Linux网络服务之firewalld防火墙

1.前言

​ 上一篇文章中（Linux防火墙）我们主要介绍了防火墙的概念，主要针对软件防火墙（Linux防火墙）进行详细介绍。本文主要将对Centos7系统中的firewalld防火墙进行相关阐述。

为肥城等地区用户提供了全套网页设计制作服务，及肥城网站建设行业解决方案。主营业务为成都网站建设、做网站、肥城网站设计，以传统方式定制建设网站，并提供域名空间备案等一条龙服务，秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求，就会得到认可，从而选择与我们长期合作。这样，我们也可以走得更远！

2.firewalld防火墙与iptables防火墙联系与区别

​ firewalld防火墙是Centos7版本系统默认的防火墙管理工具，取代了iptables防火墙，与iptables防火墙一样也属于典型的包过滤防火墙或称之为网络层防火墙，都属于用户态（又称用户空间（User Space）），内部结构都指向netfilter这一强大的网络过滤子系统（属于内核态），用以实现包过滤防火墙的功能。

主要区别如下：

	Firewalld	iptables
配置文件	/etc/firewalld/、/usr/lib/firewalld/	/etc/sysconfig/iptables
对规则的修改	不需要全部刷新策略，不丢失现行连接	需要全部刷新策略，丢失连接
防火墙类型	动态	静态

​ firewalld的优点在于支持动态更新以及加入了防火墙的“zone”概念，firewalld防火墙同时支持ipv4和ipv6地址。

​ 本文将分别从字符管理工具和图形化管理工具介绍firewalld防火墙。

3.区域的概念

​

区域	描述
drop（丢失）	任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络练连接
block（限制）	任何接收的网络连接都被IPv4的icmp-host-prohibited信息和icmp6-adm-prohibited信息所拒绝
public (公共)	在公共区域内使用，不能相信网络内的其他计算机不会对您的计算机造成危害，只能接收经过选取的连接
external (外部)	特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算，不能相信它们不会对您的计算机造成危害，只能接收经过选择的连接
dmz (非军事区)	用于您的非军事区内的电脑，此区域内可公开访问，可以有限地进入您的内部网络，仅仅接收经过选择的连接
work (工作)	用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接用于家庭网络。
home (家庭)	您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接
internal (内部)	用于内部网络。您可以基本上信任网络内的其他计算机不会危害您的计算机。仅仅接受经过选择的连接
trusted (信任)	可接受所有的网络连接

4.Firewalld网络区域

区域介绍

（1）区域如同进入主机的安全门，每个区域都具有不同限制程度的规则
（2）可以使用一个人或多个区域，但是任何一个活跃区域至少需要关联源地址或接口
（3）默认情况下，public区域是默认区域，包含所有接口（网卡）

Firewalld数据处理流程

检查数据来源的源地址
（1）若源地址关联到特定的区域，则执行该区域所指定的规则
（2）若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则。
（3）若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

5.Firewalld防火墙的配置方法

运行时配置

（1）实时生效，并持续至Firewalld重新启动或重新加载配置
（2）不中断现有连接
（3）不能修改服务配置

永久配置

（1）不立即生效。除非Firewalld重新启动或重新加载配置
（2）中断现有连接
（3）可以修改服务配置

6.具体操作实例

Firewall-config图形工具与Firewall-cmd命令行工具都可以对其进行设置
/etc/firewalld/中的配置文件

Firewalld会优先使用/etc/firewalld/中的配置，如果不存在配置文件则使用/usr/lib/firewalld/ 中的配置

• /etc/firewalld/ :用户自定义配置文件，需要时可通过从/usr/ib/firewalld/中拷贝
• /usr/lib/firewalldl: 默认配置文件,不建议修改，若恢复至默认配置，可直接删除/etc/firewalld/中的配置

[root@localhost ~]# cd /etc/firewalld/
[root@localhost firewalld]# ls
firewalld.conf  icmptypes  lockdown-whitelist.xml  zones
helpers         ipsets     services
[root@localhost firewalld]# cd /usr/lib/firewalld/
[root@localhost firewalld]# ls
helpers  icmptypes  ipsets  services  xmlschema  zones

1）防火墙的启动停止查看命令

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl start firewalld
[root@localhost ~]# systemctl enable firewalld  //开机自启动
[root@localhost ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since 二 2019-12-10 18:40:56 CST; 32s ago
     Docs: man:firewalld(1)
 Main PID: 53010 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─53010 /usr/bin/python -Es /usr/sbin/firewalld --nofork --no...

