Firewalld概述
Firewalld和iptables的区别
Firewalld网络区域
Firewalld防火墙的配置方法
Firewalld防火墙概述
Firewalld是一个在Linux系统上提供动态管理防火墙功能的工具。
以下是Firewalld的一些主要特点和功能:
-
动态管理: Firewalld允许在运行时添加、移除或修改防火墙规则,而无需重新加载整个防火墙配置。
-
区域概念: Firewalld引入了“区域”的概念,每个区域定义了一组预定义的规则集合,用于指定特定类型的网络环境。通过将接口分配给特定的区域,可以轻松地应用适当的规则。
-
服务和端口管理: Firewalld允许通过定义服务和端口来管理防火墙规则。服务是一组预定义的规则,用于允许特定类型的流量(如HTTP、SSH等)。端口则允许针对单个端口或一组端口进行规则设置。
-
基于应用程序的防火墙规则: Firewalld支持通过指定应用程序名称来定义防火墙规则。这样可以更容易地管理特定应用程序的网络访问权限。
-
IPv4和IPv6支持: Firewalld同时支持IPv4和IPv6,可以分别配置这两个协议的防火墙规则。
-
易于使用的命令行接口和图形界面: Firewalld提供了命令行工具(firewall-cmd)和图形界面工具(firewall-config)来管理防火墙规则。
Firewalld和iptables的区别
| firewalld | iptables | |
| 配置文件 | /etc/firewalld/ 优先加载,保存用户自定义的配置 /usr/lib/firewalld/ 默认的初始配置 | /etc/sysconfig/iptables |
| 对规则的修改 | 不需要全部刷新策略,不中断现有连接 | 立即生效,可能中断现有连接 |
| 防火墙类型 | 动态防火墙(在不同区域设置不同规则,可通过更换区域来更改防护策略) | 静态防火墙(所有规则都是配置在表的链里,只能通过修改规则来更改防护策略) |
Firewalld的网络区域
firewalld防火墙预定义了9个区域:
| 1、trusted(信任区域) | 允许所有的传入流量。 |
| 2、public(公共区域) | 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。 |
| 3、external(外部区域) | 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络。 |
| 4、home(家庭区域) | 允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。 |
| 5、internal(内部区域) | 默认值时与home区域相同。 |
| 6、work(工作区域) | 允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。 |
| 7、dmz(隔离区域也称为非军事区域) | 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 |
| 8、block(限制区域) | 拒绝所有传入流量。 |
| 9、drop(丢弃区域) | 丢弃所有传入流量,并且不产生包含 ICMP的错误响应。 |
firewalld检查数据包的源地址的规则
1.若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。
2.若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
3.若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。
firewalld数据处理流程
firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。
Firewalld防火墙的配置方法
查
firewall-cmd --get-default-zone 查看当前默认区域
--get-active-zones 查看当前已激活的区域
--get-zones 查看所有可用的区域
--list-all-zones 查看所有区域的规则
firewall-cmd
--list-all --zone=区域名 查看指定区域的规则
--list-services --zone=区域名 查看指定区域允许访问的服务列表
--list-ports --zone=区域名 查看指定区域允许访问的端口列表
--get-zone-of-interface=网卡名 查看与网卡绑定的区域
--get-icmptypes 查看所有icmp类型增
firewall-cmd --add-interface=网卡名 --zone=区域名 给指定区域添加绑定的网卡
--add-source=源地址 --zone=区域名 给指定区域添加源地址
--add-service=服务名 --zone=区域名 给指定区域添加允许访问的服务
--add-service={服务名1,服务名2,...} --zone=区域名 给指定区域添加允许访问的服务
列表
--add-port=端口/协议 --zone=区域名 给指定区域添加允许访问的端口
--add-port=端口1-端口2/协议 --zone=区域名 给指定区域添加允许访问的连续
的端口列表
--add-port={端口1,端口2,...}/协议 --zone=区域名 给指定区域添加允许访问的不连
续的 端口
--add-icmp-block=icmp类型 --zone=区域名 给指定区域添加拒绝访问的
icmp类型删
firewall-cmd --remove-service=服务名 --zone=区域名
--remove-port=端口/协议 --zone=区域名
--remove-icmp-block=icmp类型 --zone=区域名
--remove-interface=网卡名 --zone=区域名 从指定区域里删除绑定的网卡
--remove-source=源地址 --zone=区域名 从指定区域里删除绑定的源地址改
firewall-cmd --set-default-zone 修改当前默认区域
--change-interface=网卡名 --zone=区域名 修改/添加网卡 绑定给指定区域
--change-source=源地址 --zone=区域名 修改/添加源地址 绑定给指定区域永久保存配置规则
运行时配置(会立即生效,但firewalld服务重启或重载配置后即失效)
firewall-cmd ....
firewall-cmd --runtime-to-permanent 将之前的运行时配置都转换成永久配置在敲完命令配置后加上这一行firewall-cmd --runtinme-to-permanent,就可以实现保存当前配置的所有规则。
永久配置(不会立即生效,需要重新加载配置或重启firewalld服务)
firewall-cmd .... --permanent
firewall-cmd --reload 或 systemctl restart firewalldcd到防火墙的列表查看配置文件
