介绍
firewalld是许多Linux发行版可用的防火墙管理软件,它作为Linux基于内核的 nftables或 iptables的包过滤系统的前端。
在本指南中,您将审查如何为您的Rocky Linux 9服务器设置防火墙,并涵盖使用防火墙-cmd管理工具管理防火墙的基本知识。
前提条件
要完成本教程,你需要一个运行Rocky Linux 9的服务器。你应该登录这个服务器作为一个非root的sudo功能的用户。
步骤 1 — 在 firewalld 中审查核心概念
在审查如何实际使用防火墙-cmd实用程序来管理您的防火墙配置之前,您应该熟悉该工具引入的几个概念。
区域
防火墙示威者使用称为 zones 的实体来管理规则组。 区域是规则集,根据您在网络中所信任的水平来决定应该允许哪些流量。
对于可能经常在网络之间移动的计算机(如笔记本电脑),这种灵活性提供了根据环境而改变规则的良好方法. 您可能有严格的规则,禁止在公共WiFi网络上运行的大多数流量,同时允许连接到家庭网络时更宽松的限制。
无论您的网络环境有多么动态,仍然有用熟悉防火墙的每个预定义区域背后的一般想法。
- ** 投放**:信任程度最低。 所有接入的连接都会在无回复的情况下被丢弃,并且只能输出连接. () (
)* ** block**:与上述内容相类似,但收到的请求不是放弃连接,而是以
icmp-host-project'或icmp6-adm-project'消息拒绝。 () ( )* ** 公众**:代表公共的、不信任的网络。 您不信任其他计算机, 但可能允许在个案基础上选择连接 。 (_) ( )* ** 外部**:如果您使用防火墙作为网关,则使用外部网络。 它被配置为 NAT 装配, 以便您的内部网络保持私有但可达到 。 ( ) ( )* ** 内部**:外部区域的另一侧,用于网关的内部部分。 计算机是相当可靠的,还提供了一些额外服务。 () ( )* dmz:用于位于DMZ的计算机(无法访问您网络其余部分的同位化计算机). 只允许某些进入的连接 。 - 工作:用于工作机器。 信任网络中的大部分计算机. 可能允许更多的服务。
- ** 家庭**:家庭环境。 它一般意味着您信任大多数其他计算机,并且还会接受一些更多的服务.
- ** 受托**:信任网络中的所有机器。 现有选项中最开放的,应谨慎使用。 (_) (英语)
要使用防火墙,您可以创建规则并更改区域的属性,然后将网络接口分配到最合适的区域。
永久性规则
在 firewalld 中,规则可以应用到当前的 runtime 规则集,或变为 permanent. 当一个规则被添加或修改时, 默认情况下,只有当前正在运行的防火墙才会被更改。
大多数firewall-cmd操作可以使用--permanent标志来表示更改应应用于永久配置,此外,目前正在运行的防火墙可以通过firewall-cmd -runtime-to-permanent命令保存到永久配置。
这种运行时间与永久配置的分离意味着您可以在积极的防火墙中安全地测试规则,然后在出现问题时重新加载。
第2步:安装和启用防火墙
「firewalld」默认安装在某些Linux发行版上,包括许多Rocky Linux的部署,但是,您可能需要自己安装防火墙。
1sudo dnf install firewalld -y
安裝「firewalld」後,您需要使用「systemctl」啟用該服務,請記住啟用「firewalld」會導致該服務在啟動時啟動。
1sudo systemctl enable firewalld
2sudo systemctl start firewalld
您可以通过键入来验证该服务是否正在运行和可访问:
1sudo firewall-cmd --state
1[secondary_label Output]
2running
这表明您的防火墙已启动并运行了默认配置. 在您更改之前,您应该熟悉 firewalld 提供的默认环境和规则。
探索缺陷
您可以通过运行防火墙-cmd --get-default-zone来查看当前选择的区域:
1firewall-cmd --get-default-zone
1[secondary_label Output]
2public
由于您没有向防火墙提供任何偏离默认区域的命令,并且您的界面没有被配置为连接到另一个区域,该区域也将是唯一的 ** 活跃** 区域(控制我们界面流量的区域)。
1firewall-cmd --get-active-zones
1[secondary_label Output]
2public
3 interfaces: eth0 eth1
在这里,您可以看到您的示例服务器有两个网络接口由防火墙控制(‘eth0’和‘eth1’)。
您可以使用 firewall-cmd --list-all 打印与默认区域配置相关的规则:
1sudo firewall-cmd --list-all
1[secondary_label Output]
2public (active)
3 target: default
4 icmp-block-inversion: no
5 interfaces: eth0 eth1
6 sources:
7 services: cockpit dhcpv6-client ssh
8 ports:
9 protocols:
10 forward: yes
11 masquerade: no
12 forward-ports:
13 source-ports:
14 icmp-blocks:
15 rich rules:
您可以从输出中知道这个区域既是默认的,也是活跃的,而且与该区域关联的eth0和eth1接口。
探索替代区
您也可以找到有关其他地区的信息。
要获取可用的区域列表,请运行 firewall-cmd --get-zones:
1firewall-cmd --get-zones
1[secondary_label Output]
2block dmz drop external home internal nm-shared public trusted work
您可以通过将 --zone= 参数纳入您的 --list-all 命令来查看与一个区域相关的特定配置:
