firewalld是什么?**
什么是动态防火墙?
firewalld和iptables的关系
什么是区域(zone)?
什么是服务?
在 /usr/lib/firewalld/services/ 目录中,还保存了另外一类配置文件,每个文件对应一项具体的网络服务,如 ssh 服务等.
与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口,在最新版本的 firewalld 中默认已经定义了 70多 种服务供我们使用.
当默认提供的服务不够用或者需要自定义某项服务的端口时,我们需要将 service 配置文件放置在 /etc/firewalld/services/ 目录中.
修改配置的话只需要将/usr/lib/firewalld中的配置文件复制到/etc/firewalld中修改。恢复配置的话直接删除/etc/firewalld中的配置文件即可。
[root@node0 ~]# ls /usr/lib/firewalld/services/
[root@node0 ~]# ls /usr/lib/firewalld/services/
amanda-client.xml https.xml nfs3.xml sip.xml
...................
service配置的好处
#列出所有支持的service
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry docker-swarm dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls managesieve mdns minidlna mongodb mosh mountd ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
#查看当前zone加载的service
[root@node0 ~]# firewall-cmd --list-services
ssh dhcpv6-client
常用的firewalld命令展示
#安装firewalld
[root@node0 ~]# yum -y install firewalld
#启动
[root@node0 ~]# systemctl start firewalld
#查看状态
[root@node0 ~]# systemctl status firewalld
#停止
[root@node0 ~]# systemctl disable firewalld
#禁用
[root@node0 ~]# systemctl stop firewalld
#查看版本
[root@node0 ~]# firewall-cmd --version
0.5.3
#查看帮助
[root@node0 ~]# firewall-cmd --help
#显示状态
[root@node0 ~]# firewall-cmd --state
running
#查看区域信息
[root@node0 ~]# firewall-cmd --get-active-zones
public
interfaces: ens32
#查看指定接口所属的区域
[root@node0 ~]# firewall-cmd --get-zone-of-interface=ens32
public
#拒绝所有的包
[root@node0 ~]# firewall-cmd --panic-on
#取消拒绝状态
[root@node0 ~]# firewall-cmd --panic-off
#查看是否拒绝
[root@node0 ~]# firewall-cmd --query-panic
#更新防火墙规则
[root@node0 ~]# firewall-cmd --reload
#或者是
[root@node0 ~]# firewall-cmd --complete-reload
success
#列出所有支持的zone
[root@node0 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
#查看当前默认的zone
[root@node0 ~]# firewall-cmd --get-default-zone
public
#设置默认接口区域--->这里是立即生效的,不用重启
[root@node0 ~]# firewall-cmd --set-default-zone=public
Warning: ZONE_ALREADY_SET: public
success
#把接口添加到区域,默认接口都在public
[root@node0 ~]# firewall-cmd --zone=public --add-interface=ens32
The interface is under control of NetworkManager, setting zone to 'public'.
success
#如果需要永久生效-->加上--permanent -->然后在reload防火墙
[root@node0 ~]# firewall-cmd --zone=public --add-interface=ens32 --permanent
The interface is under control of NetworkManager and already bound to 'public'
The interface is under control of NetworkManager, setting zone to 'public'.
success
[root@node0 ~]# firewall-cmd --reload
success
#查看打开的所有端口
[root@node0 ~]# firewall-cmd --zone=dmz --list-ports
#添加一个端口到指定区域
[root@node0 ~]# firewall-cmd --zone=dmz --add-port=8080/tcp
success
#如果要永久生效就必须加上参数--permanent 然后reload
#添加某个服务到规则
[root@node0 ~]# firewall-cmd --zone=work --add-service=smtp
success
#移除服务
[root@node0 ~]# firewall-cmd --zone=work --remove-service=smtp
success
#输出某个区域全部启用的特性,如果省略区域,将显示默认区域
[root@node0 ~]# firewall-cmd --zone=public --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens32
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
#获取活动的区域
[root@node0 ~]# firewall-cmd --get-active-zones
public
interfaces: ens32
#根据接口获取区域
[root@node0 ~]# firewall-cmd --get-zone-of-interface=ens32
public
#把接口添加到区域当中
[root@node0 ~]# firewall-cmd --zone=public --add-interface=ens34
success
#修改接口所在的区域
[root@node0 ~]# firewall-cmd --zone=public --change-interface=ens34
success
#从区域中删除一个接口
[root@node0 ~]# firewall-cmd --zone=public --remove-interface=ens34
success
#查询区域中是否包含接口
[root@node0 ~]# firewall-cmd --zone=dmz --query-interface=ens32
no
#查看该区域中启用的服务
[root@node0 ~]# firewall-cmd --zone=public --list-services
ssh dhcpv6-client
#启用应急模式阻断所有网络连接,以防出现紧急状况
[root@node0 ~]# firewall-cmd --panic-on
[root@node0 ~]# firewall-cmd --panic-off
#查询应急模式
[root@node0 ~]# firewall-cmd --query-panic
no
通过配置文件来使用firewalld的方法
#查看
[root@node0 ~]# ls /usr/lib/firewalld/services/
#动态添加一条防火墙规则如下;以下例子均以系统自带的public zone为例子;
#假设自定义的 ssh 端口号为123,使用下面的命令来添加新端口的防火墙规则:
#如果需要使规则保存到 zone 配置文件,则需要加参数 –permanent
[root@node0 ~]# firewall-cmd --add-port=123/tcp
success
[root@node0 ~]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
</zone>
#如果加上--permanent的话
[root@node0 ~]# firewall-cmd --add-port=123/tcp --permanent
[root@node0 ~]# cat /etc/firewalld/zones/public.xml
..............
<port protocol="tcp" port="123"/>
.........
防火墙的配置文件也是可以手动修改,修改后记得重载
[root@node0 ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/
[root@node0 ~]# ls /etc/firewalld/services/
http.xml
#首先修改一下默认的规则
[root@node0 ~]# cp /etc/firewalld/zones/public.xml{,.bak}
[root@node0 ~]#
#在这个文件中添加一下http服务
......
<service name="ssh"/>=
#添加这一行
<service name="http"/>
#重启防火请就能完成
[root@node0 ~]# firewall-cmd --reload
success
修改ssh.xml文件的123为ssh的端口
#还是老规矩,复制一下配置 文件
[root@node0 ~]# cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
#然后修改一下配置文件的默认端口
[root@node0 ~]# cat /etc/firewalld/services/ssh.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>SSH</short>
<description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
<port protocol="tcp" port="123"/> #修改这个默认的
</service>
#然后重载配置文件就ok了
[root@node0 ~]# firewall-cmd --reload
success
设置指定ip访问ssh端口
[root@node0 ~]# vim /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your compu
ter. Only selected incoming connections are accepted.</description>
<service name="ssh"/>
<service name="http"/>
<service name="dhcpv6-client"/>
<port protocol="tcp" port="123"/>
#在这里面添加如下几行
<rule family="ipv4">
<source address="192.168.75.131"/>
<service name="ssh"/>
<accept/>
</rule>
---------------
</zone>
#然后重启服务
[root@node0 ~]# firewall-cmd --reload