusion Detection Systems）：特色是不阻斷任何網絡訪問，量化、定位來自內外網絡的威脅狀況，主要以提供報告和過後監督爲主，提供有針對性的指導措施和安全決策依據。通常採用旁路部署方式

• 入侵防護系統（Intrusion Prevention System）：以透明模式工做，分析數據包的內容如：溢出攻擊、拒絕服務攻擊、木馬、蠕蟲、系統漏洞等進行準確的分析判斷，在斷定爲攻擊行爲後當即予以阻斷，主動而有效的保護網絡的安全，通常採用在線部署方式

• 防火牆（ FireWall ）：隔離功能，工做在網絡或主機邊緣，對進出網絡或主機的數據包基於必定的規則檢查，並在匹配某規則時由規則定義的行爲進行處理的一組功能的組件，基本上的實現都是默認狀況下關閉全部的經過型訪問，只開放容許訪問的策略

1.2 防火牆

防火牆分類：

• 主機防火牆：服務範圍爲當前主機

• 網絡防火牆：服務範圍爲防火牆一側的局域網

• 硬件防火牆：在專用硬件級別實現部分功能的防火牆；另外一個部分功能基於軟件實現，Checkpoint,NetScreen

• 軟件防火牆：運行於通用硬件平臺之上的防火牆的應用軟件

• 網絡層防火牆：OSI下面第三層

• 應用層防火牆/代理服務器：代理網關，OSI七層

1.2.1 網絡層防火牆

• 包過濾防火牆
• 網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱爲訪問控制列表（ACL），經過檢查數據流中每一個數據的源地址，目的地址，所用端口號和協議狀態等因素，或他們的組合來肯定是否容許該數據包經過
• 優勢：對用戶來講透明，處理速度快且易於維護
• 缺點：沒法檢查應用層數據，如病毒等

1.2.2 應用層防火牆

• 應用層防火牆/代理服務型防火牆（Proxy Service）
• 將全部跨越防火牆的網絡通訊鏈路分爲兩段
• 內外網用戶的訪問都是經過代理服務器上的「連接」來實現
• 優勢：在應用層對數據進行檢查，比較安全

• 缺點：增長防火牆的負載

• 現實生產環境中所使用的防火牆通常都是兩者結合體：
  即先檢查網絡數據，經過以後再送到應用層去檢查

1.3 防火牆工具

經常使用防火牆軟件有：
iptables、firewalld、ebtables

2、iptables

2.1 iptables的組件

Netfilter組件：

• 內核空間，集成在linux內核中

• 擴展各類網絡服務的結構化底層框架

• 內核中選取五個位置放了五個hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING)，而這五個hook function向用戶開放，用戶能夠經過一個命令工具（iptables）向其寫入規則

• 由信息過濾表（table）組成，包含控制IP包處理的規則集（rules），規則被分組放在鏈（chain）上

• 三種報文流向：
  流入本機：PREROUTING --> INPUT-->用戶空間進程
  流出本機：用戶空間進程 -->OUTPUT--> POSTROUTING
  轉發：PREROUTING --> FORWARD --> POSTROUTING

2.2 iptables組成

• iptables由四個表和五個鏈以及一些規則組成

2.2.1四個表t

able：filter、nat、mangle、raw
filter表:過濾規則表，根據預約義的規則過濾符合條件的數據包
nat表:network address translation 地址轉換規則表
mangle:修改數據標記位規則表
Raw:關閉NAT表上啓用的鏈接跟蹤機制，加快封包穿越防火牆速度
優先級由高到低的順序爲:raw-->mangle-->nat-->filter

2.2.2 五個內置鏈chain

INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING

2.2.3 iptables規則

規則rule：根據規則的匹配條件嘗試匹配報文，對匹配成功的報文根據規則定義的處理動做做出處理

• 匹配條件：默認爲與條件，同時知足
  基本匹配：IP,端口,TCP的Flags（SYN,ACK等）
  擴展匹配：經過複雜高級功能匹配

• 處理動做：稱爲target，跳轉目標
  內建處理動做：ACCEPT,DROP,REJECT,SNAT,DNAT MASQUERADE,MARK,LOG...
  自定義處理動做：自定義chain，利用分類管理複雜情形