1sudo firewall-cmd --zone=home --list-all
1[secondary_label Output]
2home
3 target: default
4 icmp-block-inversion: no
5 interfaces:
6 sources:
7 services: cockpit dhcpv6-client mdns samba-client ssh
8 ports:
9 protocols:
10 forward: yes
11 masquerade: no
12 forward-ports:
13 source-ports:
14 icmp-blocks:
15 rich rules:
您可以使用 - 列表 - 所有区域选项输出所有区域定义,接下来,您将了解如何将区域分配到网络接口。
步骤 3 – 选择您的界面区域
除非您配置了不同的网络接口,否则在启动防火墙时,每个接口都将放入默认区域。
更改一个接口的区域
您可以在会话期间通过使用 --zone= 参数与 --change-interface= 参数相结合移动区域之间的界面。
例如,您可以将您的eth0界面移动到 home区域:
1sudo firewall-cmd --zone=home --change-interface=eth0
1[secondary_label Output]
2success
<$>[注] 注: 每当您将接口移动到一个新的区域时,请注意您正在修改哪些服务将运行。在这种情况下,您正在移动到 home 区域,该区域有 SSH 可用,这意味着您的连接不应该下降。
您可以通过再次检查活跃区域来验证这是成功的:
1firewall-cmd --get-active-zones
1[secondary_label Output]
2home
3 interfaces: eth0
4public
5 interfaces: eth1
调整默认区域
如果您的所有接口都可以通过一个预定义的区域处理得很好,您应该将该区域指定为默认区域。您可以使用 --set-default-zone= 参数更改默认区域。
1sudo firewall-cmd --set-default-zone=home
1[secondary_label Output]
2success
步骤4:为您的应用程序设置规则
让我们通过定义防火墙例外的方式运行。
将服务添加到您的区域
最简单的方法是将您需要的服务或端口添加到您正在使用的区域,您可以通过使用 --get-services 选项的 `firewall-cmd' 获取可用的服务定义列表:
1firewall-cmd --get-services
1[secondary_label Output]
2RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-api kube-apiserver kube-control-plane kube-controller-manager kube-scheduler kubelet-worker ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd netbios-ns nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wireguard wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
<$>[注]
注: 您可以通过在 /usr/lib/firewalld/services 目录中查看其相关的 .xml` 文件来获取有关每个服务的更多细节。
1[label /usr/lib/firewalld/services/ssh.xml]
2<?xml version="1.0" encoding="utf-8"?>
3<service>
4 <short>SSH</short>
5 <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
6 <port protocol="tcp" port="22"/>
7</service>
美元
您可以使用 --add-service= 参数启用一个区域的服务。该操作将瞄准默认区域,或任何由 --zone= 参数指定的区域。默认情况下,这只会调整当前的防火墙会话,并且不会持续到服务重新启动或重新启动之后。
例如,如果您运行的是服务于常规 HTTP 流量的 Web 服务器,您可以暂时允许该流量用于您 **公共 ** 区域中的接口:
1sudo firewall-cmd --zone=public --add-service=http
您可以通过使用--list-all或--list-services操作来验证操作成功:
1sudo firewall-cmd --zone=public --list-services
1[secondary_label Output]
2cockpit dhcpv6-client http ssh
一旦你测试了一切正常工作,你可以修改永久性防火墙规则,以便你的服务在重新启动后仍然可用。
1sudo firewall-cmd --zone=public --add-service=http --permanent
1[secondary_label Output]
2success
或者,您可以使用 - runtime-to-permanent旗帜将当前正在运行的防火墙配置保存到永久配置中:
1sudo firewall-cmd --runtime-to-permanent
要小心这个选项,因为对正在运行的防火墙所做的所有更改都将永久执行。
无论您选择哪种方法,您可以通过在--list-services操作中添加--permanent标志来验证它是否成功,您需要在任何--permanent操作中使用sudo:
1sudo firewall-cmd --zone=public --list-services --permanent
1[secondary_label Output]
