linux底层讲解(LinuxFirewalld基础介绍)
互联网上提供了各种网络服务,而防火墙可以设置各种规则来限制访问,保护服务器。
概述
Linux的防火墙体系主要工作在网络层,针对tcp/IP数据包实施过滤和限制,属于典型的包过滤防火墙。
Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率。
三种防火墙netfilter
- 指linux内核中实现包过滤防火墙的内部结构
- 属于内核态的防火墙功能体系
iptables
- 指管理linux防火墙的命令程序
- 属于用户态的防火墙管理体系
Firewalld
- CentOS 7默认的防火墙管理工具,取代之前的iptables防火墙
- 属于用户态
- firewalld和iptables内部结构都指向netfilter这个强大的网络过滤子系统,以实现包过滤防火墙功能
- 支持动态更新、加入防火墙zone概念
- 支持IPv4和IPv6地址
- 字符管理工具firewall-cmd和图形化管理工具firewall-config
区域介绍
- 每个区域都具有不同限制程度的规则
- 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
- 默认情况下,public区域是默认区域,包含所有接口(网卡)
数据处理流程
检查数据来源的源地址
配置方法
- 若源地址关联到特定的区域,则执行该区域所指定的规则
- 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
- 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
运行时配置
- 实时生效,并持续至Firewalld重新启动或重新加载配置
- 不中断现有连接
- 不能修改服务配置
永久配置
- 不立即生效,除非Firewalld重新启动或重新加载配置
- 中断现有连接
- 可以修改服务配置
配置文件
Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/ib/firewalld/中的配置
- /etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/ib/firewalld/中拷贝
- /usr/ib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置
图形工具
[root@localhost ~]# firewall-config
命令行工具
[root@localhost ~]# firewall-cmd 命令
- 以下是整理的一些命令
--get-default-zone 显示网络连接或接口的默认区域 --set-default-zone=<zone> 设置网络连接或接口的默认区域 --get-active-zones 显示已激活的所有区域 --get-zone-of-interface=<interface> 显示指定接口绑定的区域 --zone=<zone> --add-interface=<interface> 为指定接口绑定区域 --zone=<zone> --change-interface=<interface> 为指定的区域更改绑定的网络接口 --zone=<zone> --remove-interface=<interface> 为指定的区域删除绑定的网络接口 --query-interface=<interface> 查询区域中是否包含某接口 --list-all-zones 显示所有区域及其规则 [--zone=<zone>] --list-all 显示所有指定区域的所有规则 Copy [--zone=<zone>] --list-services 显示指定区域内允许访问的所有服务 [--zone=<zone>] --add-service=<service> 为指定区域设置允许访问的某项服务 [--zone=<zone>] --remove-service=<service> 删除指定区域已设置的允许访问的某项服务 [--zone=<zone>] --query-service=<service> 查询指定区域中是否启用了某项服务 Copy [--zone=<zone>] --list-ports 显示指定区域内允许访问的所有端口号 [--zone=<zone>] --add-port=<port>[-<port>]/<protocol> [--timeout=<seconds>] 启用区域端口和协议组合,可选配置超时时间 [--zone=<zone>] --remove-port=<port>[-<port>]/<protocol> 禁用区域端口和协议组合 [--zone=<zone>] --query-port=<port>[-<port>]/<protocol> 查询区域中是否启用了端口和协议组合 Copy [--zone=<zone>] --list-icmp-blocks 显示指定区域内阻塞的所有ICMP类型 [--zone=<zone>] --add-icmp-block=<icmptype> 为指定区域设置阻塞的某项ICMP类型 [--zone=<zone>] --remove-icmp-block=<icmptype> 删除指定区域已阻塞的某项ICMP类型 [--zone=<zone>] --query-icmp-block=<icmptype> 查询指定区域的ICMP阻塞功能
firewall-cmd状态操作
- 停止、启动
[root@localhost ~]# systemctl stop firewalld [root@localhost ~]# systemctl start firewalld
- 禁止/允许开机启动
[root@localhost ~]# systemctl disable firewalld [root@localhost ~]# systemctl enable firewalld
- 查看状态
[root@localhost ~]# systemctl status firewalld [root@localhost ~]# firewall-cmd --state running
获取预定义信息
预定义信息主要包括三种:可用的区域、可用的服务以及可用的ICMP阻塞类型
- 显示预定义的区域
[root@localhost ~]# firewall-cmd --get-zones block dmz drop external home internal public trusted work
- 显示预定义的服务
--get-default-zone 显示网络连接或接口的默认区域 --set-default-zone=<zone> 设置网络连接或接口的默认区域 --get-active-zones 显示已激活的所有区域 --get-zone-of-interface=<interface> 显示指定接口绑定的区域 --zone=<zone> --add-interface=<interface> 为指定接口绑定区域 --zone=<zone> --change-interface=<interface> 为指定的区域更改绑定的网络接口 --zone=<zone> --remove-interface=<interface> 为指定的区域删除绑定的网络接口 --query-interface=<interface> 查询区域中是否包含某接口 --list-all-zones 显示所有区域及其规则 [--zone=<zone>] --list-all 显示所有指定区域的所有规则
- 显示预定义的icmp阻塞类型
Copy [root@localhost ~]# firewall-cmd --get-icmptypes address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
- 各种阻塞类型的含义分别如下所示:
destination-unreachable:目的地址不可达。
echo-reply:应答回应(pong)。
parameter-problem:参数问题。
redirect:重新定向。
router-advertisement:路由器通告。
router-solicitation:路由器征寻。
source-quench:源端抑制。
time-exceeded:超时。
timestamp-reply:时间戳应答回应。
timestamp-request:时间戳请求。
区域管理#
使用firewall-cmd命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。
