关于RHEL7中的firewalld

netfilter的概念

linux内核中包含一个强大的网络过滤子系统netfilter。netfilter子系统允许内核模块对遍历系统的每个数据包进行检查。这表示在任何传入、传出或转发的网络数据包到达用户空间中的组件之前，都可以通过编程方式检查、修改、丢弃或拒绝这些数据包。这是在RHEL7上构建防火墙的主要构建模块。

与netfilter的交互

尽管系统管理员理论上可以编写自己的内核模块与netfilter交互g，但通常不会这样做。取而代之，会使用其他程序来与netfilter交互。最常见最知名的就是iptables。在先前的RHEL系统版本中，iptables是与内核netfilter子系统交互的主要方法。

iptables命令是一个低级工具，使用该工具正确管理防火墙可能具有挑战性。此外，它仅能调整IPv4防火墙规则。为保证更完整的防火墙覆盖率，需要使用其他实用程序，例如用于IPv6的ip6tables和用于软件桥的ebtables。

firewalld简介

RHEL7引入一种与netfilter交互的新方法：firewalld。firewalld是一个可以配置和监控系统防火墙规则的系统守护进程。应用可以通过DBus消息系统与firewalld通信以请求打开端口。该守护进程不仅涵盖IPv4、IPv6，还可能涵盖ebtables设置。

firewalld将所有网络流量分为多个区域，从而简化防火墙管理。根据数据包源IP地址或传入网络接口等条件，流量将传入相应区域的防火墙规则。每个区域都有自己的要打开和关闭的端口和服务列表。

对于传入系统的每个数据包，将首先检查其源地址。如果该源地址关联到特定区域，则将分析该区域的规则。如果该源地址未关联到某个区域，则将使用传入网络接口的区域。如果出于某种原因，网络接口未与某个区域关联，则将使用默认区域。默认区域本身不是一个单独的区域；它是其他区域中的一个。默认情况下会使用public区域，但是系统管理员可以更改此默认值。

firewalld区域默认配置

区域名称 默认配置 trusted 允许所有传入流量 home 除非与传出流量相关，或与ssh、mdns 、ipp-client、samba-client或dhcpv6-client预定义服务匹配，否则拒绝传入流量 internal 除非与传出流量相关，或与ssh、mdns 、ipp-client、samba-client或dhcpv6-client预定义服务匹配，否则拒绝传入流量（初始与home区域相同） work 除非与传出流量相关，或与ssh、ipp-client或dhcpv6-client预定义服务匹配，否则拒绝传入流量 public 除非与传出流量相关，或与ssh或dhcpv6-client预定义服务匹配，否则拒绝传入流量。public是新添加的网络接口的默认区域 external 除非与传出流量相关，或与ssh预定义服务匹配，否则拒绝传入流量。通过此区域转发的IPv4传出流量将进行伪装，以使其看起来像是来自传出网络接口的IPv4地址 dmz 除非与传出流量相关，或与ssh预定义服务匹配，否则拒绝传入流量 block 除非与传出流量相关，否则拒绝所有传入流量 drop 除非与传出流量相关，否则丢弃所有传入流量（甚至不产生包含ICMP错误的响应）

有关所有可用预定义区域及其预期用途的列表，可参考帮助文档firewalld.zones(5)

man firewalld.zones 5

预定义服务

firewalld还随附一些预定义服务。这些服务定义可用于方便地允许特定网络服务的流量通过防火墙。

服务名称 配置 ssh 本地ssh服务器。到22/tcp的流量 dhcpv6-client 本地DHCPv6客户端。到fe80::/64 IPv6网络中546/udp的流量 ipp-client 本地IPP打印。到631/udp的流量 samba-client 本地windows文件和打印共享客户端。到137/udp和138/udp的流量 mdns 多播DNS（mDNS）本地链路名称解析。到5353/udp指向224.0.0.251（IPv4）或ff02::fb（IPv6）多播地址的流量

还存在很多其他的预定义服务，可以通过firewall-cmd –get-services命令查看。

配置防火墙设置

1 直接编辑配置文件/etc/firewalld/
2 使用firewall-config图形工具
通过这个图形工具，可以更改和检查firewalld内存中的配置（Runtime），也可以修改磁盘上的持久配置（Permanent）
3 使用firewall-cmd命令