12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
12月 10 18:40:56 localhost.localdomain firewalld[53010]: WARNING: COMMA...
Hint: Some lines were ellipsized, use -l to show in full.
[root@localhost ~]# firewall-cmd --state   //cmd设置
running 
root@localhost ~]# systemctl stop firewalld //停止 firewalld 
[root@localhost ~]#systemctl disable firewalld //设置 firewalld 开机不自启动

2）下面我们结合图形化界面管理工具（firewall-config）来对照验证使用命令行操作（firewall-cmd）

首先，我们在命令行输入firewall-config将会弹出如下的窗口界面：

1.获取预定义信息

firewall-cmd 预定义信息主要包括三种：可用的区域、可用的服务以及可用的 ICMP 阻塞类型，具体的查看命令如下所示。

[root@localhost ~]# firewall-cmd --get-zones //显示预定义的区域 
work drop internal external trusted home dmz public block 
[root@localhost ~]# firewall-cmd --get-service //显示预定义的服务 
RH-Satellite-6 amanda-client amanda-k5-client baculabacula-client cephceph
mondhcp dhcpv6 dhcpv6-client dnsdocker-registry dropbox-lansyncfreeipa-ldap 
freeipa-ldapsfreeipa-replication ftp high-availability http https imapimaps 
ippipp-clientipseciscsi-target kadminkerberoskpasswdldapldapslibvirt 
libvirt-tlsmdns mosh mountdms-wbtmysqlnfsntpopen***pmcdpmproxypmwebapi 
pmwebapis pop3 pop3s postgresqlprivoxy proxy-dhcpptppulseaudiopuppetmaster 
radiusrpc-bindrsyncd samba samba-client sane smtpsmtpssnmpsnmptrap squid ssh 
synergy syslog syslog-tls telnet tftptftp-client tinc tor-socks transmission
clientvdsmvnc-serverwbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server 
[root@localhost ~]# firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型 
destination-unreachable echo-reply echo-request parameter-problem redirect router 
-advertisement router-solicitation source-quench time-exceeded timestamp-reply 
timestamp-request

firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。
 destination-unreachable：目的地址不可达。
 echo-reply：应答回应（pong）。
 parameter-problem：参数问题。
 redirect：重新定向。
 router-advertisement：路由器通告。
 router-solicitation：路由器征寻。
 source-quench：源端抑制。
 time-exceeded：超时。
 timestamp-reply：时间戳应答回应。
 timestamp-request：时间戳请求。

2.区域管理

--get-default-zone 显示网络连接或接口的默认区域

--set-default-zone= 设置网络连接或接口的默认区域

--get-active-zones 显示已激活的所有区域

--get-zone-of-interface= 显示指定接口绑定的区域

--zone= --add-interface= 为指定接口绑定区域

--zone=

--change-interface=

为指定的区域更改绑定的网络接口

--zone=

--remove-interface=

为指定的区域删除绑定的网络接口

--list-all-zones 显示所有区域及其规则

[--zone=] --list-all 显示所有指定区域的所有规则，省略--zone=时表示仅

对默认区域操作

具体操作如下所示。

（1）显示当前系统中的默认区域。

[root@localhost ~]# firewall-cmd --get-default-zone

public

（2）显示默认区域的所有规则。

[root@localhost ~]# firewall-cmd --list-all

public (active)

target: default

icmp-block-inversion: no

interfaces: ens33

sources:

services: dhcpv6-client ssh

ports:

protocols:

masquerade: no

forward-ports:

sourceports:

icmp-blocks:

rich rules:

（3）显示网络接口 ens33 对应区域。

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33

public

（4）将网络接口 ens33 对应区域更改为 internal 区域。

[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33

The interface is under control of NetworkManager, setting zone to 'internal'.

success

[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces

ens33

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33

internal

（5）显示所有激活区域。

[root@localhost ~]# firewall-cmd --get-active-zones

internal

interfaces: ens33

4）服务管理

为 了 方 便 管 理 ， firewalld 预 先 定 义 了 很 多 服 务 ， 存 放 在

/usr/lib/firewalld/services/ 目录中，服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名：service-name.xml，每个文件对应一项具体的网络服务，如 ssh 服

