标签 firewalld 下的文章

CentOS 7 上的 FirewallD 简明指南

rosehosting.com 发布于 2017-03-21
另请参阅: 系统运维,防火墙, firewalld
4 条评论

FirewallD 是 CentOS 7 服务器上默认可用的防火墙管理工具。基本上，它是 iptables 的封装，有图形配置工具 firewall-config 和命令行工具 firewall-cmd。使用 iptables 服务，每次改动都要求刷新旧规则，并且从 /etc/sysconfig/iptables 读取新规则，然而 firewalld 只应用改动了的不同部分。

FirewallD 的区域（ zone ）

FirewallD 使用服务（ service ）和区域（ zone ）来代替 iptables 的规则（ rule ）和链（ chain ）。

默认情况下，有以下的区域（ zone ）可用：

drop – 丢弃所有传入的网络数据包并且无回应，只有传出网络连接可用。
block — 拒绝所有传入网络数据包并回应一条主机禁止的 ICMP 消息，只有传出网络连接可用。
public — 只接受被选择的传入网络连接，用于公共区域。
external — 用于启用了地址伪装的外部网络，只接受选定的传入网络连接。
dmz — DMZ 隔离区，外部受限地访问内部网络，只接受选定的传入网络连接。
work — 对于处在你工作区域内的计算机，只接受被选择的传入网络连接。
home — 对于处在你家庭区域内的计算机，只接受被选择的传入网络连接。
internal — 对于处在你内部网络的计算机，只接受被选择的传入网络连接。
trusted — 所有网络连接都接受。

要列出所有可用的区域，运行：

# firewall-cmd --get-zones
work drop internal external trusted home dmz public block

列出默认的区域：

# firewall-cmd --get-default-zone
public

改变默认的区域：

# firewall-cmd --set-default-zone=dmz
# firewall-cmd --get-default-zone
dmz

FirewallD 服务

FirewallD 服务使用 XML 配置文件，记录了 firewalld 服务信息。

列出所有可用的服务：

# firewall-cmd --get-services
amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

XML 配置文件存储在 /usr/lib/firewalld/services/ 和 /etc/firewalld/services/ 目录下。

用 FirewallD 配置你的防火墙

作为一个例子，假设你正在运行一个 web 服务器，SSH 服务端口为 7022 ，以及邮件服务，你可以利用 FirewallD 这样配置你的服务器:

首先设置默认区为 dmz。

# firewall-cmd --set-default-zone=dmz
# firewall-cmd --get-default-zone
dmz

为 dmz 区添加持久性的 HTTP 和 HTTPS 规则：

# firewall-cmd --zone=dmz --add-service=http --permanent
# firewall-cmd --zone=dmz --add-service=https --permanent

开启端口 25 (SMTP) 和端口 465 (SMTPS) ：

firewall-cmd --zone=dmz --add-service=smtp --permanent
firewall-cmd --zone=dmz --add-service=smtps --permanent

开启 IMAP、IMAPS、POP3 和 POP3S 端口：

firewall-cmd --zone=dmz --add-service=imap --permanent
firewall-cmd --zone=dmz --add-service=imaps --permanent
firewall-cmd --zone=dmz --add-service=pop3 --permanent
firewall-cmd --zone=dmz --add-service=pop3s --permanent

因为将 SSH 端口改到了 7022，所以要移除 ssh 服务（端口 22），开启端口 7022：

firewall-cmd --remove-service=ssh --permanent
firewall-cmd --add-port=7022/tcp --permanent

要应用这些更改，我们需要重新加载防火墙：

firewall-cmd --reload

最后可以列出这些规则：

# firewall-cmd –list-all
dmz
target: default
icmp-block-inversion: no
interfaces:
sources:
services: http https imap imaps pop3 pop3s smtp smtps
ports: 7022/tcp
protocols:
masquerade: no
forward-ports:
sourceports:
icmp-blocks:
rich rules:

PS. 如果你喜欢这篇文章，请在下面留下一个回复。谢谢。

via: https://www.rosehosting.com/blog/set-up-and-configure-a-firewall-with-firewalld-on-centos-7/

译者简介：

Locez 是一个喜欢技术，喜欢折腾的 Linuxer，靠着对 Linux 的兴趣自学了很多 Linux 相关的知识，并且志在于为 Linux 在中国普及出一份力。