2cockpit dhcpv6-client http ssh
如果您的 Web 服务器配置使用 SSL/TLS,您还需要添加https服务。
1sudo firewall-cmd --zone=public --add-service=https
2sudo firewall-cmd --zone=public --add-service=https --permanent
防火墙安装中包含的服务代表了您可能需要允许访问的许多最常见的应用程序,然而,可能会出现情况,这些服务不符合您的需求。
在这种情况下,你有两个选择。
为您的区域打开一个港口
添加对特定应用程序的支持的最简单的方法是打开它在相应区域(s)中使用的端口,通过指定端口或端口范围以及关联的协议(TCP 或 UDP)来完成此操作。
例如,如果您的应用程序运行在端口 5000 并使用 TCP,您可以暂时将其添加到公共区域,使用--add-port=参数。
1sudo firewall-cmd --zone=public --add-port=5000/tcp
1[secondary_label Output]
2success
您可以通过--list-ports操作验证此操作是否成功:
1sudo firewall-cmd --zone=public --list-ports
1[secondary_label Output]
25000/tcp
例如,如果您的应用程序使用 UDP 端口 4990 到 4999,您可以通过键入以下方式在 public 上打开这些端口:
1sudo firewall-cmd --zone=public --add-port=4990-4999/udp
测试后,您可以将它们添加到永久性防火墙中,使用sudo firewall-cmd --runtime-to-permanent,或使用--permanent旗下重新启动命令:
1sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
2sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
3sudo firewall-cmd --zone=public --permanent --list-ports
1[secondary_label Output]
2success
3success
45000/tcp 4990-4999/udp
定义一个服务
为您的区域打开端口是一个简单的解决方案,但很难跟踪每个端口的用途. 如果您在您的服务器上终止服务,您可能会难以清单已打开的端口仍然需要。
服务是具有相关名称和描述的端口集合。使用服务管理您的防火墙通常比绘制端口更易维护,但需要一些初始配置。您可以开始将现有的脚本复制到 /usr/lib/firewalld/services 中的 /etc/firewalld/services 目录中,在那里防火墙寻找非标准定义。
例如,您可以复制 SSH 服务定义,以用于您的 example 服务定义,如下。
1sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml
打开文件,使用vi或您最喜欢的文本编辑器:
1sudo vi /etc/firewalld/services/example.xml
首先,该文件将包含您复制的 SSH 定义:
1[label /etc/firewalld/services/example.xml]
2<?xml version="1.0" encoding="utf-8"?>
3<service>
4 <short>SSH</short>
5 <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
6 <port protocol="tcp" port="22"/>
7</service>
这个定义的绝大多数实际上是元数据. 您应该在<short>标签中更改服务的简称。 这是您的服务的可读名称。 您还应该添加一个描述,以便您有更多的信息,如果您需要对服务进行审计。 您需要做的唯一的配置,这实际上会影响服务的功能,可能是您识别要打开的端口号和协议的端口定义。
对于您的示例服务,想象一下,您需要为 TCP 打开端口 7777 和为 UDP 打开端口 8888。
1[label /etc/firewalld/services/example.xml]
2<?xml version="1.0" encoding="utf-8"?>
3<service>
4 <short>Example Service</short>
5 <description>This is just an example service. It probably shouldn't be used on a real system.</description>
6 <port protocol="tcp" port="7777"/>
7 <port protocol="udp" port="8888"/>
8</service>
保存并关闭文件。
重新加载您的防火墙以访问您的新服务:
1sudo firewall-cmd --reload
您可以看到它现在在可用的服务列表中:
1firewall-cmd --get-services
1[secondary_label Output]
2RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server example finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-api kube-apiserver kube-control-plane kube-controller-manager kube-scheduler kubelet-worker ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd netbios-ns nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wireguard wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
