虚拟机Firewalld防火墙实用命令及实验记录！

Firewalld

RHEL 7系统中集成了多款防火墙管理工具，其中firewalld（Dynamic Firewall Manager of Linux systems，Linux系统的动态防火墙管理器）服务是默认的防火墙配置管理工具，它拥有基于CLI（命令行界面）和基于GUI（图形用户界面）的两种管理方式。

相较于传统的防火墙管理配置工具，firewalld支持动态更新技术并加入了区域（zone）的概念。简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。例如，我们有一台笔记本电脑，每天都要在办公室、咖啡厅和家里使用。按常理来讲，这三者的安全性按照由高到低的顺序来排列，应该是家庭、公司办公室、咖啡厅。当前，我们希望为这台笔记本电脑指定如下防火墙策略规则：在家中允许访问所有服务；在办公室内仅允许访问文件共享服务；在咖啡厅仅允许上网浏览。在以往，我们需要频繁地手动设置防火墙策略规则，而现在只需要预设好区域集合，然后只需轻点鼠标就可以自动切换了，从而极大地提升了防火墙策略的应用效率。firewalld中常见的区域名称（默认为public）以及相应的策略规则如表所示。

终端管理工具

命令行终端是一种极富效率的工作方式，firewall-cmd是firewalld防火墙配置管理工具的CLI（命令行界面）版本。它的参数一般都是以“长格式”来提供的，因为RHEL 7系统支持部分命令的参数补齐，其中就包含这条命令。也就是说，现在除了能用Tab键自动补齐命令或文件名等内容之外，还可以用Tab键来补齐表中所示的长格式参数了。

使用firewalld配置的防火墙策略有两个模式：

运行时（Runtime）模式：默认的firewall防火墙策略模式，又称为当前生效模式，策略会随着系统的重启会失效。
永久（Permanent）模式：在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数，配置的防火墙策略就可以永久生效。但是，使用永久生效模式设置的策略只有在系统重启之后才能自动生效。如果想让永久模式下配置的策略立即生效，需要手动执行firewall-cmd --reload命令。

firewall防火墙常用配置

firewall-cmd --get-default-zone                                            #查看firewalld服务当前所使用的区域（默认应该是public）
firewall-cmd --get-zone-of-interface=eno16777728                           #查询eno16777728网卡当前在firewalld服务中的区域（默认也应该是public）
firewall-cmd --permanent --zone=external --change-interface=eno16777728    #把firewalld服务中eno16777728网卡的默认区域修改为external，并在系统重启后永久生效。
firewall-cmd --get-zone-of-interface=eno16777728                           #查看eno16777728网卡在当前的区域（应该仍为public）
firewall-cmd --permanent --get-zone-of-interface=eno16777728               #查看eno16777728网卡在永久模式下的区域（应该为external）
firewall-cmd --set-default-zone=public                                     #把firewalld服务的当前默认区域设置为public
firewall-cmd --get-default-zone                                            #查看firewall当前默认区域
firewall-cmd --panic-on                                                    #启动firewalld防火墙服务的应急状况模式，阻断一切网络连接（当远程控制服务器时请慎用）
firewall-cmd --panic-off                                                   #关闭firewall防火墙服务的应急状况模式
firewall-cmd --zone=public --query-service=ssh                             #查询public区域当前是否允许SSH服务的流量（查到为yes）     
firewall-cmd --zone=public --query-service=https                           #查询public区域当前是否允许HTTPS服务的流量（查到为no）
firewall-cmd --zone=public --add-service=https                             #设置public区域当前允许请求HTTPS服务的流量通过
firewall-cmd --permanent --zone=public --add-service=https                 #设置piblic区域允许请求HTTPS服务的流量通过，永久生效
firewall-cmd --reload                                                      #让firewall服务永久模式下的策略设置立即生效
firewall-cmd --permanent --zone=public --remove-service=http               #设置public区域禁止HTTP服务的流量通过，永久生效
firewall-cmd --reload                                                      
firewall-cmd --zone=public --add-port=8080-8081/tcp                        #设置public区域当前访问8080-8081端口的流量策略设置为允许
firewall-cmd --zone=public --list-ports                                    #查看public区域当前允许通过的端口

流量转发命令格式：

firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

实验操作：
#启动firewalld防火墙服务的应急状况模式，模式此模式慎用！

[root@lizhiqiang Desktop]# firewall-cmd --get-default-zone 
public
[root@lizhiqiang Desktop]# firewall-cmd --get-zone-of-interface=eno16777736 
public
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=external --change-interface=eno16777736 
success
[root@lizhiqiang Desktop]# firewall-cmd --get-zone-of-interface=eno16777736 
public
[root@lizhiqiang Desktop]# firewall-cmd --set-default-zone=drop
success
[root@lizhiqiang Desktop]# firewall-cmd --get-default-zone drop
[root@lizhiqiang Desktop]# firewall-cmd --panic-on
success
[root@lizhiqiang Desktop]# firewall-cmd --panic-off
success

 #关闭firewall防火墙服务的应急状况

[root@lizhiqiang Desktop]# firewall-cmd --panic-off
success

查看是否支持http和https协议，添加http和https协议支持

[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=ssh
yes
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=http
no
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=https
no
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --add-service=http
success
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=http
yes
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --add-service=https
success
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=https
yes
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=https
yes

添加到启动项，删除https服务支持

[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --query-service=https
no
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@lizhiqiang Desktop]# firewall-cmd --reload 
success
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --query-service=https
yes
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --remove-service=https
success
[root@lizhiqiang Desktop]# firewall-cmd --reload 
success
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --query-service=https
no

设置public区域当前访问8080-8081端口的流量策略设置为允许

[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp
success
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --list-port
8080-8081/tcp

设置一个流量转发命令

[root@lizhiqiang Desktop]# firewall-cmd --permanent --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.11.17
success
[root@lizhiqiang Desktop]# firewall-cmd --reload 
success

设置一个防火墙最高规则，优先执行

[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.11.0/24" service name="ssh" reject"
success
[root@lizhiqiang Desktop]# firewall-cmd --reload 
success