• 規則要添加在鏈上，才生效；添加在自定義上不會自動生效

• 鏈chain：
  內置鏈：每一個內置鏈對應於一個鉤子函數
  自定義鏈：用於對內置鏈進行擴展或補充，可實現更靈活的規則組織管理機制；只有Hook鉤子調用自定義鏈時，才生效

• iptables規則添加時考量點
  要實現哪一種功能：判斷添加在哪張表上
  報文流經的路徑：判斷添加在哪一個鏈上
  報文的流向：判斷源和目的
  匹配規則：業務須要

• 鏈上規則的次序，即爲檢查的次序，所以隱含必定的法則
  同類規則(訪問同一應用)，匹配範圍小的放上面
  不一樣類規則(訪問不一樣應用)，匹配到報文頻率較大的放上面
  將那些可由一條規則描述的多個規則合併爲一個
  設置默認策略

2.3 iptables工做原理

• 內核中數據包的傳輸過程：
• 當一個數據包進入網卡時，數據包首先進入PREROUTING鏈，內核根據數據包目的IP判斷是否須要轉送出去
• 若是數據包就是進入本機的，數據包就會沿着圖向下移動，到達INPUT鏈。數據包到達INPUT鏈後，任何進程都會收到它。本機上運行的程序能夠發送數據包，這些數據包通過OUTPUT鏈，而後到達POSTROUTING鏈輸出
• 若是數據包是要轉發出去的，且內核容許轉發，數據包就會向右移動，通過FORWARD鏈，而後到達POSTROUTING鏈輸出

2.4 iptables命令

iptables：

• 命令行工具，工做在用戶空間

• 用來編寫規則，寫好的規則被送往netfilter，告訴內核如何去處理信息包

• iptables命令：
  man 8 iptables
   iptables [-t table] {-A|-C|-D} chain rule-specification
   iptables [-t table] -I chain [rulenum] rule-specification
   iptables [-t table] -R chain rulenum rule-specification
   iptables [-t table] -D chain rulenum
   iptables [-t table] -S [chain [rulenum]]
   iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
   iptables [-t table] -N chain
   iptables [-t table] -X [chain]
   iptables [-t table] -P chain target
   iptables [-t table] -E old-chain-name new-chain-name
   rule-specification = [matches...] [target]
   match = -m matchname [per-match-options]
   target = -j targetname [per-target-options]

• 示例：
  

2.4.1 iptables語法格式

規則格式：iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]

• -t table：
  raw, mangle, nat, [filter]默認

• SUBCOMMAND：
  一、鏈管理：
  -N：new, 自定義一條新的規則鏈
  -X：delete，刪除自定義的空的規則鏈
  -P：Policy，設置默認策略；對filter表中的鏈而言，其默認策略有：
  ACCEPT：接受
  DROP：丟棄
  -E：重命名自定義鏈；引用計數不爲0的自定義鏈不可以被重命名，也不能被刪除

二、查看：
-L：list, 列出指定鏈上的全部規則，本選項須置後
-n：numberic，以數字格式顯示地址和端口號
-v：verbose，詳細信息
-vv 更詳細
-x：exactly，顯示計數器結果的精確值,而非單位轉換後的易讀值
--line-numbers：顯示規則的序號
經常使用組合：
--vnL
--vvnxL --line-numbers
-S selected,以iptables-save 命令格式顯示鏈上規則

三、規則管理：
-A：append，追加
-I：insert, 插入，要指明插入至的規則編號，默認爲第一條
-D：delete，刪除

(1) 指明規則序號

(2) 指明規則自己
-R：replace，替換指定鏈上的指定規則編號
-F：flush，清空指定的規則鏈
-Z：zero，置零
iptables的每條規則都有兩個計數器

(1) 匹配到的報文的個數

(2) 匹配到的全部報文的大小之和
chain： PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTIN

2.5 iptables命令之匹配條件

匹配條件：
基本：通用的，PARAMETERS
擴展：需加載模塊，MATCH EXTENTIONS

• 一、基本匹配條件：無需加載模塊，由iptables/netfilter自行提供
  [!] -s, --source address[/mask][,...]：源IP地址或範圍
  [!] -d, --destination address[/mask][,...]：目標IP地址或範圍
  [!] -p, --protocol protocol：指定協議，可以使用數字如0（all）
  protocol: tcp, udp, icmp, icmpv6, udplite,esp, ah, sctp,mh or 「all「 參看：/etc/protocols
  [!] -i, --in-interface name：報文流入的接口；只能應用於數據報文流入環節，只應用於 INPUT、FORWARD、PREROUTING 鏈
  [!] -o, --out-interface name：報文流出的接口；只能應用於數據報文流出的環節，只應用於 FORWARD、OUTPUT 、 POSTROUTING 鏈

• 2 擴展匹配條件：須要加載擴展模塊（/usr/lib64/xtables/*.so），方可生效
  查看幫助 man iptables-extensions
  (1)隱式擴展：在使用-p選項指明瞭特定的協議時，無需再用-m選項指明擴展模塊的擴展機制，不須要手動加載擴展模塊

• tcp協議的擴展選項
  [!] --source-port, --sport port[:port]：匹配報文源端口,可爲端口範圍
  [!] --destination-port,--dport port[:port]：匹配報文目標端口,可爲範圍
  [!] --tcp-flags mask comp //mask 需檢查的標誌位列表，用,分隔
  例如 SYN,ACK,FIN,RST
  comp 在mask列表中必須爲1的標誌位列表，無指定則必須爲0，用,分隔

• 示例：
  --tcp-flags SYN,ACK,FIN,RST SYN 表示要檢查的標誌位爲SYN,ACK,FIN,RST四個，其中SYN必須爲1，餘下的必須爲0
  --tcp-flags SYN,ACK,FIN,RST SYN,ACK
  --tcp-flags ALL ALL
  --tcp_flags ALL NONE
  [!] --syn：用於匹配第一次握手
  至關於：--tcp-flags SYN,ACK,FIN,RST SYN

• udp協議
  [!] --source-port, --sport port[:port]：匹配報文的源端口；能夠是端口範圍
  [!] --destination-port,--dport port[:port]：匹配報文的目標端口；能夠是端口範圍

• icmp
  [!] --icmp-type {type[/code]|typename}
  type/code
  0/0 echo-reply icmp應答
  8/0 echo-request icmp請求

(2)顯式擴展：必須使用-m選項指明要調用的擴展模塊的擴展機制，要手動加載擴展模塊
[-m matchname [per-match-options]]

2.6 iptables命令處理動做

-j targetname [per-target-options]
簡單： ACCEPT，DROP
擴展： REJECT：--reject-with:icmp-port-unreachable默認
RETURN：返回調用鏈
REDIRECT：端口重定向
LOG：記錄日誌，dmesg
MARK：作防火牆標記
DNAT：目標地址轉換
SNAT：源地址轉換
MASQUERADE：地址假裝
...
自定義鏈：

• 顯式擴展：必須顯式地指明使用的擴展模塊進行的擴展

• 使用幫助：
  CentOS 6: man iptables
  CentOS 7: man iptables-extensions

• 一、multiport擴展
  以離散方式定義多端口匹配,最多指定15個端口
  [!] --source-ports,--sports port[,port|,port:port]... 指定多個源端口
  [!] --destination-ports,--dports port[,port|,port:port]... 指定多個目標端口
  [!] --ports port[,port|,port:port]...多個源或目標端口

• 示例：
  iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT

• 二、iprange擴展
  指明連續的（但通常不是整個網絡）ip地址範圍
  [!] --src-range from[-to] 源IP地址範圍
  [!] --dst-range from[-to] 目標IP地址範圍

• 示例：
  iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --src-range 172.16.1.5-172.16.1.10 -j DROP

• 三、mac擴展
  指明源MAC地址
  適用於：PREROUTING, FORWARD，INPUT chains
  [!] --mac-source XX:XX:XX:XX:XX:XX

• 示例：
  iptables -A INPUT -s 172.16.0.100 -m mac --mac-source 00:50:56:12:34:56 -j ACCEPT
  iptables -A INPUT -s 172.16.0.100 -j REJECT