--get-default-zone 显示网络连接或接口的默认区域 --set-default-zone=<zone> 设置网络连接或接口的默认区域 --get-active-zones 显示已激活的所有区域 --get-zone-of-interface=<interface> 显示指定接口绑定的区域 --zone=<zone> --add-interface=<interface> 为指定接口绑定区域 --zone=<zone> --change-interface=<interface> 为指定的区域更改绑定的网络接口 --zone=<zone> --remove-interface=<interface> 为指定的区域删除绑定的网络接口 --list-all-zones 显示所有区域及其规则 [--zone=<zone>] --list-all 显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
- 显示当前系统中的默认区域
[root@localhost ~]# firewall-cmd --get-default-zone public
- 显示默认区域的所有规则
[root@localhost ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: ens33 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
- 显示网络接口ens33对应的区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 public
- 将网络接口ens33对应区域改为internal区域
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33 The interface is under control of NetworkManager, setting zone to 'internal'. success [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 internal
- 显示internal区域下有哪些网络接口
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces ens33
- 显示所有已激活的区域
[root@localhost ~]# firewall-cmd --get-active-zones internal interfaces: ens33
服务管理#
为了方便管理,firewalld预先定义了很多服务,存放在/usr/lib/firewalld/services/目录中,服务通过单个的XML配置文件来指定。
这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如ssh服务等。
与之对应的配置文件中记录了各项服务所使用的tcp/udp端口。在最新版本的firewalld中默认已经定义了70多种服务供我们使用,对于每个网络区域,均可以配置允许访问的服务。
当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将service配置文件放置在/etc/firewalld/services/目录中。
service配置具有以下优点。
- 通过服务名字来管理规则更加人性化。
- 通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
[--zone=<zone>] --list-services 显示指定区域内允许访问的所有服务 [--zone=<zone>] --add-service=<service> 为指定区域设置允许访问的某项服务 [--zone=<zone>] --remove-service=<service> 删除指定区域已设置的允许访问的某项服务 [--zone=<zone>] --list-ports 显示指定区域内允许访问的所有端口号 [--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> 为指定区域设置允许访问的某个/某段端口号(包括协议名) [--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> 删除指定区域已设置的允许访问的端口号(包括协议名) [--zone=<zone>] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型 [--zone=<zone>] --add-icmp-block=<icmptype> 为指定区域设置拒绝访问的某项 ICMP 类型 [--zone=<zone>] --remove-icmp-block=<icmptype> 删除指定区域已设置的拒绝访问的某项 ICMP 类型,省略--zone=<zone>时表示对默认区域操作
- 显示默认区域允许访问的所有服务
[root@localhost ~]# firewall-cmd --list-services ssh dhcpv6-client
- 设置默认区域允许访问http服务
[root@localhost ~]# firewall-cmd --add-service=http success
- 设置默认区域允许访问https服务
[root@localhost ~]# firewall-cmd --add-service=https success
- 显示默认区域允许访问的所有服务
[root@localhost ~]# firewall-cmd --list-services ssh dhcpv6-client http https
- 显示internal区域内允许访问的所有服务
[root@localhost ~]# firewall-cmd --zone=internal --list-services ssh mdns samba-client dhcpv6-client
- 设置internal区域允许访问mysql服务
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql success
- 设置internal区域不允许访问samba-client服务
[root@localhost ~]# firewall-cmd --zone=internal --remove-service=samba-client success
- 显示internal区域内允许访问的所有服务
[root@localhost ~]# firewall-cmd --zone=internal --list-services ssh mdns dhcpv6-client mysql
端口管理#
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。
但是,对于非预定义的服务只能手动为指定的区域添加端口。
- 在internal区域打开443/TCP端口
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp success
- 在internal区域禁止443/TCP端口访问
[root@localhost ~]# firewall-cmd --zone=internal --remove-port=443/tcp success
两种配置模式#
前面提到firewall-cmd命令工具有两种配置模式:
- 运行时模式Runtime mode表示当前内存中运行的防火墙配置,在系统或firewalld服务重启、停止时配置将失效。
- 永久模式Permanent mode表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。
firewall-cmd命令工具与配置模式相关的选项有三个。
- --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。
- --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动firewalld或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则。
- --runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性。
[root@localhost ~]# firewall-cmd --runtime-to-permanent success
转载自:https://www.cnblogs.com/llife/p/11695912.html
,
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com
