Firewalld 防火墙

一 Firewalld

1.1 介绍

firewalld 是 CentOS 7.0 新推出的管理 netfilter 的用户空间软件工具，也被 ubuntu18.04 版以上所支持 (apt install firewalld)

firewalld 是配置和监控防火墙规则的系统守护进程，可以实现 iptables，ip6tables，ebtables 的功能。

firewalld 服务由 firewalld 包提供。

firewalld 中有多个系统自带的 Zone，每个zone都对应不同的防火墙规则，使用不同的 Zone，就表示使用不同的防火墙规则，每个Zone的具体规则可以进行修改，也可以自定义Zone。

firewalld 中自带的 Zone

        

Zone	含义说明	用途
block	所有传入的网络连接都会被拒绝，并且会返回一个 ICMP 主机禁止的消息。	用于完全阻止所有传入流量，通常用于高度不信任的网络环境。
dmz	DMZ（Demilitarized Zone，非军事区）区域，通常用于放置对外公开的服务（如 Web 服务器），这些服务需要从外部网络访问，但需要与内部网络隔离。	用于保护内部网络，同时允许外部访问特定的服务。
drop	所有传入的网络连接都会被静默丢弃，不会返回任何响应。	用于完全阻止所有传入流量，但不返回任何信息，通常用于防止网络探测和攻击。
external	用于外部网络，通常用于连接到互联网。允许特定的传入流量（如 SSH），但大多数其他流量会被拒绝。	用于连接到外部网络（如互联网），同时保护内部网络。
home	用于家庭网络环境，允许信任的设备（如家庭电脑、打印机等）之间的通信。	用于家庭网络，允许内部设备之间的通信，同时限制外部访问。
internal	用于内部网络环境，允许信任的设备之间的通信。	用于内部网络，允许内部设备之间的通信，同时限制外部访问。
public	用于公共网络环境，如咖啡馆、机场等。默认情况下，大多数传入流量会被拒绝，只允许特定的服务（如 SSH）。	用于不信任的公共网络，保护系统免受外部攻击
trusted	所有传入和传出的网络连接都被允许。	用于完全信任的网络环境，通常用于内部网络或完全信任的设备。
work	用于工作环境，允许信任的设备之间的通信，但限制外部访问。	用于工作网络，允许内部设备之间的通信，同时限制外部访问。

        

#CentOS8中开启firewalld 服务，用 iptables -L 看不到规则
[root@rocky86 ~]# systemctl start firewalld

[root@rocky86 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

#CentOS7中可以看到
[root@c7 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

#开启服务
[root@c7 ~]# systemctl start firewalld

#再次查看
[root@c7 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
INPUT_direct all -- anywhere anywhere
INPUT_ZONES_SOURCE all -- anywhere anywhere
INPUT_ZONES all -- anywhere anywhere
DROP all -- anywhere anywhere ctstate INVALID
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
FORWARD_direct all -- anywhere anywhere
FORWARD_IN_ZONES_SOURCE all -- anywhere anywhere
......

firewalld 三种配置方法：

• firewall-config 图形工具：需要安装 firewall-config 包

• firewall-cmd 命令行工具：来自于 firewalld 包，默认已安装

• /etc/firewalld/* 配置文件：一般不直接修改配置文件来管理 firewalld

1.2 firewall-config 工具

#安装[root@c7 ~]# yum install -y firewall-config
#要依赖本地主机的图形化软件[root@c7 ~]# firewall-config(firewall-config:2510): Gtk-WARNING **: 15:54:23.016: cannot open display:

在物理机上开启 Xmanager - Passive，右下角能看到一个小图标，如果本机没有 Xmanager，则需要先安装

        

        

firewall-config 图形界面

        

        

测试：

        

#访问 centOS7上的 WEB服务不通
[root@rocky86 ~]# curl 10.0.0.178
curl: (7) Failed to connect to 10.0.0.178 port 80: No route to host

#但可以PING通
[root@rocky86 ~]# ping 10.0.0.178 -c1
PING 10.0.0.178 (10.0.0.178) 56(84) bytes of data.
64 bytes from 10.0.0.178: icmp_seq=1 ttl=64 time=0.574 ms
--- 10.0.0.178 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.574/0.574/0.574/0.000 ms

        

在图形界面上勾选 http 服务，再次测试：

        