• 四、string擴展
  對報文中的應用層數據作字符串模式匹配檢測
  --algo {bm|kmp}：字符串匹配檢測算法
  bm：Boyer-Moore
  kmp：Knuth-Pratt-Morris
  --from offset 開始偏移
  --to offset 結束偏移
  [!] --string pattern：要檢測的字符串模式
  [!] --hex-string pattern：要檢測字符串模式，16進制格式

• 示例：
  iptables -A OUTPUT -s 172.16.100.10 -d 0/0 -p tcp --sport 80 -m string --algo bm --string 「google" -j REJECT

• 五、time擴展
  根據將報文到達的時間與指定的時間範圍進行匹配
  --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
  --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
  --timestart hh:mm[:ss] 時間
  --timestop hh:mm[:ss]
  [!] --monthdays day[,day...] 每月的幾號
  [!] --weekdays day[,day...] 星期幾
  --kerneltz：內核時區，不建議使用，CentOS7系統默認爲UTC
  注意： centos6 不支持kerneltz ，--localtz指定本地時區(默認)

• 示例：
  iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp --dport 80 -m time --timestart 14:30 --timestop 18:30 --weekdays Sat,Sun --kerneltz -j DROP

• 六、connlimit擴展
  根據每客戶端IP作併發鏈接數數量匹配可防止CC(Challenge Collapsar挑戰黑洞)攻擊
  --connlimit-upto n：鏈接的數量小於等於n時匹配
  --connlimit-above n：鏈接的數量大於n時匹配
  一般分別與默認的拒絕或容許策略配合使用

• 示例：
  iptables -A INPUT -d 172.16.100.10 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT

• 七、limit擴展
  基於收發報文的速率作匹配
  令牌桶過濾器
  --limit rate[/second|/minute|/hour|/day]
  --limit-burst number
  示例：
  iptables -I INPUT -d 172.16.100.10 -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 5 -j ACCEPT
  iptables -I INPUT 2 -p icmp -j REJECT

• 八、state擴展

• 根據」鏈接追蹤機制「去檢查鏈接的狀態，較耗資源

• conntrack機制：追蹤本機上的請求和響應之間的關係

• 狀態有以下幾種：
  NEW：新發出請求；鏈接追蹤信息庫中不存在此鏈接的相關信息條目，所以，將其識別爲第一次發出的請求
  ESTABLISHED：NEW狀態以後，鏈接追蹤信息庫中爲其創建的條目失效以前期間內所進行的通訊狀態
  RELATED：新發起的但與已有鏈接相關聯的鏈接，如：
  ftp協議中的數據鏈接與命令鏈接之間的關係
  INVALID：無效的鏈接，如flag標記不正確
  UNTRACKED：未進行追蹤的鏈接，如raw表中關閉追蹤

[!] --state state

• 示例：
  iptables -A INPUT -d 172.16.1.10 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
  iptables -A OUTPUT -s 172.16.1.10 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT

• 已經追蹤到的並記錄下來的鏈接信息庫
  /proc/net/nf_conntrack
• 調整鏈接追蹤功能所可以容納的最大鏈接數量
  /proc/sys/net/nf_conntrack_max
• 不一樣的協議的鏈接追蹤時長
  /proc/sys/net/netfilter/

• 注意：CentOS7 須要加載模塊： modprobe nf_conntrack

• iptables的連接跟蹤表最大容量爲/proc/sys/net/nf_conntrack_max，各類狀態的超時連接會從表中刪除；當模板滿載時，後續鏈接可能會超時
• 解決方法兩個：

(1) 加大nf_conntrack_max 值
vi /etc/sysctl.conf
net.nf_conntrack_max = 393216
net.netfilter.nf_conntrack_max = 393216

(2) 下降 nf_conntrack timeout時間
vi /etc/sysctl.conf
net.netfilter.nf_conntrack_tcp_timeout_established = 300
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
iptables -t nat -L -n

