firewalld

********************************

********  firewalld   **********

********************************

 * firewalld(动态防火墙后台程序) 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

    * 系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户

端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。

    * firewalld和iptables service 之间最本质的不同是:

  1.iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.

 2 使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。

   1.配置firewalld

    firewall-cmd --state    ##查看firewalld状态

    firewall-cmd --get-active-zones  ##查看当前活动的区域,并附带一个目前分配给它们的接    口列表

    firewall-cmd --get-default-zone  ##查看默认区域

     firewall-cmd --get-zones  ##查看所有可用区域

  **

  trusted( 信任 )    可接受所有的网络连接

  home( 家庭 )      用于家庭网络,仅接受ssh、mdns、ipp-client、samba-client、或dhcpv6-                  client服务连接

  internal( 内部 )   用于内部网络,仅接受ssh、mdns、ipp-client、samba-client、dhcpv6client                服务连接

  work( 工作 )      用于工作区,仅接受ssh、ipp-client或dhcpv6-client服务连接

  public( 公共 )     在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认                区域

 external( 外部 )    出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接

 dmz( 非军事区 )     仅接受ssh服务接连

 block( 限制 )      拒绝所有网络连接  

 drop( 丢弃 )       任何接收的网络数据包都被丢弃,没有任何回复

     firewall-cmd --zone=public --list-all   ##列出指定域的所有设置

     firewall-cmd --get-services  ##列出所有预设服务

     firewall-cmd --list-all-zones  ##列出所有区域

     firewall-cmd --set-default-zone=trusted   ##设置默认区域为trusted

   **测试

   firewall-cmd --permanent --add-source=172.25.254.115  ##设置网络地址到指定的区域，默认                                          是public,--permanent表示永久

   firewall-cmd --reload   ##重新加载服务，不中断服务

   firewall-cmd -complete--reload   ##重新加载服务，中断服务

   firewall-cmd --permanent --remove-source=172.25.254.115  ##移除指定区域的网络地址

   firewall-cmd --permanent --zone=trusted --add-source=172.25.254.115

   **测试

   firewall-cmd --remove-interface=eth0 --zone=public   ##从public区域移除eth0端口 

   firewall-cmd --add-interface=eth0 --zone=trusted    ##添加eth0端口到trusted

   **测试

   可以访问eth0端口，不可以访问eth1端口

   firewall-cmd --add-service=http --zone=public  ##添加http服务

    firewall-cmd --remove-service=ssh --zone=public   ##删除ssh服务

  firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.74 -p tcp --dport    22 -j ACCEPT  ##设置除了74主机22端口不可访问，其他主机22端口都可以访问

  **测试

  74主机

  其他主机

  2.rich rules

  *  通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分 区,也仍然支持现行的配置方式。

  3.伪装和端口转发

  实验之前打开地址伪装

 firewall-cmd --permanent --zone=public --add-masquerade

 ** masquerade ： yes

   firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source    address=172.25.254.74 masquerade'   ##伪装

  **测试

  不同网段的IP可以连接

   firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.74

    ##端口转发

  **测试

  ssh连接123主机，实际连接74主机

本文转自  夏梨巴人  51CTO博客，原文链接:http://blog.51cto.com/12774035/1933742