作者：rosehosting.com 译者：Locez 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国荣誉推出

CentOS 上的 FirewallD 简明指南

Linode 发布于 2017-01-07
另请参阅: 系统运维,安全, UFW, 防火墙, firewalld
5 条评论

FirewallD 是 iptables 的前端控制器，用于实现持久的网络流量规则。它提供命令行和图形界面，在大多数 Linux 发行版的仓库中都有。与直接控制 iptables 相比，使用 FirewallD 有两个主要区别：

FirewallD 使用区域和服务而不是链式规则。
它动态管理规则集，允许更新规则而不破坏现有会话和连接。

FirewallD 是 iptables 的一个封装，可以让你更容易地管理 iptables 规则 - 它并不是 iptables 的替代品。虽然 iptables 命令仍可用于 FirewallD，但建议使用 FirewallD 时仅使用 FirewallD 命令。

本指南将向您介绍 FirewallD 的区域和服务的概念，以及一些基本的配置步骤。

安装与管理 FirewallD

CentOS 7 和 Fedora 20+ 已经包含了 FirewallD，但是默认没有激活。可以像其它的 systemd 单元那样控制它。

1、启动服务，并在系统引导时启动该服务：

sudo systemctl start firewalld
sudo systemctl enable firewalld

要停止并禁用：

sudo systemctl stop firewalld
sudo systemctl disable firewalld

2、检查防火墙状态。输出应该是 running 或者 not running。

sudo firewall-cmd --state

3、要查看 FirewallD 守护进程的状态：

sudo systemctl status firewalld

示例输出

firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled)
   Active: active (running) since Wed 2015-09-02 18:03:22 UTC; 1min 12s ago
 Main PID: 11954 (firewalld)
   CGroup: /system.slice/firewalld.service
   └─11954 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

4、重新加载 FirewallD 配置：

sudo firewall-cmd --reload

配置 FirewallD

FirewallD 使用 XML 进行配置。除非是非常特殊的配置，你不必处理它们，而应该使用 firewall-cmd。

配置文件位于两个目录中：

/usr/lib/FirewallD 下保存默认配置，如默认区域和公用服务。避免修改它们，因为每次 firewall 软件包更新时都会覆盖这些文件。
/etc/firewalld 下保存系统配置文件。这些文件将覆盖默认配置。

配置集

FirewallD 使用两个配置集：“运行时”和“持久”。在系统重新启动或重新启动 FirewallD 时，不会保留运行时的配置更改，而对持久配置集的更改不会应用于正在运行的系统。

默认情况下，firewall-cmd 命令适用于运行时配置，但使用 --permanent 标志将保存到持久配置中。要添加和激活持久性规则，你可以使用两种方法之一。

1、将规则同时添加到持久规则集和运行时规则集中。

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=http

2、将规则添加到持久规则集中并重新加载 FirewallD。

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --reload

reload 命令会删除所有运行时配置并应用永久配置。因为 firewalld 动态管理规则集，所以它不会破坏现有的连接和会话。

防火墙的区域

“区域”是针对给定位置或场景（例如家庭、公共、受信任等）可能具有的各种信任级别的预构建规则集。不同的区域允许不同的网络服务和入站流量类型，而拒绝其他任何流量。首次启用 FirewallD 后，public 将是默认区域。

区域也可以用于不同的网络接口。例如，要分离内部网络和互联网的接口，你可以在 internal 区域上允许 DHCP，但在external 区域仅允许 HTTP 和 SSH。未明确设置为特定区域的任何接口将添加到默认区域。

要找到默认区域：

sudo firewall-cmd --get-default-zone

要修改默认区域：

sudo firewall-cmd --set-default-zone=internal

要查看你网络接口使用的区域：

sudo firewall-cmd --get-active-zones

示例输出：

public
  interfaces: eth0

要得到特定区域的所有配置：

sudo firewall-cmd --zone=public --list-all

示例输出：

public (default, active)
  interfaces: ens160
  sources:
  services: dhcpv6-client http ssh
  ports: 12345/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

要得到所有区域的配置：

sudo firewall-cmd --list-all-zones

示例输出：

block
  interfaces:
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

  ...