2.7 iptables命令之開放被動模式的ftp服務

開放被動模式的ftp服務

(1) 裝載ftp鏈接追蹤的專用模塊：
跟蹤模塊路徑：/lib/modules/kernelversion/kernel/net/netfilter
vim /etc/sysconfig/iptables-config 配置文件
IPTABLES_MODULES=" nf_conntrack_ftp "
modproble nf_conntrack_ftp

(2) 放行請求報文：
命令鏈接：NEW, ESTABLISHED
數據鏈接：RELATED, ESTABLISHED
iptables –I INPUT -d LocalIP -p tcp -m state --state ESTABLISH,EDRELATED -j ACCEPT
iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state -- state NEW -j ACCEPT

(3) 放行響應報文：
iptables -I OUTPUT -s LocalIP -p tcp -m state --state ESTABLISHED -j ACCEPT

• 示例：
  yum install vsftpd
   systemctl start vsftpd
   modprobe nf_conntrack_ftp
   iptables -F
   iptables -A INPUT -m state --stateESTABLISHED,RELATED -j ACCEPT
   iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
   iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
   iptables -P INPUT DROP
   iptables -P OUTPUT DROP
   iptables -vnL

2.8 iptables命令之target

Target：
ACCEPT， DROP， REJECT， RETURN
LOG， SNAT， DNAT， REDIRECT， MASQUERADE，..
LOG: 非中斷target,自己不拒絕和容許,放在拒絕和容許規則前並將日誌記錄在/var/log/messages系統日誌中
--log-level level 級別： emerg, alert, crit, error,warning, notice, info or debug
--log-prefix prefix 日誌前綴，用於區別不一樣的日誌，最多29個字符

• 示例：
  iptables -I INPUT -s 10.0.1.0/24 -p tcp -m multiport --dports 80,21,22,23 -m state --state NEW -j LOG --log-prefix "new connections: "

2.9 注意事項

• 任何不容許的訪問，應該在請求到達時給予拒絕
• 規則在連接上的次序即爲其檢查時的生效次序

• 基於上述，規則優化
  1 安全放行全部入站和出站的狀態爲ESTABLISHED狀態鏈接
  2 謹慎放行入站的新請求
  3 有特殊目的限制訪問功能，要在放行規則以前加以拒絕
  4 同類規則（訪問同一應用），匹配範圍小的放在前面，用於特殊處理
  5 不一樣類的規則（訪問不一樣應用），匹配範圍大的放在前面
  6 應該將那些可由一條規則可以描述的多個規則合併爲一條
  7 設置默認策略，建議白名單（只放行特定鏈接）
  1） iptables -P，不建議
  2） 建議在規則的最後定義規則作爲默認策略

• 規則有效期限：
  使用iptables命令定義的規則，手動刪除以前，其生效期限爲kernel存活期限

• 保存規則：
  保存規則至指定的文件
  CentOS 6
  service iptables save
  將規則覆蓋保存至/etc/sysconfig/iptables文件中
  CentOS 7 可用下面方法保存規則
  iptables -S > /PATH/TO/SOME_RULES_FILE
  iptables-save > /PATH/TO/SOME_RULES_FILE

3、網絡防火牆

• iptables/netfilter網絡防火牆：

(1) 充當網關

(2) 使用filter表的FORWARD鏈

• 注意的問題：

(1) 請求-響應報文均會經由FORWARD鏈，要注意規則的方向性

(2) 若是要啓用conntrack機制，建議將雙方向的狀態爲ESTABLISHED的報文直接放行

3.1 NAT

NAT: network address translation
PREROUTING，INPUT，OUTPUT，POSTROUTING
請求報文：修改源/目標IP，由定義如何修改
響應報文：修改源/目標IP，根據跟蹤機制自動實現

• SNAT：source NAT POSTROUTING, INPUT
  讓本地網絡中的主機經過某一特定地址訪問外部網絡，實現地址假裝請求報文：修改源IP
• DNAT：destination NAT PREROUTING , OUTPUT
  把本地網絡中的主機上的某服務開放給外部網絡訪問(發佈服務和端口映射)，但隱藏真實IP請求報文：修改目標IP
• PNAT: port nat，端口和IP都進行修改