您现在可以像通常一样在您的区域使用此服务。
步骤五:创建自己的区域
虽然预定义区域应该适用于大多数用户,但可以有助于定义自己的区域,这些区域更描述它们的功能。
例如,您可能需要为您的 Web 服务器创建一个区域,称为publicweb。然而,您可能需要为您在私人网络上提供的 DNS 服务配置另一个区域。
当您添加一个区域时,您必须将其添加到永久性防火墙配置中,然后您可以重新加载以将该配置带入您的运行会话中,例如,您可以使用防火墙-cmd – new-zone创建这两个区域:
1sudo firewall-cmd --permanent --new-zone=publicweb
2sudo firewall-cmd --permanent --new-zone=privateDNS
您可以通过键入来验证它们是否存在于您的永久配置中:
1sudo firewall-cmd --permanent --get-zones
1[secondary_label Output]
2block dmz drop external home internal nm-shared privateDNS public publicweb trusted work
重新加载防火墙,将这些新区域带入活跃运行时间配置:
1sudo firewall-cmd --reload
2firewall-cmd --get-zones
1[secondary_label Output]
2block dmz drop external home internal nm-shared privateDNS public publicweb trusted work
现在,您可以开始将适当的服务和端口分配给您的区域。 通常,调整运行时防火墙,然后在测试后将这些更改保存到永久配置中是一个好主意。
1sudo firewall-cmd --zone=publicweb --add-service=ssh
2sudo firewall-cmd --zone=publicweb --add-service=http
3sudo firewall-cmd --zone=publicweb --add-service=https
4sudo firewall-cmd --zone=publicweb --list-all
1[secondary_label Output]
2publicweb
3 target: default
4 icmp-block-inversion: no
5 interfaces:
6 sources:
7 services: http https ssh
8 ports:
9 protocols:
10 forward: no
11 masquerade: no
12 forward-ports:
13 source-ports:
14 icmp-blocks:
15 rich rules:
然后您可以将 DNS 服务添加到您的privateDNS区域:
1sudo firewall-cmd --zone=privateDNS --add-service=dns
2sudo firewall-cmd --zone=privateDNS --list-all
1[secondary_label Output]
2privateDNS
3 target: default
4 icmp-block-inversion: no
5 interfaces:
6 sources:
7 services: dns
8 ports:
9 protocols:
10 forward: no
11 masquerade: no
12 forward-ports:
13 source-ports:
14 icmp-blocks:
15 rich rules:
然后,您可以更改我们的界面到这些新区域来测试它们:
1sudo firewall-cmd --zone=publicweb --change-interface=eth0
2sudo firewall-cmd --zone=privateDNS --change-interface=eth1
在此时,您有机会测试您的配置. 如果这些值为您工作,您应该将这些规则添加到永久配置中. 您可以通过重新运行所有命令,附有--永久旗,但在这种情况下,您将使用--运行时间到永久旗来永久保存整个运行时间配置:
1sudo firewall-cmd --runtime-to-permanent
永久应用这些规则后,重新加载防火墙,以测试变化是否存在:
1sudo firewall-cmd --reload
验证已分配正确的区域:
1firewall-cmd --get-active-zones
1[secondary_label Output]
2privateDNS
3 interfaces: eth1
4publicweb
5 interfaces: eth0
并验证为两个区域提供适当的服务:
1sudo firewall-cmd --zone=publicweb --list-services
1[secondary_label Output]
2http https ssh
1sudo firewall-cmd --zone=privateDNS --list-services
1[secondary_label Output]
2dns
您已经成功设置了自己的区域! 要使这些区域中的一个成为其他接口的默认值,请记住用 --set-default-zone= 参数配置该行为:
1sudo firewall-cmd --set-default-zone=publicweb
结论
您现在应该对如何在您的 Rocky Linux 系统上管理防火墙服务进行日常使用有相当彻底的了解。
防火墙服务允许您配置可维护的规则和规则集,以考虑您的网络环境。它允许您通过使用区域无缝地在不同的防火墙策略之间过渡。
有关 firewalld 的更多信息,请参阅 官方 firewalld 文档。