文章目录

展开

firewalld防火墙

防火墙概述

在CentOS7版本之前,使用iptables做防火墙

image-20231006194908096

防火墙规则

  • 入站规则
  • 出站规则

注意:防火墙默认全部拒绝的

防火墙使用的区域管理

win7的网络设置图

image-20231006194922289

区域选项 默认规则策略
trusted 允许所有的数据包流入流出
home 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal 等同于home区域
work 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许流量
public 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
external 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block 拒绝流入的流量,除非与流出的流量相关
drop 拒绝流入的流量,除非与流出的流量相关

重点记住3大区域:

  • trusted:允许所有流量的入站规则
  • public:公共区域,默认允许ssh和dhcpv6-client
  • drop:拒绝所有流流量的入站规则

防火墙基本操作指令

## 区域相关命令
# 获取当前默认区域
[root@m01 ~]# firewall-cmd --get-default-zone
public

# 设置默认区域
[root@m01 ~]# firewall-cmd --set-default-zone=drop
success

# 查看所有可用的区域
[root@m01 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

# 新增区域
[root@m01 ~]# firewall-cmd --new-zone=wyk --permanent

#### 切换到新创建的区域
[root@m01 ~]# firewall-cmd --new-zone=wykwyk --permanent
success
[root@m01 ~]# firewall-cmd --reload
success
[root@m01 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work wyk wykwyk
[root@m01 ~]# firewall-cmd --set-default-zone=wykwyk
success

## 服务相关命令
# 查看支持的服务名
[root@m01 ~]# firewall-cmd --get-services
RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

# 添加服务入站规则
### 添加https服务允许入站,是临时生效,重启防火墙后失效
[root@m01 ~]# firewall-cmd --add-service=https
success

### 添加https服务允许入站,永久生效,但是必须要重启防火墙才可以生效
[root@m01 ~]# firewall-cmd --add-service=https --permanent
success

# 删除服务入站规则
[root@m01 ~]# firewall-cmd --remove-service=https
success
[root@m01 ~]# firewall-cmd --remove-service=https --permanent
success

## 防火墙开启端口相关命令
# 开启指定端口
[root@m01 ~]# firewall-cmd --add-port=6379/tcp
success
[root@m01 ~]# firewall-cmd --add-port=6379/tcp --permanent
success

# 开启范围端口
[root@m01 ~]# firewall-cmd --add-port=1-6379/tcp --permanent
success
[root@m01 ~]# firewall-cmd --add-port=1-6379/tcp
success

- hosts: all
  tasks:
  - name: 开启对应机器防火墙端口
    firewalld:
      port: "{{ item }}"
      permanent: yes
      state: enabled
    with_items:
      - "{{ port }}"

host_vars
    web01.yml
        port:
          - 443/tcp
          - 80/tcp
    db01.yml
        port:
          - 3306/tcp
          - 10050/tcp

## 防火墙添加网卡命令
# 将eth0加入到drop区域
[root@m01 ~]# firewall-cmd --add-interface=eth0 --zone=drop

## 重新加载防火墙
[root@m01 ~]# firewall-cmd --reload

## 查看相关命令
# 查看当前默认区域的所有规则
[root@m01 ~]# firewall-cmd --list-all

C:\Users\oldboy>netstat -an|findstr 22
  TCP    0.0.0.0:54322          0.0.0.0:0              LISTENING
  来源IP     来源端口             目标IP                 目标端口

public (active)                   # 当前正在使用的区域
  target: default                 # 当前默认的区域
  icmp-block-inversion: no        # icmp块:没有开启
  interfaces: eth0 eth1           # 当前区域监听的网卡
  sources:                        # 来源IP 10.0.0.1
  services: dhcpv6-client ssh     # 允许访问服务
  ports: 21/tcp                   # 允许访问的端口
  protocols:                      # 允许访问的协议
  masquerade: no                  # IP伪装(只有内网IP地址的机器通过IP伪装上网)
  forward-ports:                  # 端口转发,端口映射 80映射172.16.1.71:8080
  source-ports:                   # 来源端口 54322
  icmp-blocks:                    # icmp块
  rich rules:                     # 富规则,富语言规则
    rule family="ipv4" source address="10.0.0.6" accept
    rule family="ipv4" source address="10.0.0.5" accept