务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的

firewalld 中默认已经定义了 70 多种服务供我们使用，对于每个网络区域，均可以配置允

许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时，我们需要将

service 配置文件放置在 /etc/firewalld/services/ 目录中。service 配置具有以下优点。

Ø 通过服务名字来管理规则更加人性化。

Ø 通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服

务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。

表 1-3 列出了 firewall-cmd 命令区域中服务管理的常用选项说明。

表 1-3 firewall-cmd 命令区域中服务管理的常用选项说明

选项 说明

[--zone=] --list-services 显示指定区域内允许访问的所有服务

[--zone=] --add-service= 为指定区域设置允许访问的某项服务

[--zone=] --remove-service= 删除指定区域已设置的允许访问的某项服务

[--zone=] --list-ports 显示指定区域内允许访问的所有端口号

[--zone=]

--add-port=[-]/

为指定区域设置允许访问的某个/某段端口号

（包括协议名）

[--zone=]

--remove-port=[-]/

删除指定区域已设置的允许访问的端口号（包括

协议名）

[--zone=] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型

[--zone=] --add-icmp-block= 为指定区域设置拒绝访问的某项 ICMP 类型

[--zone=] --remove-icmp-block= 删除指定区域已设置的拒绝访问的某项 ICMP 类

型，省略--zone=时表示对默认区域操作

具体操作如下所示。

（1）为默认区域设置允许访问的服务。

[root@localhost ~]# firewall-cmd --list-services

ssh dhcpv6-client //显示默认区域内允许访问的所有服务

[root@localhost ~]# firewall-cmd --add-service=http

//设置默认区域允许访问 http 服务success 在图形化界面中会发现public中HTTP服务打上了√了。

[root@localhost ~]#firewall-cmd --add-service=https

//设置默认区域允许访问 https 服务

success

[root@localhost ~]# firewall-cmd --list-services

dhcpv6-clientssh https http

（2）为 internal 区域设置允许访问的服务。

[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql

//设置 internal 区域允许访问 mysql 服务

success

[root@localhost~]#firewall-cmd --zone=internal --remove-service=samba-client

//设置 internal 区域不允许访问 samba-client 服务

success

[root@localhost ~]# firewall-cmd --zone=internal --list-services

//显示 internal 区域内允许访问的所有服务

sshmdns dhcpv6-client mysql

5）端口管理

在进行服务配置时，预定义的网络服务可以使用服务名配置，服务所涉及的端口就会自

动打开。但是，对于非预定义的服务只能手动为指定的区域添加端口。例如，执行以下操作

即可实现在 internal 区域打开 443/TCP 端口。

[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp

success

若想实现在 internal 区域禁止 443/TCP 端口访问，可执行以下命令。

[root@localhost ~]#firewall-cmd --zone=internal --remove-port=443/tcp

success

6）两种配置模式

前面提到 firewall-cmd 命令工具有两种配置模式：运行时模式（Runtime mode）表示

当前内存中运行的防火墙配置，在系统或 firewalld 服务重启、停止时配置将失效；永久模

式（Permanent mode）表示重启防火墙或重新加载防火墙时的规则配置，是永久存储在配置

文件中的。

firewall-cmd 命令工具与配置模式相关的选项有三个。

Ø --reload：重新加载防火墙规则并保持状态信息，即将永久配置应用为运行时配置。

Ø --permanent：带有此选项的命令用于设置永久性规则，这些规则只有在重新启动

firewalld 或重新加载防火墙规则时才会生效；若不带有此选项，表示用于设置运行时

规则。

--runtime-to-permanent：将当前的运行时配置写入规则配置文件中，使之成为永久性

7.总结

本文主要讲述了firewalld的相关概念与具体的配置设置，环境为Centos7。

另外有需要云服务器可以了解下创新互联cdcxhl.cn，海内外云服务器15元起步，三天无理由+7*72小时售后在线，公司持有idc许可证，提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案，具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

网站名称：Linux网络服务之firewalld防火墙-创新互联
链接分享：http://scyingshan.cn/article/pjseh.html