CentOS7 Firewall防火墙配置用法详解.docx

1、CentOS7 Firewall防火墙配置用法详解CentOS7 Firewall防火墙配置用法详解 编辑:swteen 来源:转载centos 7中防火墙是一个非常的强大的功能了，但对于centos 7中在防火墙中进行了升级了，下面我们一起来详细的看看关于centos 7中防火墙使用方法。FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。 以前的 system-config-firewall/

2、lokkit 防火墙模型是静态的，每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。相反，firewall daemon 动态管理防火墙，不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过，要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现，以确保守护进程中的状态和内核里的防火墙是一致的。另外，firewall daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则。守护进程通过 D-B

3、US 提供当前激活的防火墙设置信息，也通过 D-BUS 接受使用 PolicyKit 认证方式做的更改。“守护进程”应用程序、守护进程和用户可以通过 D-BUS 请求启用一个防火墙特性。特性可以是预定义的防火墙功能，如：服务、端口和协议的组合、端口/数据报转发、伪装、ICMP 拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。通过所谓的直接接口，其他的服务(例如 libvirt )能够通过 iptables 变元(arguments)和参数(parameters)增加自己的规则。amanda 、ftp 、samba 和 tftp 服务的 netfilter 防火墙助手也被“守护进

4、程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而，跟踪连接信息很重要，需要列入考虑范围。静态防火墙(system-config-firewall/lokkit)使用 system-config-firewall 和 lokkit 的静态防火墙模型实际上仍然可用并将继续提供，但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。在软件安装，初次启动或者是首次联网时，将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整，可以通过更换模式启用。firewall

5、daemon 独立于 system-config-firewall，但二者不能同时使用。使用iptables和ip6tables的静态防火墙规则如果你想使用自己的 iptables 和 ip6tables 静态防火墙规则, 那么请安装 iptables-services 并且禁用 firewalld ，启用 iptables 和ip6tables:yum install iptables-servicessystemctl mask firewalld.servicesystemctl enable iptables.servicesystemctl enable ip6tables.serv

6、ice静态防火墙规则配置文件是 /etc/sysconfig/iptables 以及 /etc/sysconfig/ip6tables .注： iptables 与 iptables-services 软件包不提供与服务配套使用的防火墙规则. 这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的. 你可以安装并使用 system-config-firewall 来创建上述服务需要的规则. 为了能使用 system-config-firewall, 你必须停止 firewalld.为服务创建规则并停用 firewalld 后，就可以启用 iptables 与 ip6tables 服务了:

7、systemctl stop firewalld.servicesystemctl start iptables.servicesystemctl start ip6tables.service什么是区域？网络区域定义了网络连接的可信等级。这是一个一对多的关系，这意味着一次连接可以仅仅是一个区域的一部分，而一个区域可以用于很多连接。预定义的服务服务是端口和/或协议入口的组合。备选内容包括 netfilter 助手模块以及 IPv4、IPv6地址。端口和协议定义了 tcp 或 udp 端口，端口可以是一个端口或者端口范围。ICMP阻塞可以选择 Internet 控制报文协议的报文。这些报文可以是

8、信息请求亦可是对信息请求或错误条件创建的响应。伪装私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。端口转发端口可以映射到另一个端口以及/或者其他主机。哪个区域可用?由firewalld 提供的区域按照从不信任到信任的顺序排序。丢弃任何流入网络的包都被丢弃，不作出任何响应。只允许流出的网络连接。阻塞任何进入的网络连接都被拒绝，并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。公开用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的

9、连接接入。（You do not trust the other computers on networks to not harm your computer. Onlyselected incoming connections are accepted.）外部用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。隔离区（dmz）用以允许隔离区（dmz）中的电脑有限地被外界网络访问。只接受被选中的连接。工作用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。家庭用在家庭网络。你信任网络中的大多数计算机不会影响你

10、的计算机。只接受被选中的连接。内部用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。受信任的允许所有网络连接。我应该选用哪个区域?例如，公共的 WIFI 连接应该主要为不受信任的，家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。如何配置或者增加区域?你可以使用任何一种 firewalld 配置工具来配置或者增加区域，以及修改配置。工具有例如 firewall-config 这样的图形界面工具， firewall-cmd 这样的命令行工具，以及D-BUS接口。或者你也可以在配置文件目录中创建或者拷贝区域文件。 PREFIX/lib/fire

11、walld/zones 被用于默认和备用配置，/etc/firewalld/zones 被用于用户创建和自定义配置文件。如何为网络连接设置或者修改区域区域设置以 ZONE= 选项 存储在网络连接的ifcfg文件中。如果这个选项缺失或者为空，firewalld 将使用配置的默认区域。如果这个连接受到 NetworkManager 控制，你也可以使用 nm-connection-editor 来修改区域。由NetworkManager控制的网络连接防火墙不能够通过 NetworkManager 显示的名称来配置网络连接，只能配置网络接口。因此在网络连接之前 NetworkManager 将配置文件

