如何在CentOS 8上使用FirewallD设置防火墙
如何在CentOS 8上使用FirwallD设置防火墙?
说明:Linux防火墙,用于保护您的工作站或服务器免受不必要的流量。
您可以设置规则以阻止流量或允许通过。
CentOS 8带有带有D-Bus接口的动态,可自定义的基于主机的防火墙。
您可以添加或删除或更新防火墙规则,而无需重新启动防火墙守护程序或服务。
Firewall-cmd充当nftable的前端。
在CentOS 8中,nftables将iptables替换为默认的Linux网络数据包过滤框架。
本教程将学习"如何为CentOS 8设置防火墙以及如何通过firewall-cmd管理工具进行管理"。
FirewallD的基本概念
Firewalld简化了网络流量管理的概念。
在CentOS 8上进行防火墙保护时,您有两个主要想法。
1.区(zone)
防火墙区域仅是预定义的规则集。
您可以通过运行以下ls命令来查看所有区域:
$ ls -l /usr/lib/firewalld/zones/
使用cat命令查看放置区域:
$ cat /usr/lib/firewalld/zones/public.xml
了解预定义区域
block所有传入的网络连接被拒绝。仅可从系统内部启动的网络连接。dmz经典非军事区(DMZ)区域,对您的LAN的访问受到限制,并且仅允许选定的传入端口。drop丢弃所有传入的网络连接,仅允许传出的网络连接。external对于路由器的连接类型很有用。您还需要LAN和WAN接口,以使伪装(NAT)正常工作。home对您信任其他计算机的局域网内的家用计算机(例如笔记本电脑和台式机)有用。仅允许选择的TCP/IP端口。internal内部的,当您主要信任LAN上的其他服务器或计算机时,用于内部网络。public您不信任网络上的任何其他计算机和服务器。您仅允许所需的端口和服务。对于云服务器或您所托管的服务器,请始终使用公共区域。trusted"可信任"接受所有网络连接。我不建议将该区域用于连接到WAN的专用服务器或VM。work用于您信任同事和其他服务器的工作场所。
运行以下命令以查看CentOS 8上的所有区域:
$ firewall-cmd --get-zones
如何找出您的默认区域
可以将网络接口和源分配给一个区域。
这些区域之一被设置为默认区域。
要获取默认区域,请运行:
$ firewall-cmd --get-default-zone
要查看网络接口名称,请运行ip命令或nmcli命令:
$ ip link show $ nmcli device status
将新的接口连接(例如eth0或ens3)添加到NetworkManager后,它们将追加到默认区域。
通过运行以下命令进行验证:
$ firewall-cmd --get-active-zones
2.服务
服务不过是本地端口,协议,源端口,目标和防火墙帮助程序模块的列表。
一些例子:
- 端口443或25或110
- 服务SSH,HTTP
- 协议ICMP
如何查看与公共区域关联的防火墙规则或服务
运行:
$ sudo firewall-cmd --list-all
或者
$ sudo firewall-cmd --list-all --zone=public
上面的命令表明我的默认区域是public,并且我允许CentOS 8/RHEL 8上的传入SSH连接(端口22),dhcpv6-client和cockpit服务端口。
所有其他流量默认情况下被丢弃。
如果在CentOS 8上配置Apache或Nginx,则需要使用firewall-cmd打开端口80/443。
假设您不想要不必要的服务,例如座舱或dhcpv6-client,则可以通过修改规则来删除它们。
例如,删除服务dhcpv6-client和cockpit:
$ sudo firewall-cmd --remove-service=cockpit --permanent $ sudo firewall-cmd --remove-service=dhcpv6-client --permanent $ sudo firewall-cmd --reload $ sudo firewall-cmd --list-services
如何查看当前区域中允许哪些服务
$ sudo firewall-cmd --list-services
或者
$ sudo firewall-cmd --list-services --zone=public $ sudo firewall-cmd --list-services --zone=home
或使用bash进行循环,如下所示:
## or just use 'sudo firewall-cmd --list-all-zones' ##
for z in $(firewall-cmd --get-zones)
do
echo "Services allowed in $z zone: $(sudo firewall-cmd --list-services --zone=$z)"
done
如何在CentOS 8上启动,停止,重新启动Firewalld服务
到目前为止,您已经了解了防火墙区域,服务以及如何查看默认值。
现在是时候在CentOS 8 Linux系统上激活和配置防火墙了。
启动并启用防火墙
$ sudo systemctl start firewalld $ sudo systemctl enable firewalld
停止并禁用firewalld
$ sudo systemctl stop firewalld $ sudo systemctl disable firewalld
检查防火墙状态
$ sudo firewall-cmd --state
更改规则时重新加载firewalld配置的命令
$ sudo firewall-cmd --reload
获取防火墙服务的状态
$ sudo systemctl status firewalld
了解运行时和永久防火墙规则集
运行时防火墙配置更改是临时的。
重新启动CetnOS 8服务器后,它们消失了。
例如,以下内容将为Nginx/Apache Web服务器临时打开TCP端口80/443(https):