[root@rocky86 ~]# curl 10.0.0.178
<h1>this page from 10.0.0.178-cenOS7</h1

这种勾选是临时生效(Runtime)，无法永久保存，重启 firewalld 服务之后，http 服务的勾选会消失。

如果需要永久保存，将 configuration 切到 Permanent 再进行编辑，然后 reload firewalld 生效。

另外，也可以将 Runtime 中的规则保存到 Permanent 中。

        

        

 在Xshell中还可以用以下方式来配置转发图形窗口

       

        

        

在MobaXterm中使用图形化工具 

   

yum install xorg-x11-xauth xorg-x11-fonts-* xorg-x11-font-utils xorg-x11-fonts-Type1

 1.3 firewall-cmd 工具

firewall-cmd 是 firewalld 服务的命令行编辑工具

firewall-cmd [OPTIONS...]

#常用选项

--state #查看服务运行状态

--reload #重载，修改后只是在当前运行环境下生效，如果想还原回去之前的配置，可以使用此选项

--complete-reload #完全重载

--runtime-to-permanent #将当前运行状态的配置永久保存

--check-config #检查规则配置是否出错

--get-log-denied #显示日记记录规则
--set-log-denied= #设置日志记录规则 all|unicast|broadcast|multicast|off

--permanent #设置永久生效规则时加上此项，如果没有此项，则更改的都是临时生效规则


--get-default-zone #显示默认使用的 zone
--set-default-zone= #设置默认zone

--get-active-zones #显示当前使用中的 zone及对应的设备


--get-services #显示所有己定义的 services,每一个 services 对应一个或多个端口规则，多个 service 组成 zone
例：firewall-cmd --get-service | tr ' ' '\n'

--get-icmptypes #显示icmp协议类型
例：firewall-cmd --get-icmptypes | tr ' ' '\n'

--get-zone-of-interface= #显示指定设备的 zone

--list-all-zones #列出每个zone中的所有规则

--new-zone= #添加一个新的zone

--new-zone-from-file= #从指定文件中读取规则，添加新zone

--delete-zone= #删除指定zone

--zone= #指定zone,配合其它选项

--info-zone= #查看指定zone运行情况

--new-service= #添加一个新的 service

--new-service-from-file= #从文件中添加一个新的 serivce

--list-services #显示所有 service

--delete-service= #删除 service

--info-service= #输出 info 相关信息

--change-interface= #指定要修改的设备，与其它项一起配合使用







#查看服务当前运行状态
[root@rocky86 ~]# firewall-cmd --state
running

#检查配置
[root@rocky86 ~]# firewall-cmd --check-config
success

#查看默认 Zone
[root@rocky86 ~]# firewall-cmd --get-default-zone
public

#显示当前默认的zone中的 service
[root@rocky86 ~]# firewall-cmd --list-services
cockpit dhcpv6-client ssh

#结果同上一条
[root@rocky86 ~]# firewall-cmd --zone=public --list-services
cockpit dhcpv6-client ssh

#显示指定zone中的 service
[root@rocky86 ~]# firewall-cmd --zone=home --list-services
cockpit dhcpv6-client mdns samba-client ssh

#显示所有 zones
[root@rocky86 ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt nm-shared public trusted work

#显示当前正在使用的 zone
[root@rocky86 ~]# firewall-cmd --get-active-zones
block
interfaces: eth0 eth1 #生效的网络设备

#显示zone中的自定义规则
[root@rocky86 ~]# firewall-cmd --zone=block --list-ports
8080/tcp

#显示工作在指定设备上的 zone
[root@rocky86 ~]# firewall-cmd --get-zone-of-interface=eth0
block






查看 services
#查看所有可用 services
[root@rocky86 ~]# firewall-cmd --get-services
RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps
apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet
bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit ......

#查看 service 详细信息
[root@rocky86 ~]# firewall-cmd --info-service=ssh
ssh
  ports: 22/tcp
  protocols:
  source-ports:
  modules:
  destination:
  includes:
  helpers:

#查看 service 描述信息
[root@rocky86 ~]# firewall-cmd --permanent --service=ssh --get-description
Secure Shell (SSH) is a protocol for logging into and executing commands on
remote machines. It provides secure encrypted communications. If you plan on
accessing your machine remotely via SSH over a firewalled interface, enable this
option. You need the openssh-server package installed for this option to be useful.

