firewalld是自CentOS 7以来带有一个动态的、可定制而无需重新启动防火墙守护程序或服务。firewall-cmd就是iptables/nftable的前端。在CentOS 8中，nftables取代iptables成为默认的Linux网络包过滤框架。本文介绍如何为您的CentOS 8设置防火墙，并借助firewall-cmd管理工具进行管理。

FirewallD的基本概念

在CentOS7之后,当你使用firewalld时,有两个基本概念，你必须要知道的

• 服务(service)
• 区域(zone)

在传统的iptables基于规则的顺序的匹配先后顺序来多数据包进行处理，处理的动作基本上非黑即白这个逻辑,因此iptables的基于规则列表的运行机制相对固化，缺少灵活性。而firewalld将传入的流量分类到由源IP和/或网络接口定义的区域中。每个区域都有的配置，可以根据指定的标准接受或拒绝数据包。

firewalld不仅打破来规则列表固化的先后顺序，而且将以往iptables规则中的tcp/ip信息，使用了一个叫service(服务)来独立封装在一个xml文本中,让使用者更加容易记忆和理解.

什么叫service？粗暴地说,就是应用协议,而与该协议相关的应用能为你做什么。
例如，我上网经常用到tcp协议的80端口和443端口，还有域名解析要用到udp协议的35端口，访问共享文件夹需要用到udp端口的137和138端口,OK,我们这些常用的应用，firewalld都已经内置了。因此在防火墙的配置和管理会变得简单以及人性化。
而理解区域就更简单了，就是对各种内置服务预分组的集合。您可以通过运行以下ls命令查看所有区域，没错，区域也是以XML文档内容预定义在Linux系统中的：

了解预定义区域

获取所有可用的区域，使用如下命令

firewall-cmd --get-zones

• block–拒绝所有传入的网络连接。仅从系统内部启动的网络连接是可能的。
• dmz –经典非军事区（DMZ）区域，它提供对LAN的有限访问，并且仅允许选定的传入端口。
• drop –丢弃所有传入网络连接，并且仅允许传出网络连接。
• external-对于路由器连接类型很有用。您还需要LAN和WAN接口，以使伪装（NAT）正常工作。
• home –适用于您信任其他计算机的局域网内的家用计算机，例如笔记本电脑和台式机。仅允许选择的TCP / IP端口。
• internal–当您主要信任LAN上的其他服务器或计算机时，用于内部网络。
• public–您不信任网络上的任何其他计算机和服务器。您仅允许所需的端口和服务。对于云服务器或您所托管的服务器，请始终使用公共区域。
• trust–接受所有网络连接。我不建议将该区域用于连接到WAN的专用服务器或VM。
• work–在信任同事和其他服务器的工作场所中使用。

如何查找您的默认区域

如果您没有更改它，则默认区域设置为public，并且所有网络接口都分配给此区域,用户可以将网络接口和源分配给区域。其中一个区域设置为默认区域。要获取默认区域运行，请执行以下操作：

#firewall-cmd --get-default-zone
public

要查看活动区域和分配给它们的网络接口，请执行以下操作：

firewall-cmd --get-active-zones

以下输出显示接口ens33和ens34已分配给public区域：

ss8.png

如何查看与公共区域关联的防火墙规则或服务

firewall-cmd --list-all

或

firewall-cmd --list-all --zone=public

从上面的输出中，我们可以看到public区域处于活动状态，并使用默认目标Reject。输出还显示该区域由eth0和eth1接口使用，并允许DHCP客户端和SSH流量。

当区域由于其源网络或接口而处理数据包时，但是没有明确处理该数据包的规则，则区域的目标确定行为：

区域的target

如果你对iptable熟悉的话，那么下面关于target的概念就不用多解析，target是就是对该区域内流经的数据包作最终的处理动作，target为未指定的传入流量定义区域的default行为。它可以设置为以下选项之一：

• default:不做任何事情
• ACCEPT：接受数据包
• REJECT 拒绝数据包，返回拒绝的信息
• DROP：丢弃数据包，并且不做任何答应

要设置区域的target，请使用--zone选项指定区域，并使用--set-target选项指定目标。例如，要将公共区域的目标更改为DROP，您可以运行：

firewall-cmd --zone=public --set-target=DROP

将接口分配给不同的区域

您可以为不同的区域创建特定的规则集，并为其分配不同的接口。当您的计算机上有多个接口时，这尤其有用。

要将接口分配给不同的分区，请使用--zone选项指定分区，并使用--change-interface选项指定接口。例如，以下命令将ens34接口分配给internal区域：

ss8.png

创建新的区域

firewalld还允许您创建自己的区域。当您想要创建每个应用程序的规则时，这很方便。在以下示例中，我们将创建一个名为memcached的新分区，打开端口11211，并仅允许从IP地址192.168.100.30进行访问：

firewall-cmd --new-zone=visitors --permanent

放某些端口和添加

firewall-cmd --zone=visitors --add-port=80/tcp --permanent
firewall-cmd --zone=visitors --add-port=53/tcp --permanent
firewall-cmd --zone=visitors --add-source=10.10.2.0/24 --permanent

