1. Introducción al firewall de Linux
En Fedora, CentOS, Red Hat y algunas distribuciones similares, el software de firewall instalado predeterminado es firewalld, que se configura y controla mediante el comando firewall-cmd. Este artículo explica principalmente firewalld.
- Herramienta de administración de firewall dinámica que admite niveles de seguridad de interfaz y enlace de red definidos por zonas de red
- Admite configuración de firewall IPv4, IPv6 y puente Ethernet
- Servicios o aplicaciones de soporte para agregar directamente interfaces de reglas de firewall
- Tiene dos modos de configuración.
- Configuración en tiempo de ejecución (configuración temporal)
- Configuración permanente
La relación entre Firewalld e iptables
filtro de red
El sistema de función de filtrado de paquetes ubicado en el kernel de Linux
se denomina "estado del kernel" del firewall de Linux
Firewalld/iptables
La herramienta predeterminada de CentOS 7 para administrar las reglas del firewall (Firewalld)
se llama "modo de usuario" del firewall de Linux.
| Cortafuegos | iptables | |
|---|---|---|
| Archivo de configuración | /usr/lib/firewalld,/etc/firewalld | /etc/sysconfig/iptables |
| Modificaciones a las reglas. | No es necesario actualizar todas las políticas ni perder las conexiones actuales. | Es necesario actualizar todas las estrategias y se pierden enlaces. |
| Tipo de cortafuegos | cortafuegos dinámico | cortafuegos estático |
2. Firewalld inicia, visualiza y cierra
#启动: firewalld
systemctl start firewalld
#查看状态:
systemctl status firewalld
#查看firewall运行状态
firewall-cmd --state
#停止:
systemctl stop firewalld
#禁用:
systemctl disable firewalld
#重新加载firewall 一般是修改firewalld以后需要重新加载
firewall-cmd --reload
#重启firewalld
systemctl restart firewalld
Tres comandos relacionados con firewalld-cmd
#查看版本:
firewall-cmd --version
#查看帮助:
firewall-cmd --help
#显示状态:
firewall-cmd --state
#查看所有放行的端口:
firewall-cmd --zone=public --list-ports
#更新防火墙规则:
firewall-cmd --reload
#查看区域信息:
firewall-cmd --get-active-zones
#查询指定接口所属的区域:
firewall-cmd --get-zone-of-interface=eth0
#拒绝所有包:
firewall-cmd --panic-on
#取消拒绝状态:
firewall-cmd --panic-off
#查看是否拒绝:
firewall-cmd --query-panic
4.puerto de liberación del firewall
# 查询端口是否开放
firewall-cmd --query-port=8080/tcp
# 新建永久规则,开放8080端口(TCP协议)任何ip都可以访问此端口
firewall-cmd --permanent --add-port=8080/tcp
# 移除上一个命令新建的规则
firewall-cmd --permanent --remove-port=8080/tcp
# 新建永久规则,批量开放一段端口(TCP协议)9001-9100区间的端口都开放
firewall-cmd --permanent --add-port=9001-9100/tcp
#添加或者移除规则后重新加载firewall后配置才会生效
firewall-cmd --reload
5.firewalld lanza la lista blanca de IP
# 新建永久规则,开放192.168.1.1单个源IP的访问
firewall-cmd --permanent --add-source=192.168.1.1
# 新建永久规则,开放192.168.1.0/24源IP段的访问
#192.168.1.0/24这个网络是指192.168.1.1-192.168.1.255之间的ip,24代表网络位24位,主机位8位
firewall-cmd --permanent --add-source=192.168.1.0/24
# 移除上述规则
firewall-cmd --permanent --remove-source=192.168.1.1
6.Configurar reglas
# 允许指定IP访问本机8080端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'
# 允许指定IP段访问本机8080-8090端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080-8090" accept'
# 禁止指定IP访问本机8080端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" reject'
#移除第一条规则(所有的移除规则基本都是add改成remove)
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'
Explicación del comando:
aceptar, permitir, rechazar, rechazar, descartar, rechazar
–agregar regla enriquecida, agregar configuración
–eliminar regla enriquecida, eliminar configuración
–permanente, entra en vigor de forma permanente y debe volver a cargarse para que surta efecto.
7. El concepto de zona de firewall (dominio)
#可以得到所有的域
firewall-cmd --get-zones
1. Descartar: si se utiliza la zona de entrega, se descartarán todos los paquetes entrantes. Esto es similar al iptables -j drop que usamos antes. Usar una regla de caída significa que no habrá respuesta.
2. Bloquear: El área de bloqueo rechazará las conexiones de red entrantes y devolverá icmp-host-prohibido, solo se pasarán las conexiones que hayan sido establecidas por el servidor, es decir, solo se permitirán las conexiones de red inicializadas por el sistema.
3. Público: solo acepte aquellas conexiones seleccionadas. De forma predeterminada, solo se permiten ssh y dhcpv6-client. Esta zona es la zona predeterminada.
4. Externo: esta área equivale a la opción de habilitar enmascaramiento del enrutador. Sólo se aceptará la conexión especificada, es decir, ssh, y otras conexiones se descartarán o no se aceptarán.
5. Aislamiento (dmz): si desea permitir que solo se acceda desde el exterior a algunos servicios, puede definirlo en el área dmz. También tiene la característica de conectarse únicamente vía ssh.
6. Trabajo: En esta área sólo podemos definir redes internas. Por ejemplo, solo se permite la comunicación de red privada y solo se permiten ssh, ipp-client y dhcpv6-client.
7. Hogar: Esta área está dedicada al entorno del hogar. También solo permite conexiones seleccionadas, a saber, ssh, ipp-client, mdns, samba-client y dhcpv6-client.
8. Interno: Esta área es similar al área de trabajo (work), solo que a través de la conexión seleccionada, al igual que el área de casa.
9. Confiable: la zona de confianza permite que pasen todas las comunicaciones de la red. Recuerde: debido a que confiable es el más confiable, incluso si no se establece ningún servicio, aún está permitido, porque confiable permite todas las conexiones.