12、所述连接对应的网络接口告诉 firewalld 。如果在配置文件中没有配置区域，接口将配置到 firewalld 的默认区域。如果网络连接使用了不止一个接口，所有的接口都会应用到 fiwewalld。接口名称的改变也将由 NetworkManager 控制并应用到firewalld。为了简化，自此，网络连接将被用作与区域的关系。如果一个接口断开了，NetworkManager也将告诉firewalld从区域中删除该接口。当firewalld由systemd或者init脚本启动或者重启后，firewalld将通知NetworkManager把网络连接增加到区域。由脚本控制的网络对于由网络脚本控制

13、的连接有一条限制：没有守护进程通知 firewalld 将连接增加到区域。这项工作仅在 ifcfg-post 脚本进行。因此，此后对网络连接的重命名将不能被应用到firewalld。同样，在连接活动时重启 firewalld 将导致与其失去关联。现在有意修复此情况。最简单的是将全部未配置连接加入默认区域。区域定义了本区域中防火墙的特性：使用firewalld你可以通过图形界面工具 firewall-config 或者命令行客户端 firewall-cmd 启用或者关闭防火墙特性。使用firewall-cmd命令行工具 firewall-cmd 支持全部防火墙特性。对于状态和查询模式，命令只返回

14、状态，没有其他输出。一般应用获取 firewalld 状态firewall-cmd -state此举返回 firewalld 的状态，没有任何输出。可以使用以下方式获得状态输出：firewall-cmd -state & echo Running | echo Not running在 Fedora 19 中, 状态输出比此前直观:# rpm -qf $( which firewall-cmd )firewalld-0.3.3-2.fc19.noarch# firewall-cmd -statenot running在不改变状态的条件下重新加载防火墙：firewall-cmd -reload如

15、果你使用complete-reload，状态信息将会丢失。这个选项应当仅用于处理防火墙问题时，例如，状态信息和防火墙规则都正常，但是不能建立任何连接的情况。获取支持的区域列表firewall-cmd -get-zones这条命令输出用空格分隔的列表。获取所有支持的服务firewall-cmd -get-services这条命令输出用空格分隔的列表。获取所有支持的ICMP类型firewall-cmd -get-icmptypes这条命令输出用空格分隔的列表。列出全部启用的区域的特性firewall-cmd -list-all-zones输出格式是： interfaces: . services:

16、 . ports: . forward-ports: . icmp-blocks: .输出区域 全部启用的特性。如果生略区域，将显示默认区域的信息。firewall-cmd -zone= -list-all获取默认区域的网络设置firewall-cmd -get-default-zone设置默认区域firewall-cmd -set-default-zone=流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的连接将不受影响。获取活动的区域firewall-cmd -get-active-zones这条命令将用以下格式输出每个区域所含接口：: .: .根据接口获取区域firew

17、all-cmd -get-zone-of-interface=这条命令将输出接口所属的区域名称。将接口增加到区域firewall-cmd -zone= -add-interface=如果接口不属于区域，接口将被增加到区域。如果区域被省略了，将使用默认区域。接口在重新加载后将重新应用。修改接口所属区域firewall-cmd -zone= -change-interface=这个选项与 add-interface 选项相似，但是当接口已经存在于另一个区域的时候，该接口将被添加到新的区域。从区域中删除一个接口firewall-cmd -zone= -remove-interface=查询区域中是否

18、包含某接口firewall-cmd -zone= -query-interface=返回接口是否存在于该区域。没有输出。列举区域中启用的服务firewall-cmd -zone= -list-services启用应急模式阻断所有网络连接，以防出现紧急状况firewall-cmd -panic-on禁用应急模式firewall-cmd -panic-off代码如下复制代码应急模式在 0.3.0 版本中发生了变化在 0.3.0 之前的 FirewallD版本中, panic 选项是 enable-panic 与 disable-panic.查询应急模式firewall-cmd -query-pan

19、ic此命令返回应急模式的状态，没有输出。可以使用以下方式获得状态输出：firewall-cmd -query-panic & echo On | echo Off处理运行时区域运行时模式下对区域进行的修改不是永久有效的。重新加载或者重启后修改将失效。启用区域中的一种服务firewall-cmd -zone= -add-service= -timeout=此举启用区域中的一种服务。如果未指定区域，将使用默认区域。如果设定了超时时间，服务将只启用特定秒数。如果服务已经活跃，将不会有任何警告信息。例: 使区域中的ipp-client服务生效60秒:firewall-cmd -zone=home -a

