Firewalld 防火牆

Firewalld 服務是紅帽 RHEL7 系統中默認的防火牆管理工具，特色是擁有運行時配置與永久配置選項且可以支持動態更新以及 "zone" 的區域功能概念，使用圖形化工具 firewall-config 或文本管理工具 firewall-cmd，下面實驗中會講到~

區域概念與做用

防火牆的網絡區域定義了網絡鏈接的可信等級，咱們能夠根據不一樣場景來調用不一樣的 firewalld 區域，區域規則有：

區域	默認規則策略
trusted	容許全部的數據包。
home	拒絕流入的數據包，除非與輸出流量數據包相關或是 ssh,mdns,ipp-client,samba-client 與 dhcpv6-client 服務則容許。
internal	等同於 home 區域
work	拒絕流入的數據包，除非與輸出流量數據包相關或是 ssh,ipp-client 與 dhcpv6-client 服務則容許。
public	拒絕流入的數據包，除非與輸出流量數據包相關或是 ssh,dhcpv6-client 服務則容許。
external	拒絕流入的數據包，除非與輸出流量數據包相關或是 ssh 服務則容許。
dmz	拒絕流入的數據包，除非與輸出流量數據包相關或是 ssh 服務則容許。
block	拒絕流入的數據包，除非與輸出流量數據包相關。
drop	拒絕流入的數據包，除非與輸出流量數據包相關。

簡單來說就是爲用戶預先準備了幾套規則集合，咱們能夠根據場景的不一樣選擇合適的規矩集合，而默認區域是 public。

字符管理工具

若是想要更高效的配置穩當防火牆，那麼就必定要學習字符管理工具 firewall-cmd 命令, 命令參數有：

參數	做用
--get-default-zone	查詢默認的區域名稱。
--set-default-zone=<區域名稱>	設置默認的區域，永久生效。
--get-zones	顯示可用的區域。
--get-services	顯示預先定義的服務。
--get-active-zones	顯示當前正在使用的區域與網卡名稱。
--add-source=	未來源於此 IP 或子網的流量導向指定的區域。
--remove-source=	再也不將此 IP 或子網的流量導向某個指定區域。
--add-interface=<網卡名稱>	未來自於該網卡的全部流量都導向某個指定區域。
--change-interface=<網卡名稱>	將某個網卡與區域作關聯。
--list-all	顯示當前區域的網卡配置參數，資源，端口以及服務等信息。
--list-all-zones	顯示全部區域的網卡配置參數，資源，端口以及服務等信息。
--add-service=<服務名>	設置默認區域容許該服務的流量。
--add-port=<端口號/協議>	容許默認區域容許該端口的流量。
--remove-service=<服務名>	設置默認區域再也不容許該服務的流量。
--remove-port=<端口號/協議>	容許默認區域再也不容許該端口的流量。
--reload	讓 「永久生效」 的配置規則當即生效，覆蓋當前的。

特別須要注意的是 firewalld 服務有兩份規則策略配置記錄，必須要可以區分：

• RunTime: 當前正在生效的。

• Permanent: 永久生效的。

當下面實驗修改的是永久生效的策略記錄時，必須執行 "--reload" 參數後才能當即生效，不然要重啓後再生效。

查看當前的區域：

$ firewall-cmd --get-default-zone
public

查詢 eno16777728 網卡的區域：

$ firewall-cmd --get-zone-of-interface=eno16777728
public

在 public 中分別查詢 ssh 與 http 服務是否被容許：

$ firewall-cmd --zone=public --query-service=ssh
yes
$ firewall-cmd --zone=public --query-service=http
no

設置默認規則爲 dmz：

$ firewall-cmd --set-default-zone=dmz

讓 「永久生效」 的配置文件當即生效：

$ firewall-cmd --reload
success

啓動/關閉應急情況模式，阻斷全部網絡鏈接：

應急情況模式啓動後會禁止全部的網絡鏈接，一切服務的請求也都會被拒絕，小心，請慎用。

$ firewall-cmd --panic-on
success
$ firewall-cmd --panic-off
success

若是您已經可以徹底理解上面練習中 firewall-cmd 命令的參數做用，不妨來嘗試完成下面的模擬訓練吧：

模擬訓練 1

容許 https 服務流量經過 public 區域，要求當即生效且永久有效：

方法一: 分別設置當前生效與永久有效的規則記錄：

$ firewall-cmd --zone=public --add-service=https
$ firewall-cmd --permanent --zone=public --add-service=https

方法二: 設置永久生效的規則記錄後讀取記錄：

$ firewall-cmd --permanent --zone=public --add-service=https
$ firewall-cmd --reload

模擬訓練 2

再也不容許 http 服務流量經過 public 區域，要求當即生效且永久生效：

$ firewall-cmd --permanent --zone=public --remove-service=http
 success

使用參數 "--reload" 讓永久生效的配置文件當即生效：

$ firewall-cmd --reload
success

模擬訓練 3

容許 8080 與 8081 端口流量經過 public 區域，當即生效且永久生效：

$ firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp
$ firewall-cmd --reload

模擬訓練 4

查看模擬實驗 C 中要求加入的端口操做是否成功：

$ firewall-cmd --zone=public --list-ports
8080-8081/tcp
$ firewall-cmd --permanent --zone=public --list-ports
8080-8081/tcp

模擬實驗 5

將 eno16777728 網卡的區域修改成 external，重啓後生效：

$ firewall-cmd --permanent --zone=external --change-interface=eno16777728
success
$ firewall-cmd --get-zone-of-interface=eno16777728
public

端口轉發功能能夠將本來到某端口的數據包轉發到其餘端口:

firewall-cmd --permanent --zone=<區域> --add-forward-port=port=<源端口號>:proto=<協議>:toport=<目標端口號>:toaddr=<目標 IP 地址>

將訪問 192.168.10.10 主機 888 端口的請求轉發至 22 端口：

$ firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success

使用客戶機的 ssh 命令訪問 192.168.10.10 主機的 888 端口：

$ ssh -p 888 192.168.10.10
The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established.
ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts.
root@192.168.10.10's password:
Last login: Sun Jul 19 21:43:48 2015 from 192.168.10.10

再次提示: 注意當即生效與重啓後依然生效的差異，千萬不要修改錯了。

模擬實驗 6

設置富規則，拒絕 192.168.10.0/24 網段的用戶訪問 ssh 服務：

firewalld 服務的富規則用於對服務、端口、協議進行更詳細的配置，規則的優先級最高。

$ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"source address="192.168.10.0/24"service name="ssh"reject"
success

圖形化工具 firewall-config

...