#查看 service 简略描述
[root@rocky86 ~]# firewall-cmd --permanent --service=ssh --get-short
SSH

#查看 service 端口
[root@rocky86 ~]# firewall-cmd --permanent --service=ssh --get-ports
22/tcp







查看详细信息
#查看默认Zone中的所有内容
[root@rocky86 ~]# firewall-cmd --list-all
block (active)
  target: %%REJECT%% #目标
  icmp-block-inversion: no #决定 icmp-blocks
  interfaces: eth0 eth1 #生效的网络设备
  sources: #来源，IP或MAC
  services: http ssh #放行的服务
  ports: #允许的目标端口，即本地开放的端口
  protocols: #允许通过的协议
  forward: no #允许转发的端口
  masquerade: no #是否允许伪装（yes/no），可改写来源IP地址及mac地址
  forward-ports: #允许转发的端口
  source-ports: #允许的源端口
  icmp-blocks: #ICMP类型，配合 icmp-block-inversion=no/yes一起使用
  rich rules: #富规则

#查看指定zone中的所有内容
[root@rocky86 ~]# firewall-cmd --list-all --zone=block
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces:
  sources:
  services:
  ports: 22/tcp
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

#查看所有 zone 的详细规则
[root@rocky86 ~]# firewall-cmd --list-all-zones
block (active)
......
......
dmz
......
......
drop
......
......






修改默认 Zone
#查看默认 zone
[root@rocky86 ~]# firewall-cmd --get-default-zone
public

#修改默认zone
[root@rocky86 ~]# firewall-cmd --set-default-zone=block
success

#再次查看，修改成功
[root@rocky86 ~]# firewall-cmd --get-default-zone
block

#block Zone 中没有任何开启的服务
[root@rocky86 ~]# firewall-cmd --list-services

#在Windows下测试，SSH无法连接，但己连接的不受影响
[C:\~]$ ssh root@10.0.0.157
Connecting to 10.0.0.157:22...
Could not connect to '10.0.0.157' (port 22): Connection failed.

#WEB服务不可用
C:\Users\44301>curl 10.0.0.157
curl: (28) Failed to connect to 10.0.0.157 port 80 after 21022 ms: Timed out




修改指定设备的zone
[root@rocky86 ~]# firewall-cmd --get-zone-of-interface=eth0
public

[root@rocky86 ~]# firewall-cmd --change-interface=eth0 --zone=block
success

[root@rocky86 ~]# firewall-cmd --get-zone-of-interface=eth0
block








修改 Zone 中的 Service
#查看默认 zone
[root@rocky86 ~]# firewall-cmd --get-default-zone
block

#添加 ssh 服务，不指定 zone，表示加到默认zone中
[root@rocky86 ~]# firewall-cmd --add-service=ssh
success

#查看zone中的 service
[root@rocky86 ~]# firewall-cmd --list-service
ssh

#再次测试，SSH服务可用，但WEB服务不通
#添加 web 服务放行规则
[root@rocky86 ~]# firewall-cmd --zone=block --add-service=http
success

#再次查看
[root@rocky86 ~]# firewall-cmd --list-service
http ssh

#测试，WEB服务可用
C:\Users\44301>curl 10.0.0.157
<h1>test page from 10.0.0.157</h1>







增加非 service 规则

[root@rocky86 ~]# firewall-cmd --list-all
block (active)
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources:
  services: http ssh
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

[root@rocky86 ~]# firewall-cmd --zone=block --add-port=8080/tcp
success

[root@rocky86 ~]# firewall-cmd --zone=block --list-ports
8080/tcp

[root@rocky86 ~]# firewall-cmd --zone=block --list-all
block (active)
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources:
  services: http ssh
  ports: 8080/tcp
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

#修改nginx服务，新增监听8080端口，测试
C:\Users\44301>curl 10.0.0.157:8080
<h1>test page from 10.0.0.157</h1>

C:\Users\44301>curl 10.0.0.157
<h1>test page from 10.0.0.157</h1>






自定义 zones

#自定义zone必须要加 --permanent 选项
[root@rocky86 ~]# firewall-cmd --new-zone=test-zone
usage: see firewall-cmd man page
Option can be used only with --permanent.