20、dd-service=ipp-client -timeout=60例: 启用默认区域中的http服务:firewall-cmd -add-service=http禁用区域中的某种服务firewall-cmd -zone= -remove-service=此举禁用区域中的某种服务。如果未指定区域，将使用默认区域。例: 禁止home区域中的http服务:firewall-cmd -zone=home -remove-service=http区域种的服务将被禁用。如果服务没有启用，将不会有任何警告信息。查询区域中是否启用了特定服务firewall-cmd -zone= -query-service=

21、如果服务启用，将返回1,否则返回0。没有输出信息。启用区域端口和协议组合firewall-cmd -zone= -add-port=-/ -timeout=此举将启用端口和协议的组合。端口可以是一个单独的端口 或者是一个端口范围 - 。协议可以是 tcp 或 udp。禁用端口和协议组合firewall-cmd -zone= -remove-port=-/查询区域中是否启用了端口和协议组合firewall-cmd -zone= -query-port=-/如果启用，此命令将有返回值。没有输出信息。启用区域中的IP伪装功能firewall-cmd -zone= -add-masquerade此举启

22、用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式，常用于路由。由于内核的限制，伪装功能仅可用于IPv4。禁用区域中的IP伪装firewall-cmd -zone= -remove-masquerade查询区域的伪装状态firewall-cmd -zone= -query-masquerade如果启用，此命令将有返回值。没有输出信息。启用区域的ICMP阻塞功能firewall-cmd -zone= -add-icmp-block=此举将启用选中的Internet控制报文协议（ICMP）报文进行阻塞。ICMP报文可以是请求信息或者创建的应答报文，以及错误应答。禁

23、止区域的ICMP阻塞功能firewall-cmd -zone= -remove-icmp-block=查询区域的ICMP阻塞功能firewall-cmd -zone= -query-icmp-block=如果启用，此命令将有返回值。没有输出信息。例: 阻塞区域的响应应答报文:firewall-cmd -zone=public -add-icmp-block=echo-reply在区域中启用端口转发或映射firewall-cmd -zone= -add-forward-port=port=-:proto= :toport=- | :toaddr= | :toport=-:toaddr= 端口可以

24、映射到另一台主机的同一端口，也可以是同一主机或另一主机的不同端口。端口号可以是一个单独的端口 或者是端口范围 - 。协议可以为 tcp 或udp 。目标端口可以是端口号 或者是端口范围 - 。目标地址可以是 IPv4 地址。受内核限制，端口转发功能仅可用于IPv4。禁止区域的端口转发或者端口映射firewall-cmd -zone= -remove-forward-port=port=-:proto= :toport=- | :toaddr= | :toport=-:toaddr= 查询区域的端口转发或者端口映射firewall-cmd -zone= -query-forward-port=p

25、ort=-:proto= :toport=- | :toaddr= | :toport=-:toaddr= 如果启用，此命令将有返回值。没有输出信息。例: 将区域home的ssh转发到127.0.0.2firewall-cmd -zone=home -add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2处理永久区域永久选项不直接影响运行时的状态。这些选项仅在重载或者重启服务时可用。为了使用运行时和永久设置，需要分别设置两者。 选项 permanent 需要是永久设置的第一个参数。获取永久选项所支持的服务firewall-cmd -permane

26、nt -get-services获取永久选项所支持的ICMP类型列表firewall-cmd -permanent -get-icmptypes获取支持的永久区域firewall-cmd -permanent -get-zones启用区域中的服务firewall-cmd -permanent -zone= -add-service=此举将永久启用区域中的服务。如果未指定区域，将使用默认区域。禁用区域中的一种服务firewall-cmd -permanent -zone= -remove-service=查询区域中的服务是否启用firewall-cmd -permanent -zone= -qu

27、ery-service=如果服务启用，此命令将有返回值。此命令没有输出信息。例: 永久启用 home 区域中的 ipp-client 服务firewall-cmd -permanent -zone=home -add-service=ipp-client永久启用区域中的一个端口-协议组合firewall-cmd -permanent -zone= -add-port=-/永久禁用区域中的一个端口-协议组合firewall-cmd -permanent -zone= -remove-port=-/查询区域中的端口-协议组合是否永久启用firewall-cmd -permanent -zone=

28、-query-port=-/如果服务启用，此命令将有返回值。此命令没有输出信息。例: 永久启用 home 区域中的 https(tcp 443) 端口firewall-cmd -permanent -zone=home -add-port=443/tcp永久启用区域中的伪装firewall-cmd -permanent -zone= -add-masquerade此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式，常用于路由。由于内核的限制，伪装功能仅可用于IPv4。永久禁用区域中的伪装firewall-cmd -permanent -zone= -remove-masquerade查询区域中的伪装的永久状态firewall-cmd -permanent