介绍
Firewalld 是许多 Linux 发行版中可用的防火墙管理解决方案,它作为 Linux 内核提供的 iptables 包过滤系统的前端。 在本指南中,我们将介绍如何为您的服务器设置防火墙,并向您展示使用防火墙-cmd
管理工具管理防火墙的基本知识(如果您更喜欢使用iptables
与 CentOS,请遵循 此指南)。
<$>[注] **注:**有可能你正在使用一个更新的版本的防火墙d,而不是在本文的写作时,或你的服务器的设置略有不同于在本指南中使用的示例服务器。
Firewalld 中的基本概念
在我们开始谈论如何实际使用防火墙-cmd
实用程序来管理您的防火墙配置之前,我们应该熟悉该工具引入的一些基本概念。
区域
防火墙
示威者使用称为区域
的实体来管理规则组。 区基本上是规则集,根据您在计算机连接的网络中所信任的程度来决定应该允许的流量。
对于可能经常在网络之间移动的计算机(如笔记本电脑),这种灵活性提供了根据环境而改变规则的好方法,您可能有严格的规则,禁止在公共WiFi网络上运行的大多数流量,同时允许连接到家庭网络时更宽松的限制。
无论您的网络环境有多么动态,仍然有用熟悉防火墙
的每个预定义区域背后的一般想法。
- ** 投放**:信任程度最低。 所有接入的连接都会在无回复的情况下被丢弃,并且只能输出连接. () (
)* ** block**:与上述内容相类似,但收到的请求不是简单地放弃连接,而是以
icmp-host-project'或
icmp6-adm-project'消息拒绝。 () ( )* ** 公众**:代表公共的、不信任的网络。 您不信任其他计算机, 但可能允许在个案基础上选择连接 。 (_) ( )* ** 外部**:如果您使用防火墙作为网关,则使用外部网络。 它被配置为 NAT 装配, 以便您的内部网络保持私有但可达到 。 ( ) ( )* ** 内部**:外部区域的另一侧,用于网关的内部部分。 计算机是相当可靠的,还提供了一些额外服务。 () ( )* dmz:用于位于DMZ的计算机(无法访问您网络其余部分的同位化计算机). 只允许某些进入的连接 。 - 工作:用于工作机器。 信任网络中的大部分计算机. 可能允许更多的服务。
- ** 家庭**:家庭环境。 它一般意味着您信任大多数其他计算机,并且还会接受一些更多的服务.
- ** 受托**:信任网络中的所有机器。 现有选项中最开放的,应谨慎使用。 (_) (英语)
为了使用防火墙,我们可以创建规则,改变我们区域的属性,然后将我们的网络接口分配到最合适的区域。
永久性规则
在 firewalld 中,规则可以被指定为永久性或即时性。如果添加或修改规则,默认情况下,正在运行的防火墙的行为会被更改。
大多数防火墙-cmd
操作可以使用--永久性
旗帜来表示非表面性防火墙应该被瞄准。这会影响在启动时重新加载的规则集。这种分离意味着您可以在活跃防火墙实例中测试规则,然后在出现问题时重新加载。
安装并允许您的防火墙在启动时启动
「firewalld」默认安装在某些 Linux 发行版上,包括 CentOS 7 的许多图像。
1sudo yum install firewalld
安裝「firewalld」後,您可以啟用該服務並重新啟動您的伺服器。 請記住,啟用 firewalld 會導致該服務在啟動時啟動。 最好的做法是建立您的防火牆規則,並在設定此行為之前採取測試的機會,以避免潛在的問題。
1sudo systemctl enable firewalld
2sudo reboot
当服务器重新启动时,你的防火墙应该被带上,你的网络接口应该被放入你配置的区域(或回到配置的默认区域),并且与区域(s)相关的任何规则都将应用到相关的接口。
我们可以通过键入来验证服务是否正在运行和可访问:
1sudo firewall-cmd --state
1[secondary_label Output]
2running
这表明我们的防火墙已启动并运行默认配置。
熟悉当前的防火墙规则
在我们开始进行更改之前,我们应该熟悉大卫提供的默认环境和规则。
探索缺陷
我们可以通过键入查看当前选择的区域为默认值:
1firewall-cmd --get-default-zone
1[secondary_label Output]
2public
由于我们没有给‘防火墙’任何命令偏离默认区域,而且我们的界面都没有配置到连接到另一个区域,所以该区域也将是唯一的活跃
区域(控制我们界面流量的区域)。
1firewall-cmd --get-active-zones
1[secondary_label Output]
2public
3 interfaces: eth0 eth1
在这里,我们可以看到,我们的示例服务器有两个网络接口由防火墙控制(‘eth0’和‘eth1’)。
但是,我们如何知道哪些规则与公共区域有关?我们可以通过键入打印默认区域的配置:
1sudo firewall-cmd --list-all
1[secondary_label Output]
2public (default, active)
3 target: default
4 icmp-block-inversion: no
5 interfaces: eth0 eth1
6 sources:
7 services: ssh dhcpv6-client
8 ports:
9 protocols:
10 masquerade: no
11 forward-ports:
12 source-ports:
13 icmp-blocks:
14 rich rules:
我们可以从输出中说,这个区域既是默认的,也是活跃的,而且eth0
和eth1
接口与这个区域相关联(我们从以前的查询中已经知道了这一切)。
探索替代区
现在我们对默认和活跃区域的配置有了很好的想法,我们也可以找到其他区域的信息。
要获取可用的区域列表,键入:
1firewall-cmd --get-zones
1[secondary_label Output]
2block dmz drop external home internal public trusted work