work
  interfaces:
  sources:
  services: dhcpv6-client ipp-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

与服务一起使用

FirewallD 可以根据特定网络服务的预定义规则来允许相关流量。你可以创建自己的自定义系统规则，并将它们添加到任何区域。默认支持的服务的配置文件位于 /usr/lib /firewalld/services，用户创建的服务文件在 /etc/firewalld/services 中。

要查看默认的可用服务：

sudo firewall-cmd --get-services

比如，要启用或禁用 HTTP 服务：

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --remove-service=http --permanent

允许或者拒绝任意端口/协议

比如：允许或者禁用 12345 端口的 TCP 流量。

sudo firewall-cmd --zone=public --add-port=12345/tcp --permanent
sudo firewall-cmd --zone=public --remove-port=12345/tcp --permanent

端口转发

下面是在同一台服务器上将 80 端口的流量转发到 12345 端口。

sudo firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=12345

要将端口转发到另外一台服务器上：

1、在需要的区域中激活 masquerade。

sudo firewall-cmd --zone=public --add-masquerade

2、添加转发规则。例子中是将本地的 80 端口的流量转发到 IP 地址为：123.456.78.9 的远程服务器上的 8080 端口。

sudo firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=123.456.78.9

要删除规则，用 --remove 替换 --add。比如：

sudo firewall-cmd --zone=public --remove-masquerade

用 FirewallD 构建规则集

例如，以下是如何使用 FirewallD 为你的服务器配置基本规则（如果您正在运行 web 服务器）。

将 eth0 的默认区域设置为 dmz。在所提供的默认区域中，dmz（非军事区）是最适合于这个程序的，因为它只允许 SSH 和 ICMP。

sudo firewall-cmd --set-default-zone=dmz
sudo firewall-cmd --zone=dmz --add-interface=eth0

2、把 HTTP 和 HTTPS 添加永久的服务规则到 dmz 区域中：

sudo firewall-cmd --zone=dmz --add-service=http --permanent
sudo firewall-cmd --zone=dmz --add-service=https --permanent

3、重新加载 FirewallD 让规则立即生效：

sudo firewall-cmd --reload

如果你运行 firewall-cmd --zone=dmz --list-all，会有下面的输出：

dmz (default)
  interfaces: eth0
  sources:
  services: http https ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

这告诉我们，dmz 区域是我们的默认区域，它被用于 eth0 接口中所有网络的源地址和端口。允许传入 HTTP（端口 80）、HTTPS（端口 443）和 SSH（端口 22）的流量，并且由于没有 IP 版本控制的限制，这些适用于 IPv4 和 IPv6。不允许IP 伪装以及端口转发。我们没有 ICMP 块，所以 ICMP 流量是完全允许的。没有丰富（ Rich ）规则，允许所有出站流量。

高级配置

服务和端口适用于基本配置，但对于高级情景可能会限制较多。丰富（ Rich ）规则和直接（ Direct ）接口允许你为任何端口、协议、地址和操作向任何区域添加完全自定义的防火墙规则。

丰富规则

丰富规则的语法有很多，但都完整地记录在 firewalld.richlanguage(5) 的手册页中（或在终端中 man firewalld.richlanguage）。使用 --add-rich-rule、--list-rich-rules 、 --remove-rich-rule 和 firewall-cmd 命令来管理它们。

这里有一些常见的例子：

允许来自主机 192.168.0.14 的所有 IPv4 流量。

sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.0.14 accept'

拒绝来自主机 192.168.1.10 到 22 端口的 IPv4 的 TCP 流量。

sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp reject'

允许来自主机 10.1.0.3 到 80 端口的 IPv4 的 TCP 流量，并将流量转发到 6532 端口上。

sudo firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=10.1.0.3 forward-port port=80 protocol=tcp to-port=6532'

将主机 172.31.4.2 上 80 端口的 IPv4 流量转发到 8080 端口（需要在区域上激活 masquerade）。

sudo firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 forward-port port=80 protocol=tcp to-port=8080 to-addr=172.31.4.2'

列出你目前的丰富规则：

sudo firewall-cmd --list-rich-rules

iptables 的直接接口

对于最高级的使用，或对于 iptables 专家，FirewallD 提供了一个直接（ Direct ）接口，允许你给它传递原始 iptables 命令。直接接口规则不是持久的，除非使用 --permanent。

