linux基础3.10firewalld

linux基础3.10firewalld
1.管理火墙
2.火墙端口伪装和转发
3.管理Selinux端口标签

1.管理火墙

<1>firewalld概述：
  动态防火墙后台程序firewalld 提供了一个 动态管理的防火墙,用以支持网络“ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。
  firewalld和iptablesservice 之间最本质的不同是:iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。
  firewalld和iptablesservice同时只能开启一个。

<2>firewalld的网络区域
  基于用户对网络中设备和交通所给与的信任程度,防火墙可以用来将网络分割成不同的区域。NetworkManager通知firewalld一个接口归属某个区域,新加入的接口被分配到默认区域。
网络区名称           默认配置
trusted( 信任 )    可接受所有的网络连接
home( 家庭 )       用于家庭网络,仅接受ssh、mdns、ipp-client、samba-client、或dhcpv6-client服务连接
internal( 内部 )   用于内部网络,仅接受ssh、mdns、ipp-client、samba-client、dhcpv6-client服务连接
work( 工作 )       用于工作区,仅接受ssh、ipp-client或dhcpv6-client服务连接
public( 公共 )     在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
external( 外部 )   出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接
dmz( 非军事区 )      仅接受ssh服务接连
block( 限制 )      拒绝所有网络连接
drop( 丢弃 )       任何接收的网络数据包都被丢弃,没有任何回复

<3>管理firewalld
yum install -y firewalld firewall-config    ##安装防火墙软件
systemctl start firewalld   ##启动防火墙
systemctl enable firewalld  ##开机自启防火墙
systemctl stop firewalld    ##关闭防火墙
systemctl disable firewalld     ##禁用防火墙

yum install -y iptables-services    #安装iptables软件
systemctl start iptables    ##启动iptables
systemctl enable ip6tables  ##开机自启iptables
systemctl stop iptables     ##关闭iptables
systemctl disable ip6tables ##禁用iptables

linux系统一般默认使用firewalld服务

<4>使用命令行接口配置防火墙
firewall-cmd --state            ##查看firewalld的状态
firewall-cmd --get-active-zones     ##查看当前活动的区域,并附带一个目前分配给它们的接口列表
firewall-cmd --get-default-zone     ##查看默认区域
firewall-cmd --get-zones        ##查看所有可用区域
firewall-cmd --zone=public --list-all   ##列出指定域的所有设置 
firewall-cmd --get-services     ##列出所有预设服务(这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。配置文件是以服务本身命名的
service-name. xml)
firewall-cmd --list-all-zones       ##列出所有区域的设置
firewall-cmd --set-default-zone=dmz ##设置默认区域
firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24 ##设置网络地址到指定的区域(--permanent参数表示永久生效设置,如果没有指定--zone参数,那么会加入默认区域)
firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24  ##删除指定区域中的网路地址
firewall-cmd --permanent --zone=internal --add-interface=eth0       ##添加网络接口
firewall-cmd --permanent --zone=internal --change-interface=eth0    ##改变网络接口
firewall-cmd --permanent --zone=internal --remove-interface=eth0    ##删除网络接口
firewall-cmd --permanent --zone=public --add-service=smtp       ##添加服务 
firewall-cmd --permanent --zone=public --remove-service=smtp        ##删除服务
firewall-cmd --zone=public --list-ports             ##列出端口
firewall-cmd --permanent --zone=public --add-port=8080/tcp  ##添加端口
firewall-cmd --permanent --zone=public --remove-port=8080/tcp   ##删除端口
firewall-cmd --reload       重载防火墙(这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)

firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到配置防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认模板。

<5>direct rules
  通过 firewall-cmd工具,可以使用 --direct 选项在运行时间里增加或者移除链。
  如果不熟悉 iptables,使用直接接口非常危险,因为您可能无意间导致防火墙被入侵。直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用。

firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -p tcp --dport80 -j ACCEPT  ##添加规则
firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp--dport 80 -j ACCEPT  ##删除规则
firewall-cmd --direct --get-all-rules       ##列出规则

<6>rich rules
  通过“ richlanguage”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分区,也仍然支持现行的配置方式。
添加规则:
firewall-cmd --add-rich-rule='rule family="ipv4" sourceaddress="172.25.0.10" accept'       ##允许172.25.0.10主机所有连接
firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'         ##每分钟允许2个新连接访问ftp服务
firewall-cmd --add-rich-rule='rule service name=ftp log limitvalue="1/m" audit accept'     ##同意新的IPv4和IPv6连接FTP,并使用审核每分钟登录一次
firewall-cmd --add-rich-rule='rule family="ipv4" sourceaddress="172.25.0.0/24"     ##同意新的IPv4和IPv6连接FTP,并使用审核每分钟登录一次      
service name=ssh log prefix="ssh" level="notice" limitvalue="3/m" accept'      ##允许来自172.25.0.0/24地址的新IPv4连接连接TFTP服务,并且每分钟记录一次
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'        ##丢弃所有icmp包
firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24reject' --timeout=10    ##当使用source和destination指定地址时,必须有family参数指定ipv4或ipv6。如果指定超时,规则将在指定的秒数内被激活,并在之后被自动移除
firewall-cmd --add-rich-rule='rule family=ipv6 sourceaddress="2001:db8::/64" service name="dns" audit limitvalue="1/h" reject' --timeout=300
##拒绝所有来自2001:db8::/64子网的主机访问dns服务,并且每小时只审核记录1次日志
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 sourceaddress=172.25.0.0/24 service name=ftp accept'    ##允许172.25.0.0/24网段中的主机访问ftp服务
firewall-cmd --add-rich-rule='rule family="ipv6" sourceaddress="1:2:3:4:6::" forward-portto-addr="1::2:3:4:7"to-port="4012" protocol="tcp" port="4011"'    ##转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012

2.火墙端口伪装和转发
伪装端口:
firewall-cmd --permanent --zone=< ZONE > --add-masquerade
firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rulefamily=ipv4 source
addres=172.25.0.0/24 masquerade'
端口转发:
firewall-cmd --permanent --zone=< ZONE > --add-forward-port=
port=80:proto=tcp:toport=8080:toaddr=172.25.0.10
firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rulefamily=ipv4 source
address=172.25.0.0/24 forward-port port=80 protocol=tcp to-port=8080'

3.管理Selinux端口标签

semanage port -l    ##列出端口标签
semanage port -a -t http_port_t -p tcp 82   ##添加端口标签
semanage port -d -t http_port_t -p tcp 82   ##删除端口标签
Lab:
1.reset serverX and desktopX
2.运行脚本设置serverX: lab selinuxport setup
3.在serverX上派错后,在desktopX上运行脚本测试: lab selinuxport grade