Explicación y configuración de firewalld en el firewall predeterminado de Centos7
Directorio de artículos
- Uno, descripción general de firewalld
- Dos, la diferencia entre firewalld e iptables
- En tercer lugar, el concepto de área de cortafuegos
- Cuatro, flujo de procesamiento de datos de firewalld
- Cinco, firewalld verifica las reglas de la dirección de origen del paquete
- Seis, método de configuración de firewall firewalld
Uno, descripción general de firewalld
El firewall firewalld es la herramienta de administración de firewall por defecto del sistema Centos7, reemplaza al firewall iptables anterior, también funciona en la capa de red y pertenece al firewall de filtrado de paquetes.
Tanto firewalld como iptables son herramientas utilizadas para administrar firewalls (pertenecientes al modo de usuario) para definir varias reglas y funciones del firewall, y la estructura interna apunta al subsistema de filtrado de red netfilter (perteneciente al modo kernel) para realizar la función de firewall de filtrado de paquetes.
firewalld proporciona una herramienta de administración de firewall dinámica que admite enlaces de red y niveles de seguridad de interfaz definidos por zonas de red. Admite configuraciones de firewall de IPv4, IPv6 y puentes Ethernet (puede usarse en algunos servicios avanzados, como computación en la nube) y tiene dos modos de configuración: configuración en tiempo de ejecución y configuración permanente.
Dos, la diferencia entre firewalld e iptables
1. Diferencia uno
iptables se basa principalmente en la interfaz para establecer reglas para determinar la seguridad de la red.
Firewalld se basa en zonas y se establecen diferentes reglas de acuerdo con las diferentes zonas para garantizar la seguridad de la red. Similar a la configuración del firewall de hardware.
2. Diferencia dos
iptables 在 /etc/sysconfig/iptables 中储存配置,
firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。
3. Diferencia tres
Usar iptables para cada cambio individual significa borrar todas las reglas antiguas y leer todas las reglas nuevas de / etc / sysconfig / iptables El
uso de firewalld no crea ninguna regla nueva, solo ejecuta las diferencias en las reglas. Por lo tanto, firewalld puede cambiar la configuración durante el tiempo de ejecución sin perder la
conexión actual.
En tercer lugar, el concepto de área de cortafuegos
Para simplificar la administración, firewalld divide todo el tráfico de la red en varias zonas. Luego, de acuerdo con la dirección IP de origen del paquete de datos o la interfaz de red entrante y otras condiciones, el tráfico se transfiere al área correspondiente. Cada área define una lista de puertos y servicios que abre o cierra.
(1), firewall firewalld predefinido 9 áreas
1、trusted(信任区域):允许所有的传入流量。
2、public(公共区域):允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
3、external(外部区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络。
4、home(家庭区域):允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
5、internal(内部区域):默认值时与home区域相同。
6、work(工作区域):允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
7、dmz(隔离区域也称为非军事区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
8、block(限制区域):拒绝所有传入流量。
9、drop(丢弃区域):丢弃所有传入流量,并且不产生包含 ICMP的错误响应。
最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个 活跃区域 至少需要关联 源地址或接口。
默认情况下,public区域是默认区域,包含所有接口(网卡)
Cuatro, flujo de procesamiento de datos de firewalld
Para los paquetes de datos que ingresan al sistema, firewalld enviará el tráfico de datos a las reglas de firewall del área correspondiente según la dirección IP de origen del paquete de datos o la interfaz de red entrante y otras condiciones. Para los paquetes de datos que ingresan al sistema, lo primero que debe verificar es la dirección de origen.
Cinco, firewalld verifica las reglas de la dirección de origen del paquete
1. Si la dirección de origen está asociada a un área específica (es decir, existe un conflicto entre la dirección de origen o el área vinculada a la interfaz), se ejecutarán las reglas establecidas por el área.
2. Si la dirección de origen no está asociada con un área específica (es decir, no hay conflicto entre la dirección de origen o el área vinculada a la interfaz), se utiliza el área de la interfaz de red entrante y se ejecutan las reglas establecidas por el área.
3. Si la interfaz de red tampoco está asociada con un área específica (es decir, la dirección o interfaz de origen no está vinculada a un área específica), se usa el área predeterminada y se ejecutan las reglas establecidas por el área.
Seis, método de configuración de firewall firewalld
1、使用firewall-cmd 命令行工具。
2、使用firewall-config 图形工具。
3、编写/etc/firewalld/中的配置文件。
systemctl start firewalld.service
(1) Opciones de comando firewall-cmd de uso común
--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其对应的网卡接口
--get-zones :显示所有可用的区域
--get-zone-of-interface=<interface> :显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
--zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口
--list-all-zones :显示所有区域及其规则
[--zone=<zone>] --list-all :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
[--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)
[--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有 ICMP 类型
[--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项 ICMP 类型
[--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes :显示所有 ICMP 类型
(2) Gestión regional
(1)显示当前系统中的默认区域
firewall-cmd --get-default-zone
(2)显示默认区域的所有规则
firewall-cmd --list-all
(3)显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones
(4)设置默认区域
firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone
(3) Gestión de servicios
(1)查看默认区域内允许访问的所有服务
firewall-cmd --list-service
(2)添加httpd 服务到public 区域
firewall-cmd --add-service=http --zone=public
(3)查看public 区域已配置规则
firewall-cmd --list-all --zone=public
(4)删除public 区域的httpd 服务
firewall-cmd --remove-service=http --zone=public
(5)同时添加httpd、https 服务到默认区域,设置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --reload
firewall-cmd --list-all
#添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令 重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
--runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性配置。
(4) Gestión de puertos
(1)允许TCP的443端口到internal 区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal
(2)从internal 区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp
(3)允许UDP的2048~2050端口到默认区域
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all