要查看添加到 FirewallD 的所有自定义链或规则：

firewall-cmd --direct --get-all-chains
firewall-cmd --direct --get-all-rules

讨论 iptables 的具体语法已经超出了这篇文章的范围。如果你想学习更多，你可以查看我们的 iptables 指南。

为你的 Linux 服务器加把锁

Steven J. Vaughan-Nichols 发布于 2016-12-25
另请参阅: 系统运维,安全, UFW, 防火墙, iptables, firewalld
3 条评论

无论你使用的哪种 Linux 发行版，你都需要使用基于 iptables 的防火墙来保护它。

啊哈！你已经设置好了你的第一台 Linux 服务器并且已经准备发车了！是么？嗯，慢着。

默认情况下，你的 Linux 系统对攻击者来说并非是足够安全的。当然，它比 Windows XP 要安全多了，但这说明不了什么。

想要使你的 Linux 系统真正稳固，你需要按照 Linode 的服务器安全指南来操作。

总的来说，首先你必须关闭那些你不需要的服务。当然要这样做的话，你先要知道你正在使用哪些网络服务。

你可以使用 shell 命令来找到是哪些服务：

netstat -tulpn

netstat 将会告诉你正在运行哪些服务和这些服务正在使用的端口是什么。如果你不需要其中的某项服务或端口，你就应该关闭它。例如，除非你正在运行一个网站，否则你是不需要运行中的 Apache 或 Nginx 服务器，也不需要开启 80 或 8080 端口。

总之一句话，不确定的话，就关了它先。

在一个最简单的，没有做过任何额外更改的 Linux 服务器上，你会看到 SSH、 RPC 和 NTPdate 运行在它们的公开端口上。不要添加像 telnet 这样陈旧而不安全的 shell 程序，否则老司机就会在你不经意间将你的 Linux 小跑车开走了。也许，在上世纪 80 年代的时候你喜欢把 telnet 当作你 SunOS 机器上的备份登录方式，但是那早已成为了过去。

就 SSH 来说，你应该使用 RSA 密钥和 Fail2Ban 来加固。除非你需要 RPC，否则就卸载它——如果你不知道需要不需要它的话，那就是不需要。

关于如何关门已经说的够多了；让我们来聊聊利用 iptables 来锁定进来的流量吧。

当你启动 Linux 服务器的时候它是没有任何规则的。这就意味着所有的流量都是被允许的。这当然是不好的。因此，你需要及时的设置你的防火墙。

Iptables 是一种用来给 netfilter 设置网络策略规则的 shell 工具，netfilter 是Linux 系统下的默认防火墙，它利用一组规则来允许或禁止流量。当有人尝试连接上你的系统——有些人无时不刻地尝试这么干，而且从不气馁——iptables 就会检查这些请求是否与规则列表相匹配。如果没有匹配到任何的规则，它就会采取默认操作。

这个默认操作应该是将连接“Drop”掉，即禁掉这些意图闯入者。而且这不会让他们知道这些网络探测行为发生了什么。（你也可以将链接“Reject”掉，但是这会同时让他们知道你有一个正在运行的 Linux 防火墙。就目前而言，让陌生人能获取到我们系统的信息越少越好。至少，我是这么认为的。）

现在，你可以用 iptables 来设置你的防火墙了。我已经这么做了。就像以前，我骑着自行车去六英里外上班，并且两边都是上坡。而现在，我开车去。

这其实比喻的是我使用 Fedora 发行版的 FirewallD 和 Debian 系发行版的 UFW（Uncomplicated Firewall）。这些都是易用的 iptables 的 shell 前端。你可以在以下的 Linode 指南中找到适合的使用方式：FirewallD 和 UFW。