3.1.1 SNAT

nat表的target：
SNAT：固定IP
--to-source [ipaddr[-ipaddr]][:port[-port]]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP

• 示例：
  iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT --to-source 172.18.1.6-172.18.1.9

MASQUERADE：動態IP，如撥號網絡
--to-ports port[-port]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE

• 示例：
  iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j MASQUERADE

3.1.2 DNAT

DNAT
--to-destination [ipaddr[-ipaddr]][:port[-port]]
iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]

• 示例：
  iptables -t nat -A PREROUTING -s 0/0 -d172.18.100.6 -p tcp --dport 22 -j DNAT --to-destination 10.0.1.22
  iptables -t nat -A PREROUTING -s 0/0 -d172.18.100.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.22:8080

3.2 轉發

REDIRECT：
NAT表
可用於：PREROUTING OUTPUT 自定義鏈
經過改變目標IP和端口，將接受的包轉發至不一樣端口
--to-ports port[-port]

• 示例：
  iptables -t nat -A PREROUTING -d 172.16.100.10 -p tcp --dport 80 -j REDIRECT --to-ports 8080

4、firewalld服務

firewalld是CentOS 7.0新推出的管理netfilter的工具
firewalld是配置和監控防火牆規則的系統守護進程。能夠實現iptables,ip6tables,ebtables的功能
firewalld服務由firewalld包提供
firewalld支持劃分區域zone,每一個zone能夠設置獨立的防火牆規則
納入zone順序：
先根據數據包中源地址，將其納爲某個zone
納爲網絡接口所屬zone
歸入默認zone，默認爲public zone,管理員能夠改成其它zone

網卡默認屬於public zone,lo網絡接口屬於trusted zone

4.1 zone分類

4.2 firewalld配置

firewall-cmd --get-services 查看預約義服務列表
/usr/lib/firewalld/services/*.xml預約義服務的配置

• 三種配置方法
  firewall-config （firewall-config包）圖形工具
  firewall-cmd （firewalld包）命令行工具
  /etc/firewalld 配置文件，通常不建議

4.2.1 firewall-cmd命令

firewall-cmd命令選項：

--get-zones 列出全部可用區域
--get-default-zone 查詢默認區域
--set-default-zone=<ZONE> 設置默認區域
--get-active-zones 列出當前正使用的區域
--add-source=<CIDR>[--zone=<ZONE>] 添加源地址的流量到指定區域，若是無--zone= 選項，使用默認區域
--remove-source=<CIDR> [--zone=<ZONE>] 從指定區域中刪除源地址的流量，若是無--zone= 選項，使用默認區域
--add-interface=<INTERFACE>[--zone=<ZONE>] 添加來自於指定接口的流量到特定區域，若是無--zone= 選項，使用默認區域
--change-interface=<INTERFACE>[--zone=<ZONE>]改變指定接口至新的區域，若是無--zone= 選項，使用默認區域
--add-service=<SERVICE> [--zone=<ZONE>] 容許服務的流量經過，若是無--zone= 選項，使用默認區域
--add-port=<PORT/PROTOCOL>[--zone=<ZONE>] 容許指定端口和協議的流量，若是無--zone= 選項，使用默認區域
--remove-service=<SERVICE> [--zone=<ZONE>] 從區域中刪除指定服務，禁止該服務流量，若是無--zone= 選項，使用默認區域
--remove-port=<PORT/PROTOCOL>[--zone=<ZONE>]從區域中刪除指定端口和協議，禁止該端口的流量，若是無--zone= 選項，使用默認區域
--reload 刪除當前運行時配置，應用加載永久配置
--list-services 查看開放的服務
 --list-ports 查看開放的端口
 --list-all [--zone=<ZONE>] 列出指定區域的全部配置信息，包括接口，源地址，端口，服務等，若是無--zone= 選項，使用默認區域

• 示例:
  查看默認zone
  firewall-cmd --get-default-zone
   默認zone設爲dmz
  firewall-cmd --set-default-zone=dmz
   在internal zone中增長源地址192.168.0.0/24的永久規則
  firewall-cmd --permanent --zone=internal --
  add-source=192.168.0.0/24
   在internal zone中增長協議mysql的永久規則
  firewall-cmd --permanent –zone=internal --add-
  service=mysql
   加載新規則以生效
  firewall-cmd --reload