[root@rocky86 ~]# firewall-cmd --permanent --new-zone=test-zone
success

#查看
[root@rocky86 ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt nm-shared public trusted work

[root@rocky86 ~]# firewall-cmd --permanent --get-zones
block dmz drop external home internal libvirt nm-shared public test-zone trusted work

#往zone 中添加 service
[root@rocky86 ~]# firewall-cmd --zone=test-zone --add-service=ssh
Error: INVALID_ZONE: test-zone

#需要先 reload
[root@rocky86 ~]# firewall-cmd --reload
success

#显示了刚新增的 test-zone
[root@rocky86 ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt nm-shared public test-zone trusted work

#往 zone 中增加 service
[root@rocky86 ~]# firewall-cmd --zone=test-zone --add-service=ssh
success

#查看
[root@rocky86 ~]# firewall-cmd --zone=test-zone --list-services
ssh








自定义 service
[root@rocky86 ~]# firewall-cmd --new-service=test-service
usage: see firewall-cmd man page
Option can be used only with --permanent.

#添加 service
[root@rocky86 ~]# firewall-cmd --permanent --new-service=test-service
success

#查看
[root@rocky86 ~]# firewall-cmd --get-services | grep test-service

[root@rocky86 ~]# firewall-cmd --permanent --get-services | grep test-service
test-service

#重载
[root@rocky86 ~]# firewall-cmd --reload
success

#设置service的desc
[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --setdescription="test desc"
success

#添加port
[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --addport=8080/tcp
success

[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --addport=8081/tcp
success

#查看 port
[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --get-ports
8080/tcp 8081/tcp

#查看 ports
[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --get-port
8080/tcp 8081/tcp

#添加 protocol
[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --addprotocol=stp
success

#查看
[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --get-protocol
stp




删除规则：
#删除protocol
[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --get-protocol
stp

[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --removeprotocol=stp
success

[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --get-protocol

#删除ports
[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --get-ports
8080/tcp 8081/tcp

[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --removeport=8080/tcp
success

[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --removeport=8081/tcp
success

[root@rocky86 ~]# firewall-cmd --permanent --service=test-service --get-ports

#删除 services
[root@rocky86 ~]# firewall-cmd --permanent --delete-service=test-service
success

[root@rocky86 ~]# firewall-cmd --permanent --info-service=test-service
Error: INVALID_SERVICE: test-service

[root@rocky86 ~]# firewall-cmd --info-service=test-service
test-service
  ports: 8080/tcp 8081/tcp
  protocols:
  source-ports:
  modules:
  destination:
  includes:
  helpers:

#reload
[root@rocky86 ~]# firewall-cmd --reload
success

[root@rocky86 ~]# firewall-cmd --info-service=test-service
Error: INVALID_SERVICE: test-service

#删除zone
[root@rocky86 ~]# firewall-cmd --permanent --delete-zone=test-zone
success

[root@rocky86 ~]# firewall-cmd --permanent --get-zones
block dmz drop external home internal libvirt nm-shared public trusted work

[root@rocky86 ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt nm-shared public test-zone trusted
work

#需要 reload
[root@rocky86 ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt nm-shared public trusted work

#己删除
[root@rocky86 ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt nm-shared public trusted work








持久化
[root@rocky86 ~]# firewall-cmd --add-service=http
success

[root@rocky86 ~]# firewall-cmd --list-services
cockpit dhcpv6-client http ssh

#重启服务
[root@rocky86 ~]# systemctl restart firewalld.service

#http service 丢失
[root@rocky86 ~]# firewall-cmd --list-services
cockpit dhcpv6-client ssh

#添加的时候使用 --permanent 选项，只保存，但当前不生效
[root@rocky86 ~]# firewall-cmd --permanent --add-service=http
success

#添加成功
[root@rocky86 ~]# firewall-cmd --list-services
cockpit dhcpv6-client ssh

#但当前状态看不到
[root@rocky86 ~]# firewall-cmd --permanent --list-services
cockpit dhcpv6-client http ssh

#reload 或 重启服务
[root@rocky86 ~]# systemctl restart firewalld.service

[root@rocky86 ~]# firewall-cmd --list-services
cockpit dhcpv6-client http ssh

#添加 https
[root@rocky86 ~]# firewall-cmd --add-service=https
success

#当前可见
[root@rocky86 ~]# firewall-cmd --list-services
cockpit dhcpv6-client http https ssh

#永久状态不可见
[root@rocky86 ~]# firewall-cmd --permanent --list-services
cockpit dhcpv6-client http ssh

