Centos 7 防火墙firewall-cmd的使用

Submitted byAIV.WU on周四, 08/22/2019 - 08:29

对于防火墙,传统Linux党习惯于用iptables,但随着技术的发展,有时候我们也要学会拥抱新生事物……

firewall-cmd 是Centos 7新防火墙firewalld的字符界面管理工具,作为centos 7的一大特性,它支持动态更新,不用重启服务;并且加入了防火墙的“zone”概念。因此它可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效。在使用上也比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。

但是真要深究下去,其实firewalld和iptables只是结构以及使用方法不一样罢了,它们同样自身并不具备防火墙的功能只是起到维护规则的作用,防火墙功能则是由内核的netfilter根据规则来实现的。

不废话了,说一说具体使用命令吧。

命令格式

firewall-cmd [选项 ... ]
选项
通用选项

-h, --help    # 显示帮助信息;
-V, --version # 显示版本信息. (这个选项不能与其他选项组合);
-q, --quiet   # 不打印状态消息;
状态选项

--state                # 显示firewalld的状态;
--reload               # 不中断服务的重新加载;
--complete-reload      # 中断所有连接的重新加载;
--runtime-to-permanent # 将当前防火墙的规则永久保存;
--check-config         # 检查配置正确性;
日志选项

--get-log-denied         # 获取记录被拒绝的日志;
--set-log-denied=<value> # 设置记录被拒绝的日志,只能为 'all','unicast','broadcast','multicast','off' 其中的一个;


一些配置查看命令

 

firewall-cmd --version  # 查看版本
firewall-cmd --help     # 查看帮助firewall-cmd --state  # 显示状态
firewall-cmd --panic-on  # 拒绝所有包
firewall-cmd --panic-off  # 取消拒绝状态
firewall-cmd --query-panic  # 查看是否拒绝

firewall-cmd --reload # 更新防火墙规则
firewall-cmd --complete-reload # 两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务

firewall-cmd --get-zone-of-interface=eth0  # 查看指定接口所属区域
firewall-cmd --get-active-zones  # 查看区域信息
firewall-cmd --zone=public --add-interface=eth0 # 将接口添加到区域,默认接口都在
# 要永久生效则加上 --permanent 然后reload防火墙
firewall-cmd --set-default-zone=public # 设置默认接口区域,立即生效无需重启
firewall-cmd --get-zones # 显示支持的区域列表

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。添加或移除后都需要更新防火墙规则

 

firewall-cmd --add-service=mysql        # 开放mysql端口
firewall-cmd --remove-service=http      # 阻止http端口
firewall-cmd --list-services            # 查看开放的服务
firewall-cmd --add-port=3306/tcp        # 开放通过tcp访问3306
firewall-cmd --remove-port=80tcp        # 阻止通过tcp访问3306
firewall-cmd --add-port=233/udp         # 开放通过udp访问233
firewall-cmd --list-ports               # 查看开放的端口

完整的添加端口到区域的示例:


firewall-cmd --zone=public --add-port=8080/tcp
# 若要永久生效则加上 --permanent,如下

firewall-cmd --zone=public --permanent --add-port=3306/tcp

# 别忘了更新规则

移除一个端口

 

firewall-cmd --remove-port=80/tcp

firewall-cmd --reload

打开一个服务的示例

Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:

firewall-cmd --get-services

 如没有可在配置/etc/firewalld 目录下的services文件夹中添加


firewall-cmd --zone=public --add-service=http

firewall-cmd --reload

 # 移除服务


firewall-cmd --zone=public --remove-service=http

firewall-cmd --reload

# 显示所有公共区域(public)


firewall-cmd --zone=public --list-all

# 临时修改网络接口(enp0s)为内部区域(internal)


firewall-cmd --zone=internal --change-interface=enp03

# 永久修改网络接口enp0为内部区域(internal)


firewall-cmd --permanent --zone=internal --change-interface=enp0

# 临时允许Samba服务通过600秒


firewall-cmd --enable service=samba --timeout=600

# 查看防火墙,添加的端口也可以看到


firewall-cmd --list-all
直接模式


伪装 IP

f

irewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade   # 允许防火墙伪装IP
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP端口转发

 

端口转发

端口转发可以用做流量分发,多服务器下用防火墙将不同端口的流量转发至不同机器。也可以用来隐藏端口。

有三个要注意的地方

1、需要开启伪装IP

2、需要开启相应端口,比如将 80 端口转发至 8080 端口就要开放80及8080端口

3、转发的目的如果不指定 ip 的话会默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。


firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1 # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口



最后如果实在用不惯以下是关闭firewalld及安装开启iptables
 


systemctl stop firewalld
systemctl disable firewalld
yum install iptables-services
systemctl start iptables
systemctl enable iptables

类别