我们可以通过将 --zone=
参数纳入我们的 --list-all
命令来查看与一个区域相关的特定配置:
1sudo firewall-cmd --zone=home --list-all
1[secondary_label Output]
2home
3 target: default
4 icmp-block-inversion: no
5 interfaces:
6 sources:
7 services: dhcpv6-client mdns samba-client ssh
8 ports:
9 protocols:
10 masquerade: no
11 forward-ports:
12 source-ports:
13 icmp-blocks:
14 rich rules:
您可以使用 --list-all-zones
选项输出所有区域定义,您可能希望将输出输入到一个页面,以便更容易查看:
1sudo firewall-cmd --list-all-zones | less
选择您的界面区域
除非您配置了不同的网络接口,否则在启动防火墙时,每个接口都将放入默认区域。
更改一个接口的区域
您可以在会话期间通过使用 --zone=
参数和 --change-interface=
参数来切换区域之间的接口. 与所有修改防火墙的命令一样,您需要使用 sudo
。
例如,我们可以将我们的eth0
界面过渡到家庭
区域,键入以下内容:
1sudo firewall-cmd --zone=home --change-interface=eth0
1[secondary_label Output]
2success
<$>[注]
注: 每当您将接口切换到一个新的区域时,请注意,您可能正在修改将运作的服务,例如,在这里我们正在移动到家
区域,其中有SSH可用。这意味着我们的连接不应该下降。 其他一些区域默认情况下没有SSH启用,如果您的连接在使用其中一个区域时失效,您可能会发现自己无法重新登录
<$>
我们可以通过再次询问活跃区域来验证这是成功的:
1firewall-cmd --get-active-zones
1[secondary_label Output]
2home
3 interfaces: eth0
4public
5 interfaces: eth1
调整默认区域
如果您所有的接口都可以通过一个单一的区域来处理,那么选择最佳的默认区域可能更容易,然后将其用于您的配置。
您可以使用 --set-default-zone=
参数更改默认区域,这将立即更改任何已退回到默认区域的新区域的界面:
1sudo firewall-cmd --set-default-zone=home
1[secondary_label Output]
2success
为您的应用程序设置规则
定义您想要提供的服务的防火墙例外的基本方法相当简单,我们将通过这里的基本想法。
将服务添加到您的区域
最简单的方法是将所需的服务或端口添加到您正在使用的区域中,您可以使用--get-services
选项获取可用的服务列表:
1firewall-cmd --get-services
1[secondary_label Output]
2RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
<$>[注]
**注:**您可以通过在 /usr/lib/firewalld/services 目录中查看其相关的
.xml` 文件来获取有关每个服务的更多细节。
1[label /usr/lib/firewalld/services/ssh.xml]
2<?xml version="1.0" encoding="utf-8"?>
3<service>
4 <short>SSH</short>
5 <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
6 <port protocol="tcp" port="22"/>
7</service>
美元
您可以使用 --add-service=
参数启用一个区域的服务。该操作将针对默认区域或任何由 --zone=
参数指定的区域。 默认情况下,这只会调整当前的防火墙会话。
例如,如果我们运行的是服务于传统 HTTP 流量的 Web 服务器,我们可以通过键入:
1sudo firewall-cmd --zone=public --add-service=http
如果您想要修改默认区域,您可以放弃 --zone=
,我们可以通过使用 --list-all
或 --list-services
操作来验证操作的成功:
1sudo firewall-cmd --zone=public --list-services
1[secondary_label Output]
2dhcpv6-client http ssh
一旦你测试了一切正常工作,你可能会想要修改永久性防火墙规则,以便你的服务在重新启动后仍然可用。
1sudo firewall-cmd --zone=public --permanent --add-service=http
1[secondary_label Output]
2success
您可以通过在--list-services
操作中添加--永久
标志来验证此操作是否成功,您需要在任何--永久
操作中使用sudo
:
1sudo firewall-cmd --zone=public --permanent --list-services
1[secondary_label Output]
2dhcpv6-client http ssh
您的公共
区现在将允许HTTP网页流量在端口80。如果您的网页服务器已配置使用SSL/TLS,您还需要添加https
服务。
1sudo firewall-cmd --zone=public --add-service=https
2sudo firewall-cmd --zone=public --permanent --add-service=https
如果没有适当的服务可用怎么办?