使用firewalld各个区域规则结合配置,调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许

# 移除public区域的所有允许放行的规则
[root@m01 ~]# firewall-cmd --remove-service=ssh --remove-service=dhcpv6-client

# 将来源IP网段加入到trusted区域中
[root@m01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted

# 查看正在使用的区域
[root@m01 ~]# firewall-cmd --get-active-zone
public
  interfaces: eth1 eth0
trusted
  sources: 10.0.0.0/24

查询public区域是否语序请求SSH HTTPS协议的流量

[root@m01 ~]# firewall-cmd --zone=public --query-service=https
yes
[root@m01 ~]# firewall-cmd --zone=public --query-service=zabbix-server
no

## 检查脚本 $1表示第一个被传入的参数
[root@m01 ~]# vim fhq.sh
#!/bin/bash
service_name=$1

res=`firewall-cmd --zone=public --query-service=$service_name`

if [ $res == 'no' ];then
  firewall-cmd --zone=public --add-service=$service_name
else
  echo "$service_name 已经被放行,无需重复执行..."
fi

## 运行脚本 检查一个项目时 zabbix-agent就是被传入的第一个参数 也就是说service_name=zabbix-agent
[root@m01 ~]# sh fhq.sh zabbix-agent

防火墙放行自定义服务

## 复制ssh.xml
[root@m01 ~]# cp /usr/lib/firewalld/services/{ssh,keep}.xml

## 添加自定义服务的xml文件
[root@m01 ~]# vim /usr/lib/firewalld/services/keep.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>sersync</short>
  <description>xxx .... sersync....</description>
  <port protocol="tcp" port="874"/>
</service>
# protocl里只能写tcp协议或者udp协议 port是端口号 如果不是对应的 添加也无效

## 添加自定义的服务名
[root@m01 services]# firewall-cmd --add-service=sersync
success

firewalld防火墙端口转发策略

## 端口转发公式
firewalld-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

firewall-cmd --permanent --zone=public --add-forward-port=port=8888:proto=tcp:toport=80:toaddr=172.16.1.7

## 开启ip伪装
[root@m01 ~]# firewall-cmd --add-masquerade

firewalld富语言规则

firewalld中的富语言规则表示更细致,更详细的防火墙策略配置,他可以针对系统服务、端口号、原地址和目标地址等诸多信息进行更有针对性的策略配置,优先级在所有的防火墙策略中也是最高的,下面为firewalld富语言规则帮助手册

[root@m01 ~]# man firewall-cmd
[root@m01 ~]# man firewalld.richlanguage
    rule
        [source]
        [destination]
        service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port
        [log]
        [audit]
        [accept|reject|drop|mark]

# 指定网络
rule [family="ipv4|ipv6"] 
# 指定IP来源 和它的[子网]
source address="address[/mask]" [invert="True"]
# 服务名
service name="service name"
# 端口和协议
port port="port value" protocol="tcp|udp"
# 要开启的协议
protocol value="protocol value"
# 端口转发
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
# 允许    委婉拒绝                      拒绝
accept | reject [type="reject type"] | drop

## 富语言规则相关命令
--add-rich-rule='<RULE>'      # 在指定的区域添加一条富语言规则
--remove-rich-rule='<RULE>'   # 指定的区删除一条富语言规则
--query-rich-rule='<RULE>'    # 找到规则返回0,找不到返回1
--list-rich-rules             # 列出指定区里的所有富语言规则

练习题

1.比如允许10.0.0.1主机能够访问http服务,允许172.16.1.0/24能访问22端口

## 先删除之前的服务
[root@web01 ~]# firewall-cmd --remove-service=ssh
success
[root@web01 ~]# firewall-cmd --remove-service=dhcpv6-client
success
[root@web01 ~]# firewall-cmd --remove-service=dhcpv6-client --permanent
success
[root@web01 ~]# firewall-cmd --remove-service=ssh --permanent
success

firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1" service name="http" accept'

firewall-cmd --add-rich-rule='rule family=ipv4 source address="172.16.1.0/24" port port="22" protocol="tcp" accept'