重新加载Firewalld守护程序以激活更改：

firewall-cmd --reload

我们看看如下新建visitors区域里面的规则

ss8.png

服务(services)

服务只不过是本地端口、协议、源端口、目的地和防火墙助手模块的列表。举个例子,服务器就是包含一组tcp/ip协议细节的集合：

• 端口： 443，21或22
• 服务: ssh,http或https
• 协议: tcp/udp/icmp

我们可以查看一下防火墙所支持的服务类型

firewall-cmd --get-services

当然你可以通过管道和 grep 查找是否包含特定的服务名称

如何查看当前区域允许哪些服务

firewall-cmd --list-service

以上命令表明我的默认区域是public的，并且我允许CentOS 8/RHEL 8上的传入SSH连接(端口22)、dhcpv6-client和cockpit服务端口。默认情况下会丢弃所有其他流量。

如果CentOS 8上配置nginx，我需要使用firewall-cmd打开端口80/443。假设您不需要cockpit或dhcpv6-client等不必要的服务，可以通过修改规则将其删除。例如，删除服务dhcpv6-client和cockpit：

firewall-cmd --remove-service=cockpit --permanent
firewall-cmd --remove-service=dhcpv6-client --permanent
firewall-cmd --reload

运行时Firewalld配置更改是临时的。当您重新启动CetnOS8服务器时，它们就消失了。例如，以下命令将临时打开Nginx/Apache Web服务器的TCP端口80/443(Https)：

firewall-cmd --zone=public --add-service=http
firewall-cmd --zone=public --add-service=https

当您重新启动Linux机器或重新启动Firewalld服务本身时，不会保留上述规则。

如何将规则添加到永久集并重新加载Firewalld?只需将添加--permanent参数即可

firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=public --add-service=https --permanent
firewall-cmd --reload

如何查找Firewalld支持的服务列表

sudo firewall-cmd --get-services

前面都是预备的内容,下文才是firewalld的主体,如何向firewalld中添加规则

如何将服务添加到特定的区域?
指定特定的zone区域名称，并且使用--add-service添加服务名称

firewall-cmd --zone=public --add-service=dns --permanent

如何从区域中删除(删除)服务

firewall-cmd --zone=public --remove-service=dns --permanent

如何允许/打开TCP/UDP端口/协议

firewall-cmd --zone=public --add-port=8080/tcp --permanent

验证结构，可以使用以下命令验证

firewall-cmd --list-ports

如何拒绝/阻止TCP/UDP端口/协议

firewall-cmd --zone=public --remove-port=23/tcp --permanent

打开端口和源IP

Firewalld还允许您快速启用来自可信IP地址或特定端口的所有流量，而无需创建服务定义

开放源IP

要允许来自特定IP地址(或范围)的所有传入流量，请使用--zone选项指定区域，并使用--add-source选项指定源IP。例如，要允许公共区域中来自192.168.172.32的所有传入流量，请运行：

firewall-cmd --zone=public --add-source=192.168.172.32

后记

我们本文最后以一个示例来对之前firewalld的介绍作一个总结，我们用一个案例来说明如何将firewalld应用到一个带有路由功能的linux主机。如下图拓扑

对于开发者或者运维人员来说,VMware工具的使用，我不想多废话，搭建上面的拓扑对于CentOS的虚拟机添加第二个网卡并且制定为private的网络，我这里设定一个名称为elc用于模拟内网,另外一台测试机单网卡也设定为同一个elc网卡所在交换网络。

• 首先启用ipv4的数据转发
  • 将以下内容添加到/etc/sysctl.conf：net.ipv4.ip_ward=1

  • 告知内核启用数据包转发：sysctl -p

    
    
    ss8.png
• 开启NAT功能

firewall-cmd --permanent --zone=public --add-masquerade

就这么简单一台简单的路由器就配置成功了，但者firewalld是两码事。后面我们继续深入探讨firewalld。