防火墙安装中包含的防火墙服务代表了您可能希望允许访问的应用程序的许多最常见要求。
在这种情况下,你有两个选择。
为您的区域打开一个港口
添加对特定应用程序的支持的一种方法是打开该应用程序在相应区域(s)中使用的端口,通过指定端口或端口范围以及需要打开的端口的相关协议来完成此操作。
例如,如果我们的应用程序运行在端口5000上,并使用TCP,我们可以使用 --add-port=
参数将其添加到该会话的公共
区域。
1sudo firewall-cmd --zone=public --add-port=5000/tcp
1[secondary_label Output]
2success
我们可以通过--list-ports
操作来验证这是成功的:
1sudo firewall-cmd --zone=public --list-ports
1[secondary_label Output]
25000/tcp
例如,如果我们的应用程序使用 UDP 端口 4990 到 4999,我们可以通过键入公共
打开这些端口:
1sudo firewall-cmd --zone=public --add-port=4990-4999/udp
测试后,我们可能希望将这些添加到永久性防火墙中,您可以通过键入:
1sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
2sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
3sudo firewall-cmd --zone=public --permanent --list-ports
1[secondary_label Output]
2success
3success
45000/tcp 4990-4999/udp
定义一个服务
打开您的区域的端口很容易,但很难跟踪每个端口的用途. 如果您在服务器上终止服务,您可能很难记住哪些已打开的端口仍然需要。
服务是具有相关名称和描述的端口集合。使用服务比使用端口更容易管理,但需要一些事先的工作。开始的好方法是将现有的脚本(在 /usr/lib/firewalld/services
中找到)复制到 /etc/firewalld/services
目录中,其中防火墙寻找非标准定义。
例如,我们可以复制SSH服务定义,以便使用我们的示例
服务定义,如下。
1sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml
现在,您可以调整您复制的文件中发现的定义:
1sudo vi /etc/firewalld/services/example.xml
首先,该文件将包含您复制的 SSH 定义:
1[label /etc/firewalld/services/example.xml]
2<?xml version="1.0" encoding="utf-8"?>
3<service>
4 <short>SSH</short>
5 <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
6 <port protocol="tcp" port="22"/>
7</service>
这个定义的绝大多数实际上是元数据. 您将希望在<short>
标签中更改服务的简称。 这是您的服务的可读名称。 您还应该添加一个描述,以便您有更多的信息,如果您需要对服务进行审计。 您需要做的唯一的配置,这实际上会影响服务的功能,可能是您识别想要打开的端口号和协议的端口定义。
对于我们的示例
服务,想象一下,我们需要打开端口 7777 用于 TCP 和 8888 用于 UDP。
1[label /etc/firewalld/services/example.xml]
2<?xml version="1.0" encoding="utf-8"?>
3<service>
4 <short>Example Service</short>
5 <description>This is just an example service. It probably shouldn't be used on a real system.</description>
6 <port protocol="tcp" port="7777"/>
7 <port protocol="udp" port="8888"/>
8</service>
按ESC
,然后输入:x
来保存和关闭文件。
重新加载您的防火墙以访问您的新服务:
1sudo firewall-cmd --reload
您可以看到它现在在可用的服务列表中:
1firewall-cmd --get-services
1[secondary_label Output]
2RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch example freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
您现在可以像通常一样在您的区域使用此服务。
创建自己的区域
虽然预定义的区域对大多数用户来说可能已经足够了,但可以有助于定义自己的区域,这些区域更能描述它们的功能。
例如,您可能想为您的 Web 服务器创建一个区域,称为publicweb
。然而,您可能希望为您在私人网络上提供的 DNS 服务配置另一个区域。
当您添加一个区域时,您必须将其添加到永久防火墙配置中,然后您可以重新加载以将配置带入您的运行会话中,例如,我们可以通过键入创建我们上面讨论的两个区域:
1sudo firewall-cmd --permanent --new-zone=publicweb