#将当前状态永久保存
[root@rocky86 ~]# firewall-cmd --runtime-to-permanent
success

#查看
[root@rocky86 ~]# firewall-cmd --permanent --list-services
cockpit dhcpv6-client http https ssh

#重启
[root@rocky86 ~]# systemctl restart firewalld.service

#查看
[root@rocky86 ~]# firewall-cmd --list-services
cockpit dhcpv6-client http https ssh

1.4 firewall rich rule

当基本 firewalld 语法不能满足需求时，可以使用更为复杂的规则

rich rules：富规则

相对于基本的 firewalld 语法规则，rich 规则能实现更丰富的功能，比如拒绝/允许，日志，端口转发，伪装和限制速率等。

查看帮助信息：
[root@rocky86 ~]# man firewalld.richlanguage

firewall-cmd [OPTIONS...]

--list-rich-rules #列出 rich rule
--add-rich-rule= #添加 rich rule
--remove-rich-rule= #移除 rich rule
--query-rich-rule= #查询 rich rule

#具体rich rule 规则格式
rule [family] [priority] [source] [destination] service|port|... [log] [audit] [accept|reject|drop|mark]

rule #关键字，不可省略
[family] #当 source或 destination 使用 address 来指定时，必须使用此项，值为ipv4|ipv6
[priority] #定义优先级，值在
[source] #源地址 source [not] address="address[/mask]"|mac="macaddress"|ipset="ipset"
[destination] #目标 destination [not] address="address[/mask]"
service|port|... #过滤规则service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port
                 # service name="service name"
                 # port port="port value" protocol="tcp|udp"
                 # protocol value="protocol value"，支持的 protocol 见 /etc/protocols
                 # icmp-block name="icmptype name"，支持的值可用 firewall-cmd --get-icmptypes 命令查看
                 # icmp-type name="icmptype name"，支持的值可用 firewall-cmd --get-icmptypes 命令查看
                 # masquerade
                 # forward-port port="port" protocol="tcp|udp" to-port="port" to-addr="address"
                 # source-port port="port value" protocol="tcp|udp"
[log] #将被匹配到的数据记录到日志 log [prefix="prefix text"] [level="log level"] [limit value="rate/duration"]
[audit] #audit [limit value="rate/duration"]
[accept|reject|drop|mark]







拒绝指定IP所有请求
[root@rocky86 ~]# hostname -I
10.0.0.150

[root@rocky86 ~]# curl 10.0.0.157
<h1>test page from 10.0.0.157</h1>

#在10.0.0.157 上添加 rich rule
[root@rocky86 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source
address=10.0.0.150/32 reject'
success

[root@rocky86 ~]# firewall-cmd --list-rich-rules
rule family="ipv4" source address="10.0.0.150/32" reject

#再次访问
[root@rocky86 ~]# curl 10.0.0.157
curl: (7) Failed to connect to 10.0.0.157 port 80: Connection refused
[root@rocky86 ~]# ping 10.0.0.157
PING 10.0.0.157 (10.0.0.157) 56(84) bytes of data.
From 10.0.0.157 icmp_seq=1 Destination Port Unreachable
From 10.0.0.157 icmp_seq=2 Destination Port Unreachable
From 10.0.0.157 icmp_seq=3 Destination Port Unreachable
^C
--- 10.0.0.157 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2063ms





限制来自10.0.0.15 的 PING

[root@rocky86 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source
address=10.0.0.15/24 protocol value=icmp limit value=3/m accept'
success

[root@rocky86 ~]# firewall-cmd --list-rich-rules
rule family="ipv4" source address="10.0.0.15/24" protocol value="icmp" accept limit value="3/m"
rule family="ipv4" source address="10.0.0.15/24" reject

[root@rocky86 ~]# ping 10.0.0.14
PING 10.0.0.14 (10.0.0.157) 56(84) bytes of data.
From 10.0.0.14 icmp_seq=1 Destination Port Unreachable
From 10.0.0.14 icmp_seq=2 Destination Port Unreachable
From 10.0.0.14 icmp_seq=3 Destination Port Unreachable





查看

[root@rocky86 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 virbr0
  sources:
  services: cockpit dhcpv6-client http ssh
  ports:
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
      rule family="ipv4" source address="10.0.0.15/24" reject #富规则