4.2.2 其餘規則

當基本firewalld語法規則不能知足要求時，可使用如下更復雜的規則
rich-rules 富規則，功能強,表達性語言
Direct configuration rules 直接規則，靈活性差
幫助：man 5 firewalld.direct

4.2.3 rich規則

rich規則比基本的firewalld語法實現更強的功能，不只實現容許/拒絕，還能夠實現日誌syslog和auditd，也能夠實現端口轉發，假裝和限制速率

• rich語法：
  rule
  [source]
  [destination]
  service|port|protocol|icmp-block|masquerade|forward-port
  [log]
  [audit]
  [accept|reject|drop]

• man 5 firewalld.richlanguage

• 規則實施順序：
  該區域的端口轉發，假裝規則
  該區域的日誌規則
  該區域的容許規則
  該區域的拒絕規則
  每一個匹配的規則生效，全部規則都不匹配，該區域默認規則生效

• rich規則選項
  

• 示例：
  拒絕從192.168.0.11的全部流量，當address 選項使用source 或 destination時，必須用family= ipv4 |ipv6.
  firewall-cmd --permanent --zone=classroom --add-rich- rule='rule family=ipv4 source address=192.168.0.11/32 reject‘

限制每分鐘只有兩個鏈接到ftp服務
firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/m accept’

拋棄esp（ IPsec 體系中的一種主要協議）協議的全部數據包
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp drop'

接受全部192.168.1.0/24子網端口範置7900-7905的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'

4.2.4 rich日誌規則

log [prefix=" " [level= ][limit value=" "]
能夠是emerg,alert, crit, error, warning, notice, info, debug.
s：秒, m：分鐘, h：小時, d：天
audit [limit value=" "

• 示例：
  接受ssh新鏈接，記錄日誌到syslog的notice級別，每分鐘最多三條信息
  firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh" log prefix="ssh " level="notice" limit value="3/m" accept

從2001:db8::/64子網的DNS鏈接在5分鐘內被拒絕，並記錄到日誌到audit,每小時最大記錄一條信息
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25. X .10/32 service name="http" log level=notice prefix="NEW HTTP " limit value="3/s" accept'

firewall-cmd --reload //每次增長規則後要從新加載才能生效

tail -f /var/log/messages

4.2.5 假裝和端口轉發

NAT網絡地址轉換，firewalld支持假裝和端口轉發兩種NAT方式

• 假裝NAT
  firewall-cmd --permanent --zone= --add-masquerade
  firewall-cmd --query-masquerade 檢查是否容許假裝
  firewall-cmd --add-masquerade 容許防火牆假裝IP
  firewall-cmd --remove-masquerade 禁止防火牆假裝IP

• 示例：
  firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'

• 端口轉發
  端口轉發：將發往本機的特定端口的流量轉發到本機或不一樣機器的另外一個端口。一般要配合地址假裝才能實現
  firewall-cmd --permanent --zone= --add-forward-port=port= :proto= [:toport= ][:toaddr= ]
  說明：toport= 和toaddr= 至少要指定一個

• 示例：
  轉發傳入的鏈接9527/TCP，到防火牆的80/TCP到public zone的192.168.0.254
  firewall-cmd --add-masquerade 啓用假裝
  firewall-cmd --permanent --zone=public --add-
  forward-port port=9527 proto=tcp to-port=80 toaddr=192.168.0.254

• rich規則語法
  rich規則語法：
  forward-port port= protocol= tcp|udp [to-port= ] [to-addr=

  ]

• 示例：
  轉發從192.168.0.0/24來的，發往80/TCP的流量到防火牆的端口8080/TCP
  firewall-cmd --permanent --zone=work --add-rich-rule 'rule family=ipv4 source address=192.168.0.0/24 forward-port port=80 protocol=tcp to-port=8080'

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25. X .10/32 forward-port port=443 protocol=tcp to-port=22' firewall-cmd --reload ssh -p 443 serverX.example.com