2sudo firewall-cmd --permanent --new-zone=privateDNS
您可以通过键入来验证它们是否存在于您的永久配置中:
1sudo firewall-cmd --permanent --get-zones
1[secondary_label Output]
2block dmz drop external home internal privateDNS public publicweb trusted work
如前所述,这些在当前的防火墙实例中尚未可用:
1firewall-cmd --get-zones
1[secondary_label Output]
2block dmz drop external home internal public trusted work
重新加载防火墙以将这些新区域带入活跃配置:
1sudo firewall-cmd --reload
2firewall-cmd --get-zones
1[secondary_label Output]
2block dmz drop external home internal privateDNS public publicweb trusted work
现在,您可以开始将相应的服务和端口分配给您的区域。 通常,调整活跃实例,然后在测试后将这些更改转移到永久配置是很好的想法。
1sudo firewall-cmd --zone=publicweb --add-service=ssh
2sudo firewall-cmd --zone=publicweb --add-service=http
3sudo firewall-cmd --zone=publicweb --add-service=https
4sudo firewall-cmd --zone=publicweb --list-all
1[secondary_label Output]
2publicweb
3 target: default
4 icmp-block-inversion: no
5 interfaces:
6 sources:
7 services: ssh http https
8 ports:
9 protocols:
10 masquerade: no
11 forward-ports:
12 source-ports:
13 icmp-blocks:
14 rich rules:
同样,我们可以将DNS服务添加到我们的privateDNS
区:
1sudo firewall-cmd --zone=privateDNS --add-service=dns
2sudo firewall-cmd --zone=privateDNS --list-all
1[secondary_label Output]
2privateDNS
3 interfaces:
4 sources:
5 services: dns
6 ports:
7 masquerade: no
8 forward-ports:
9 icmp-blocks:
10 rich rules:
然后,我们可以更改我们的界面到这些新区域来测试它们:
1sudo firewall-cmd --zone=publicweb --change-interface=eth0
2sudo firewall-cmd --zone=privateDNS --change-interface=eth1
在此时,您有机会测试您的配置。如果这些值对您有用,您将希望将相同的规则添加到永久配置中。
1sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
2sudo firewall-cmd --zone=publicweb --permanent --add-service=http
3sudo firewall-cmd --zone=publicweb --permanent --add-service=https
4sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns
永久应用这些规则后,您可以重新启动网络并重新加载防火墙服务:
1sudo systemctl restart network
2sudo systemctl reload firewalld
验证已分配正确的区域:
1firewall-cmd --get-active-zones
1[secondary_label Output]
2privateDNS
3 interfaces: eth1
4publicweb
5 interfaces: eth0
并验证为两个区域提供适当的服务:
1sudo firewall-cmd --zone=publicweb --list-services
1[secondary_label Output]
2http https ssh
1sudo firewall-cmd --zone=privateDNS --list-services
1[secondary_label Output]
2dns
您已经成功设置了自己的区域! 如果您想将其中一个区域作为其他接口的默认设置,请记住使用 --set-default-zone=
参数配置该行为:
1sudo firewall-cmd --set-default-zone=publicweb
结论
您现在应该对如何在CentOS系统上管理防火墙服务进行日常使用有很好的了解。
防火墙服务允许您配置可维护的规则和规则集,以考虑您的网络环境. 它允许您通过使用区域无缝地在不同的防火墙政策之间过渡,并让管理员能够将端口管理抽象化为更友好的服务定义。