从本质上来说设置这些规则就是在你的服务器上放置“非请勿入”的告示牌。用起来吧。

但是也别太兴奋地把所有的链接都关闭了。例如：

sudo ufw default deny incoming

看起来是个好主意哦。别忘了，它禁止了所有链接，包括你自己哦！

很好，它就是这么干的。这意味着它也同样禁止了 SSH 的登录。也就是说你再也不能登录你那新服务器了。哇哦！

不过，如果你犯了错，错误的将更多的链接都禁止了。你看，老司机也同样被你挡在门外了。

或者，更准确得说，这不是你或你的服务器所遇到的个别现象。当然，你也不是每天受到 3 亿多次攻击尝试的美国国家安全局（NSA）。但是攻击脚本根本不在乎你是谁。它只是不断的检查寻找网络中存在已知漏洞的服务器。在平常的一天中我自己的小服务器就会受到数以百计的攻击。

都这样了，你还在等什么呢？去吧，加固你的网络服务吧。安装 FirewallD 或者 UFW 来加固你的服务器吧。你会愿意去做的。

关于作者：

Steven J. Vaughan-Nichols 是一位资深的 IT 专栏作家，他的作品出现在许多行业领袖媒体上，包括 ZDNet.com、PC Magazine、InfoWorld、ComputerWorld、Linux Today 和 eWEEK 等。Steven 在 IT 专业方面的见解犀利，虽然他的观点和云计算方面的认识，并不代表 Linode 观点，但是我们仍然非常感谢他的贡献。你可以在 Twitter 上关注他（@sjvn）。

via: https://medium.com/linode-cube/locking-down-your-linux-server-24d8516ae374#.qy8qq4bx2

作者：Steven J. Vaughan-Nichols 译者：wcnnbdk1 校对：wxy

本文由 LCTT 组织编译，Linux中国荣誉推出

Linux有问必答：在CentOS或RHEL防火墙上开启端口

linux中国_ 发布于 2014-11-18
另请参阅: 系统运维,防火墙, iptables, firewalld, firewall-cmd
5 条评论

问题：我在CentOS系统上运行一台网页或文件服务器，打算远程访问服务器。因此，我需要更改防火墙规则以允许访问系统上的某个TCP端口。那么，有什么好方法在CentOS或RHEL系统的防火墙上开启TCP/UDP端口？

如果希望在服务器上提供服务，诸如CentOS或RHEL的企业级Linux发行版包含内置的强大防火墙，它们默认的防火墙规则十分严格。因此，如果你安装了任何定制的服务（比如web服务器、NFS和Samba），那么它们的流量很有可能被防火墙规则阻塞。所以需要在防火墙上开启必要的端口以允许流量通过。

在CentOS/RHEL 6或更早的版本上，iptables服务允许用户与netfilter内核模块交互来在用户空间中配置防火墙规则。然而，从CentOS/RHEL 7开始，一个叫做firewalld新用户空间接口被引入以取代iptables服务。

使用这个命令察看当前的防火墙规则：

$ sudo iptables -L

现在，让我们看看如何在CentOS/RHEL上修改防火墙来开启一个端口。

在CentOS/RHEL 7上开启端口

启动CentOS/RHEL 7后，防火墙规则设置由firewalld服务进程默认管理。一个叫做firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则。

使用这些命令来永久打开一个新端口（如TCP/80）。

$ sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
$ sudo firewall-cmd --reload

如果不使用“--permanent”标记，把么防火墙规则在重启后会失效。

在CentOS/RHEL 6上开启端口

在CentOS/RHEL 6甚至更早版本系统上，iptables服务负责维护防火墙规则。

使用iptables的第一条命令可以通过防火墙开启一个新TCP/UDP端口。为了永久保存修改过的规则，还需要第二条命令。

$ sudo iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$ sudo service iptables save

另一种方法是通过一个名为system-config-firewall-tui的命令行用户接口（TUI）的防火墙客户端。

$ sudo system-config-firewall-tui

选择位于中间的“Customize”按钮，按下ENTER键即可。

如果想要为任何已知的服务（如web服务器）修改防火墙，只需勾选该服务，然后关闭工具。如果想要开启任意一个TCP/UDP端口，选择“Forward”按钮，然后进入下一个界面。

选择“Add”按钮添加一条新规则。

指定一个端口（如80）或者端口范围（如3000-3030）和协议（如tcp或udp）。

最后，保存修改过的配置，关闭工具。这样，防火墙就永久保存了。

via: http://ask.xmodulo.com/open-port-firewall-centos-rhel.html

译者：KayGuoWhu 校对：wxy

本文由 LCTT 原创翻译，Linux中国荣誉推出