1.简介

 firewalld是CentOS 7.0新推出的管理netfilter的工具
 firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能
 firewalld服务由firewalld包提供
 firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则
 归入zone顺序：
 先根据数据包中源地址，将其纳为某个zone
 纳为网络接口所属zone
 纳入默认zone，默认为public zone,管理员可以改为其它zone
 网卡默认属于public zone,lo网络接口属于trusted zone

2.firewalld zone分类

Paste_Image.png

Paste_Image.png

3.firewalld配置

 firewall-cmd --get-services 查看预定义服务列表
 /usr/lib/firewalld/services/*.xml预定义服务的配置
 三种配置方法
 firewall-config （firewall-config包）图形工具
 firewall-cmd （firewalld包）命令行工具
 /etc/firewalld 配置文件，一般不建议

firewalld-cmd命令选项

 --get-zones 列出所有可用区域
 --get-default-zone 查询默认区域
 --set-default-zone=<ZONE> 设置默认区域
 --get-active-zones 列出当前正使用的区域
 --add-source=<CIDR>[--zone=<ZONE>]
添加源地址的流量到指定区域，如果无--zone= 选项，使用默认区域
 --remove-source=<CIDR> [--zone=<ZONE>]
从指定区域中删除源地址的流量，如果无--zone= 选项，使用默认区域
 --add-interface=<INTERFACE>[--zone=<ZONE>]
添加来自于指定接口的流量到特定区域，如果无--zone= 选项，使用默认区域
 --change-interface=<INTERFACE>[--zone=<ZONE>]
改变指定接口至新的区域，如果无--zone= 选项，使用默认区域
 --list-all [--zone=<ZONE>]
列出指定区域的所有配置信息，包括接口，源地址，端口，服务等，如果无--zone=选项，使用默认区域
 --add-service=<SERVICE> [--zone=<ZONE>]
允许服务的流量通过，如果无--zone= 选项，使用默认区域
 --add-port=<PORT/PROTOCOL>[--zone=<ZONE>]
允许指定端口和协议的流量，如果无--zone= 选项，使用默认区域
 --change-interface=<INTERFACE>[--zone=<ZONE>]
改变指定接口至新的区域，如果无--zone= 选项，使用默认区域
 --list-all [--zone=<ZONE>]
列出指定区域的所有配置信息，包括接口，源地址，端口，服务等，如果无--zone= 选项，使用默认区域
 --add-service=<SERVICE> [--zone=<ZONE>]
允许服务的流量通过，如果无--zone= 选项，使用默认区域
 --add-port=<PORT/PROTOCOL>[--zone=<ZONE>]
允许指定端口和协议的流量，如果无--zone= 选项，使用默认区域

eg:

 查看默认zone
firewall-cmd --get-default-zone
 默认zone设为dmz
firewall-cmd --set-default-zone=dmz
 在internal zone中增加源地址192.168.0.0/24的永久规则
firewall-cmd --permanent --zone=internal --
add-source=192.168.0.0/24
 在internal zone中增加协议mysql的永久规则
firewall-cmd --permanent –zone=internal --addservice=mysql
 加载新规则以生效
firewall-cmd --reload

4.配置firewalld

 systemctl mask iptables
 systemctl mask ip6tables
 systemctl status firewalld
 systemctl enable firewalld
 systemctl start firewalld
 firewall-cmd --get-default-zone
 firewall-cmd --set-default-zone public
 firewall-cmd --permanent --zone=public --list-all
 firewall-cmd --permanent --zone=public --addport 8080/tcp
 firewall-cmd ---reload

5.其他规则

 当基本firewalld语法规则不能满足要求时，可以使用以下更
复杂的规则
 rich-rules 富规则，功能强,表达性语言
 Direct configuration rules 直接规则，灵活性差
帮助：man 5 firewalld.direct

(1)管理rich规则

 rich规则比基本的firewalld语法实现更强的功能，不仅实现
允许/拒绝，还可以实现日志syslog和auditd，也可以实现端
口转发，伪装和限制速率
 rich语法：
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
 man 5 firewalld.richlanguage
rich规则选项

Paste_Image.png

 拒绝从192.168.0.11的所有流量，当address 选项使用source 或 destination时，必须用family= ipv4 |ipv6.
firewall-cmd --permanent --zone=classroom --add-richrule='rule family=ipv4 source address=192.168.0.11/32 reject‘
 限制每分钟只有两个连接到ftp服务
firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/m accept’
 抛弃esp（ IPsec 体系中的一种主要协议）协议的所有数据包
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp drop'
 接受所有192.168.1.0/24子网端口范置7900-7905的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'

(2)rich服务

 log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limit value="<RATE/DURATION>"]
 <LOGLEVEL> 可以是 emerg,alert, crit, error, warning, notice, info, debug.
 <DURATION> s：秒, m：分钟, h：小时, d：天
 audit [limit value="<RATE/DURATION>"]
eg:

 接受ssh新连接，记录日志到syslog的notice级别，每分钟最多三条信息
firewall-cmd --permanent --zone=work --add-richrule='rule service name="ssh" log prefix="ssh " level="notice" limit value="3/m" accept
 从2001:db8::/64子网的DNS连接在5分钟内被拒绝，并记录到日志到audit,每小时最大记录一条信息。
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300

6.规则演示

 firewall-cmd --permanent --add-rich-rule='rule
family=ipv4 source address=172.25.X.10/32 service
name="http" log level=notice prefix="NEW HTTP "
limit value="3/s" accept'
 firewall-cmd --reload
 tail -f /var/log/messages
 curl http://serverX.example.com

7.伪造和端口转发

 NAT网络地址转换，firewalld支持伪造和端口转发两种NAT方式
 伪造NAT
 firewall-cmd --permanent --zone=<ZONE> --addmasquerade
 firewall-cmd --permanent --zone=<ZONE> --addrich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'

(1)端口转发

 端口转发：将发往本机的特定端口的流量转发到本机或不同机器的另一个端口。通常要配合地址伪造才能实现
 firewall-cmd --permanent --zone=<ZONE> --addforwardport=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]
说明：toport= 和toaddr= 至少要指定一个
 示例：
转发传入的连接513/TCP，到访火墙的132/TCP到public zone的192.168.0.254
firewall-cmd --permanent --zone=public --addforward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254

(2)rich规则语法

 rich规则语法：
 forward-port port=<PORTNUM> protocol=tcp|udp [toport=<PORTNUM>]
[to-addr=<ADDRESS>]
 示例：
转发从192.168.0.0/26来的，发往80/TCP的流量到防火墙的端口8080/TCP
firewall-cmd --permanent --zone=work --add-richrule='rule
family=ipv4 source address=192.168.0.0/26
forward-port port=80 protocol=tcp to-port=8080'
eg：

 firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25.X.10/32 forwardport port=443 protocol=tcp to-port=22'
 firewall-cmd --reload
 ssh -p 443 serverX.example.com