2.默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器

## 删除之前的富语言规则
firewall-cmd --remove-rich-rule='rule family=ipv4 source address="10.0.0.1" service name="http" accept'
firewall-cmd --remove-rich-rule='rule family=ipv4 source address="172.16.1.0/24" port port="22" protocol="tcp" accept'

firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'

3.使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务

## 删除之前的富语言规则
firewall-cmd --remove-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'

firewall-cmd --add-service={http,https}
firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=ssh accept'

4 当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口

## 删除之前的服务
firewall-cmd --remove-service=http
firewall-cmd --remove-service=http --permanent
firewall-cmd --remove-service=https
firewall-cmd --remove-service=https --permanent

## 删除之前的富语言规则
firewall-cmd --remove-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=ssh accept'

firewall-cmd --add-masquerade
firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.7"'

5.查看设定的规则,如果没有添加--permanent参数则重启firewalld会失效。富规则配置冲突的情况下按先后顺序匹配,按先匹配到的规则生效

[root@m01 ~]# firewall-cmd --list-rich-rules
rule family="ipv4" source address="10.0.0.1" service name="http" accept
rule family="ipv4" source address="172.16.1.0/24" service name="ssh" drop
rule family="ipv4" source address="10.0.0.1" service name="ssh" accept
rule family="ipv4" source address="10.0.0.1" forward-port port="5555" protocol="tcp" to-port="22" to-addr="172.16.1.7"

防火墙规则的备份

我们所有针对public区域编写的永久添加的规则都会写入备份文件(--permanent) /etc/firewalld/zones/public.xml

防火墙开启内部上网

img

防火墙开启IP伪装

# 开启防火墙
[root@m01 ~]# systemctl start firewalld

# 开启伪ip
[root@m01 ~]# firewall-cmd --add-masquerade --permanent

# 重启
[root@m01 ~]# firewall-cmd --reload

防火墙开启内核转发

## 注意这一步只有CentOS6系统需要做,CentOS7中默认已经开启。
#配置内核转发
[root@m01 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

#在CentOS6中开启之后生效命令
[root@m01 ~]# sysctl -p

#查看内核转发是否开启
[root@m01 ~]# sysctl -a|grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1

客户端内网地址配置网关

## 客户端将网关指向firewalld服务器,将所有网络请求交给firewalld
# 关闭网卡
kackuop:   ifdown eth0

# 开启防火墙
[root@backup ~]# systemctl start firewalld

# 更改eth1配置文件
[root@backup ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=eth1
DEVICE=eth1
ONBOOT=yes
IPADDR={{ ansible_eth1.ipv4.address }}
NETMASK=255.255.255.0
GATEWAY=172.16.1.5
DNS1=223.5.5.5
ZOME=public

# 重启eth1
kackuop:   ifdown eth1
kackuop:   ifup eth1

# kackuop 能ping通baidu 就是成功

ssh root@172.16.1.7
ping www.baidu.com

防火墙iptables如何让没有公网的机器上网

###外网服务器上
#1.启动iptables:
[root@m01 ~]# /etc/init.d/iptables start
#2.开启内核转发
[root@m01 ~]# vim /etc/sysctl.conf
 net.ipv4.ip_forward = 1
#3.完成后,使其生效
[root@m01 ~]# sysctl -p
#4.开启流量转发
[root@m01 ~]# iptables -t nat -A POSTROUTING -s 172.16.1.0/255.255.255.0 -j SNAT --to 10.0.0.61
#5.开启IP伪装
[root@m01 ~]# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#6.保存防火墙规则
[root@m01 ~]# /etc/init.d/iptables save

###内网客户端服务器上
#1.编辑eth1网卡
[root@web03 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.61                    
#2.配置DNS
[root@web03 ~]# cat /etc/resolv.conf
nameserver 223.5.5.5
#3.关闭eth0;重启eth1
[root@web03 ~]# ifdown eth0
[root@web03 ~]# ifdown eth1
[root@web03 ~]# ifup eth1
#4.查看网关
[root@web03 ~]# route -n
172.16.1.61
#5.检测网络
[root@web03 ~]# ping www.baidu.com