$ sudo firewall-cmd --zone=public --add-service=http $ sudo firewall-cmd --zone=public --add-service=https
重新启动Linux框或重新启动Firewalld服务本身时,不会保留上述规则。
如何将规则添加到永久集中并重新加载防火墙
让我们永久添加规则(HTTPS/443和HTTP/80)并重新加载firewalld:
$ sudo firewall-cmd --zone=public --add-service=http --permanent $ sudo firewall-cmd --zone=public --add-service=https --permanent $ sudo firewall-cmd --reload
验证一下:
$ sudo firewall-cmd --list-services $ sudo firewall-cmd --list-services --permanent
如何找到防火墙支持的服务列表
语法如下:
$ sudo firewall-cmd --get-services $ sudo firewall-cmd --get-services | grep mysql $ ls -l /usr/lib/firewalld/services/ $ cat /usr/lib/firewalld/services/ssh.xml
Firewalld获取可从规则集中添加或删除的可用服务的列表
防火墙规则集示例
让我们看看默认区域中的firewalld的一些常见示例。
如何向您的区域添加服务
添加dns服务(TCP/UDP端口53):
sudo firewall-cmd --zone=public --add-service=dns --permanent
如何从您的区域中删除(删除)服务
删除vnc服务器服务(TCP端口范围5900-5903):
sudo firewall-cmd --zone=public --remove-service=vnc-server --permanent
如何允许/打开TCP/UDP端口/协议
打开TCP端口9009:
sudo firewall-cmd --zone=public --add-port=9009/tcp --permanent
要查看添加的端口,请运行:
$ sudo firewall-cmd --zone=internal --list-ports
如何拒绝/阻止TCP/UDP端口/协议
打开TCP端口23:
sudo firewall-cmd --zone=public --remove-port=23/tcp --permanent
如何编写端口转发防火墙规则
将TCP端口443转发到同一服务器上的8080:
$ sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080 --permanent
要删除以上端口转发,请运行
$ sudo firewall-cmd --zone=public --remove-forward-port=port=80:proto=tcp:toport=8080
如果您需要将流量(端口443)转发到192.168.1.42端口443托管的lxd服务器/容器,请打开伪装:
$ sudo firewall-cmd --zone=public --add-masquerade $ sudo firewall-cmd --zone=public --add-forward-port=port=443:proto=tcp:toport=443:toaddr=192.168.1.42 --permanent
要删除上述伪装规则,请运行:
$ sudo firewall-cmd --zone=public --remove-masquerade $ firewall-cmd --zone=public --remove-forward-port=port=443:proto=tcp:toport=443:toaddr=192.168.1.42 --permanent
与往常一样,使用以下命令列出规则:
$ firewall-cmd --zone=public --list-all --permanent
富规则示例
假设您只允许从10.8.0.8 IP地址访问SSH端口22,请运行:
sudo firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" source address="10.8.0.8" port port=22 protocol=tcp accept'
要验证新规则,请运行:
$ sudo firewall-cmd --list-rich-rules --permanent
在以下示例中,允许192.168.1.0/24子网/网络访问tcp端口11211:
sudo firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="11211" accept'
再次验证一下:
$ sudo firewall-cmd --list-rich-rules --permanent
输出示例:
rule family="ipv4" source address="10.8.0.8" port port="22" protocol="tcp" accept rule family="ipv4" source address="192.168.1.0/24" port port="11211" protocol="tcp" accept
您可以删除丰富规则,如下所示:
$ sudo firewall-cmd --remove-rich-rule 'rule family="ipv4" source address="10.8.0.8" port port=22 protocol=tcp accept' --permanent $ sudo firewall-cmd --remove-rich-rule 'rule family="ipv4" source address="192.168.1.0/24" port port="11211" protocol="tcp" accept' --permanent
