RHCE学习笔记31——防火墙的使用与配置

一、RHEL7中的防火墙类型

    

    以下防火墙只能同时使用一张,firewall底层调用的还是Iptables的服务：

    firewalld：默认

    iptables：RHEL6使用

        

    ip6tables

    ebtables

二、防火墙的配置方式

    1、图形化配置

        使用firewall-config

            允许某项服务只需打上勾即可

        2、命令行

 三、防火墙的区域与配置

    查看区域：

[root@clz ~]# firewall-cmd --get-zones 
block dmz drop external home internal public trusted work

    查看默认区域

[root@clz ~]# firewall-cmd --get-default-zone
public

    每个区域配置多个服务，对应多个接口

[root@clz ~]# firewall-cmd --get-services 

amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

    查看允许的服务

[root@clz ~]# firewall-cmd --list-services --zone=public
dhcpv6-client ssh

    某些服务，对应多个端口，在防火墙允许某项服务则可能意味着允许该服务对应的多个端口：

        给区域添加服务：

[root@clz ~]# firewall-cmd --add-service=ftp --zone=public  --permanent

        删除区域服务:

   [root@clz ~]# firewall-cmd --remove-service=ftp --zone=public

        查看某项服务是否被允许：

[root@clz ~]# firewall-cmd --query-service=http --zone=public
no

        

        区域添加端口：

   [root@clz ~]# firewall-cmd --add-port=8000/tcp --zone=public --permanent

        删除端口：

 firewall-cmd --remove-port=8000/tcp --zone=public

        查看端口是否被允许：

  [root@clz ~]# firewall-cmd --query-port=8000/tcp --zone=public

        

    一个区域可以绑定多个网卡，一个网卡只能绑定一个区域：

    查看网卡和区域绑定：

[root@clz ~]# firewall-cmd --get-zone-of-interface=ens33

    区域添加端口：

[root@clz ~]# firewall-cmd --add-interface=ens34 --zone=public --permanent

    区域删除网卡：

 [root@clz ~]# firewall-cmd --remove-interface=ens34 --zone=public --permanent

    修改网卡的区域：

   [root@clz html]# firewall-cmd --change-interface=ens33 --zone=public --permanent

    trusted区域的所有服务都被允许：

    网卡如果不属于任何区域，那么来自该接口的所有数据包将使用默认的区域规则：

    区域添加来源地址，如果接口不属于某个区域，那么来自于该接口的流量如果匹配来源地址，那么流量将从来源的区域通过：

    查看某个区域的所有配置信息：

[root@clz html]# firewall-cmd --list-all
public (default, active)
  interfaces: br1 ens34 ens37 virbr0
  sources: 
  services: dhcpv6-client ssh
  ports: 443/tcp 464/tcp 88/udp 88/tcp 123/udp 389/tcp 53/tcp 53/udp 636/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

    

        所有的配置操作如果想永久生效，则需要加--permanent选项，否则配置只会在当前运行环境生效

            

三、firewall对ICMP的过滤

    firewall可以对以下类型的ICMP进行过滤：

    

        firewall对ICMP的过滤存在BUG，对RHEL6及windows的机器均不能很好的支持，只能对RHEL7有效

四、富规则rich rule

    富规则可以对服务端口协议进行更详细的配置：

    

    命令行配置富规则：

    查看富规则：

   

 [root@clz ~]# firewall-cmd --list-rich-rules

rule family="ipv4" source address="10.35.89.0/24" service name="http" accept

    [root@clz ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent

[root@clz ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp  log prefix="80" level=info accept' --permanent

    删除富规则

        [root@clz ~]# firewall-cmd --remove-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp accept'

五、端口转发

    图形化配置：

        本地转发

    

    

    转发到其他主机：

    

    命令行配置：

    [root@clz log]# firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=

    

forward-ports: port=8000:proto=tcp:toport=80:toaddr=
port=8080:proto=tcp:toport=80:toaddr=

    

六、伪装masque

    图形化配置很简单，勾上伪装区域即可

    

     命令行配置也很简单：

 [root@clz log]# firewall-cmd --add-masquerade

    启用伪装功能的主机同时也需要开启转发服务：

       

 root@clz log]# echo 1 > /proc/sys/net/ipv4/ip_forward

        富规则中使用伪装功能可以更精确详细的限制：

[root@clz log]# firewall-cmd --add-rich-rule '
rule family=ipv4 source address=10.10.10.2/24 masquerade'

rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2"