基本说明

CentOS7或Ubuntu16之后,默认都是新用的 firewalld 防火墙软件,跟 iptables 差不多的工具,用法熟悉后更简单易读可理解。

firewall-cmdfirewalld 的字符界面管理工具,firewalld 是centos7的一大特性,最大的好处有两个:

  1. 支持动态更新,不用重启服务;第二个就是
  2. 加入了防火墙的 zone 概念

firewalldiptables 比起来至少有两大好处:

  1. firewalld 可以动态修改单条规则,而不需要像iptables 那样,在修改了规则后必须得全部刷新才可以生效
  2. firewalld 在使用上要比 iptables 人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能
  3. firewalld 自身并不具备防火墙的功能,而是和 iptables 一样需要通过内核的 netfilter 来实现,也就是说 firewalldiptables 一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的 netfilter ,只不过 firewalldiptables 的结构以及使用方法不一样罢了。

如果系统未安装,自行安装即可:yum install firewalld firewall-config

基础用法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
firewall-cmd --version  # 查看版本
firewall-cmd --help # 查看帮助

# 查看设置:
firewall-cmd --state # 显示状态
firewall-cmd --get-active-zones # 查看区域信息
firewall-cmd --get-zone-of-interface=eth0 # 查看指定接口所属区域
firewall-cmd --panic-on # 拒绝所有包
firewall-cmd --panic-off # 取消拒绝状态
firewall-cmd --query-panic # 查看是否拒绝

firewall-cmd --reload # 更新防火墙规则
firewall-cmd --complete-reload
# 两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务


# 将接口添加到区域,默认接口都在public
firewall-cmd --zone=public --add-interface=eth0
# 永久生效再加上 --permanent 然后reload防火墙

# 设置默认接口区域,立即生效无需重启
firewall-cmd --set-default-zone=public

# 查看所有打开的端口:
firewall-cmd --zone=dmz --list-ports

# 加入一个端口到区域:
firewall-cmd --zone=dmz --add-port=8080/tcp
# 若要永久生效方法同上

# 打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹,这个不详细说了,详情参考文档
firewall-cmd --zone=work --add-service=smtp

# 移除服务
firewall-cmd --zone=work --remove-service=smtp

# 显示支持的区域列表
firewall-cmd --get-zones

# 设置为家庭区域
firewall-cmd --set-default-zone=home

# 查看当前区域
firewall-cmd --get-active-zones

# 设置当前区域的接口
firewall-cmd --get-zone-of-interface=enp03s

# 显示所有公共区域(public)
firewall-cmd --zone=public --list-all

# 临时修改网络接口(enp0s3)为内部区域(internal)
firewall-cmd --zone=internal --change-interface=enp03s

# 永久修改网络接口enp03s为内部区域(internal)
firewall-cmd --permanent --zone=internal --change-interface=enp03s

# 显示服务列表
Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:

firewall-cmd --get-services

端口服务管理

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# 打开443/TCP端口
firewall-cmd --add-port=443/tcp

# 永久打开3690/TCP端口
firewall-cmd --permanent --add-port=3690/tcp

# 永久打开端口好像需要reload一下,临时打开好像不用,如果用了reload临时打开的端口就失效了
# 其它服务也可能是这样的,这个没有测试
firewall-cmd --reload

# 查看防火墙,添加的端口也可以看到
firewall-cmd --list-all

firewall-cmd --add-service=mysql # 开放mysql端口
firewall-cmd --remove-service=http # 阻止http端口
firewall-cmd --list-services # 查看开放的服务
firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306
firewall-cmd --add-port=233/udp # 开放通过udp访问233
firewall-cmd --list-ports # 查看开放的端口

不太常用的

设置某个ip 访问某个服务

1
2
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" service name="http" accept"
#ip 192.168.0.4/24 访问 http

删除上面设置的规则

1
firewall-cmd --permanent --zone=public --remove-rich-rule="rule family="ipv4" source address="192.168.0.4/24" service name="http" accept"

查询服务的启动状态

1
2
3
4
5
6
7
8
firewall-cmd --query-service ftp
yes
firewall-cmd --query-service ssh
yes
firewall-cmd --query-service samba
no
firewall-cmd --query-service http
no

屏蔽IP/IP段

刚好有个实例,屏蔽某个大哥省访问:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='49.112.0.0/13' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='218.84.0.0/14' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='110.152.0.0/14' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='120.68.0.0/14' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.80.0.0/15' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='124.118.0.0/15' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='110.156.0.0/15' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='124.88.0.0/16' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='124.117.0.0/16' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.82.0.0/16' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='60.13.128.0/16' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='202.107.128.0/17' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.83.0.0/17' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='221.7.0.0/19' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='202.100.176.0/20' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='202.100.168.0/21' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='202.100.160.0/21' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='103.3.136.0/22' reject"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='103.22.116.0/22' reject"

可能你需要以下辅助:
子网掩码计算器
查IP地址段工具

端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。 如果配置好端口转发之后不能用,可以检查下面两个问题:

  1. 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
  2. 其次检查是否允许伪装IP,没允许的话要开启伪装IP
1
2
3
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1 # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口
  1. 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
  2. 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。

参考链接

firewall-cmd
RHEL7、CentOS7 下使用 Firewall 封IP