centos7的防火墙（firewalld）-阿里云开发者社区

centos7的防火墙（firewalld）

2017-11-04 3370

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 　　Centos7中默认将原来的防火墙iptables升级为了firewalld，firewalld跟iptables比起来至少有两大好处：　　1、firewalld可以动态修改单条规则，而不需要像iptables那样，在修改了规则后必须得全部刷新才可以生效；　　2、firewalld在使用上要比iptables人性化很多，即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。

　　Centos7中默认将原来的防火墙iptables升级为了firewalld，firewalld跟iptables比起来至少有两大好处：
　　1、firewalld可以动态修改单条规则，而不需要像iptables那样，在修改了规则后必须得全部刷新才可以生效；
　　2、firewalld在使用上要比iptables人性化很多，即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。

firewalld和iptables的关系

　　FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 system-config-firewall/lokkit 防火墙模型是静态的，每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。

　　firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现，也就是说firewalld和 iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter，只不过firewalld和iptables的结构以及使用方法不一样罢了。

firewalld的结构
　　我们这里所说的结构并不是firewalld软件的结构，而是配置文件的结构。
　　在具体介绍firewalld配置文件结构之前学生先来给大家介绍一下firewalld的配置模式，firewalld的配置模式设计的非常巧妙，而且这种设计思路也非常值得我们借鉴和学习。

firewalld的配置模式

　　firewalld的配置文件以xml格式为主（主配置文件firewalld.conf例外），他们有两个存储位置

　　用户配置目录 /etc/firewalld/

　　系统配置目录 /usr/lib/firewalld/services

　　使用时的规则是这样的：当需要一个文件时firewalld会首先到第一个目录中去查找，如果可以找到，那么就直接使用，否则会继续到第二个目录中查找。

文件和目录的作用

　　firewalld的配置文件结构非常简单，主要有两个文件和三个目录：
　　文件：firewalld.conf、lockdown-whitelist.xml
　　目录：zones、services、icmptypes
　　另外，如果使用到direct，还会有一个direct.xml文件。我们要注意，在保存默认配置的目录“/usr/lib/firewalld/”中只有我们这里所说的目录，而没有firewalld.conf、lockdown-whitelist.xml和direct.xml这三个文件，也就是说这三个文件只存在于“/etc/firewalld/”目录中。

firewalld.conf：firewalld的主配置文件，是键值对的格式，不过非常简单，只有五个配置项；
DefaultZone：默认使用的zone，默认值为public；
CleanupOnExit：这个配置项非常容易理解，他表示当退出firewalld后是否清除防火墙规则，默认值为yes；
Lockdown：这个选项跟D-BUS接口操作firewalld有关，firewalld可以让别的程序通过D-BUS接口直接操作，当Lockdown设置为yes的时候就可以通过lockdown-whitelist.xml文件来限制都有哪些程序可以对其进行操作，而当设置为no的时候就没有限制了，默认值为 no；
IPv6_rpfilter：其功能类似于rp_filter，只不过是针对ipv6版的，其作用是判断所接受到的包是否是伪造的，检查方式主要是通过路由表中的路由条目实现的，更多详细的信息大家可以搜索uRPF相关的资料，这里的默认值为yes。
lockdown-whitelist.xml：当Lockdown为yes的时候用来限制可以通过D-BUS接口操作firewalld的程序
direct.xml：通过这个文件可以直接使用防火墙的过滤规则，这对于熟悉iptables的用户来说会非常顺手，另外也对从原来的iptables到firewalld的迁移提供了一条绿色通道
zones：保存zone配置文件
services：保存service配置文件
icmptypes：保存和icmp类型相关的配置文件
zone
firewalld默认提供了九个zone配置文件：block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml，他们都保存在“/usr/lib /firewalld/zones/”目录下。

常用命令

运行、停止、禁用firewalld

service firewalld restart　　重启
service firewalld start 　　　开启
service firewalld stop 　　　关闭
systemctl stop firewalld　　禁用

查看firewall服务状态

systemctl status firewall
firewall-cmd –state

查看防火墙规则

firewall-cmd –list-all

配置firewalld

查看版本： firewall-cmd –version
查看帮助： firewall-cmd –help

查看设置

显示状态：* firewall-cmd –state*
查看区域信息: firewall-cmd –get-active-zones
查看指定接口所属区域： firewall-cmd –get-zone-of-interface=eth0
拒绝所有包：* firewall-cmd –panic-on*
取消拒绝状态：firewall-cmd –panic-off
查看是否拒绝：firewall-cmd –query-panic

更新防火墙规则

firewall-cmd –reload
firewall-cmd –complete-reload
两者的区别就是第一个无需断开连接，就是firewalld特性之一动态添加规则，第二个需要断开连接，类似重启服务
firewall-cmd –zone=public –add-interface=eth0
将接口添加到区域，默认接口都在public
永久生效再加上 –permanent 然后reload防火墙
firewall-cmd –set-default-zone=public
设置默认接口区域

立即生效无需重启

设置端口

查看所有打开的端口：
firewall-cmd –zone=dmz –list-ports
加入一个端口到区域：
firewall-cmd –zone=dmz –add-port=80/tcp
若要永久生效再加上 –permanent

例子
开启80端口

firewall-cmd --zone=public --add-port=80/tcp --permanent

#   出现success表明添加成功
    --zone #作用域
    --add-port=80/tcp  #添加端口，格式为：端口/通讯协议
    --permanent   #永久生效，没有此参数重启后失效

重启防火墙

systemctl restart firewalld.service

打开一个服务，类似于将端口可视化，服务需要在配置文件中添加，/etc/firewalld 目录下有services文件夹
firewall-cmd –zone=work –add-service=smtp
移除服务
firewall-cmd –zone=work –remove-service=smtp

firewall-cmd --zone= public --remove-port=80/tcp --permanent

CentOS切换为iptables防火墙

　　切换到iptables首先应该关掉默认的firewalld，然后安装iptables服务。

-* 关闭firewall*：

service firewalld stop
systemctl disable firewalld.service #禁止firewall开机启动

安装iptables防火墙

yum install iptables-services #安装

编辑iptables防火墙配置

vi /etc/sysconfig/iptables #编辑防火墙配置文件

下边是一个完整的配置文件：

Firewall configuration written by system-config-firewall

Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

:wq! #保存退出

service iptables start #开启
systemctl enable iptables.service #设置防火墙开机启动