本文共 4647 字，大约阅读时间需要 15 分钟。

firewalld介绍

firewalld是CentOS 7.0新推出的管理netfilter的工具
firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能
firewalld服务由firewalld包提供

firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则
归入zone顺序：
  先根据数据包中源地址，将其纳为某个zone
  纳为网络接口所属zone
  纳入默认zone，默认为public zone,管理员可以改为其它zone

网卡默认属于public zone,lo网络接口属于trusted zone

预设zone的作用：
trusted：允许所有流量

home：拒绝除和传出流量相关的，以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client预定义服务之外其它所有传入流量

internal：和home相同

work：拒绝除和传出流量相关的，以及ssh,ipp-client,dhcpv6-client预定义服务之外的其它所有传入流量

public：拒绝除和传出流量相关的，以及ssh,dhcpv6-client预定义服务之外的其它所有传入流量，新加的网卡默认属于public zone

external：拒绝除和传出流量相关的，以及ssh预定义服务之外的其它所有传入流量，属于external zone的传出ipv4流量的源地址将被伪装为传出网卡的地址。

dmz：拒绝除和传出流量相关的，以及ssh预定义服务之外的其它所有传入流量

block：拒绝除和传出流量相关的所有传入流量

drop：拒绝除和传出流量相关的所有传入流量（甚至不以ICMP错误进行回应）

firewalld配置

firewall-cmd --get-services 查看预定义服务列表
/usr/lib/firewalld/services/*.xml预定义服务的配置

三种配置方法
firewall-config （firewall-config包）图形工具
firewall-cmd （firewalld包）命令行工具
/etc/firewalld 配置文件，一般不建议

firewall-cmd 命令选项

–get-zones 列出所有可用区域

–get-default-zone 查询默认区域

–set-default-zone=设置默认区域

–get-active-zones 列出当前正使用的区域

–add-source=[–zone=]添加源地址的流量到指定区域，如果无–zone= 选项，使用默认区域

–remove-source= [–zone=] 从指定区域中删除源地址的流量，如无–zone= 选项，使用默认区域

–add-interface=[–zone=] 添加

–change-interface=[–zone=] 改变指定接口至新的区域，如果无–zone= 选项，使用默认区域

–add-service= [–zone=] 允许服务的流量通过，如果无–zone= 选项，使用默认区域

–add-port=<PORT/PROTOCOL>[–zone=] 允许指定端口和协议的流量，如果无–zone= 选项，使用默认区域

–remove-service= [–zone=] 从区域中删除指定服务，禁止该服务流量，如果无–zone= 选项，使用默认区域

–remove-port=<PORT/PROTOCOL>[–zone=] 从区域中删除指定端口和协议，禁止该端口的流量，如果无–zone= 选项，使用默认区域

–reload 删除当前运行时配置，应用加载永久配置

–list-services 查看开放的服务

–list-ports 查看开放的端口

–list-all [–zone=] 列出指定区域的所有配置信息，包括接口，源地址，端口，服务等，如果无–zone= 选项，使用默认区域

查看默认zone
firewall-cmd --get-default-zone

默认zone设为dmz
firewall-cmd --set-default-zone=dmz

添加开放80TCP端口
firewall-cmd --add-port=80/tcp

在internal zone中增加源地址192.168.0.0/24的永久规则
firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24

在internal zone中增加协议mysql的永久规则
firewall-cmd --permanent –zone=internal --add-service=mysql

加载新规则以生效
firewall-cmd --reload

firewall跟其他防火墙功能的服务有冲突，如有其他服务建议锁住不让启动
systemctl mask iptables
systemctl mask ip6tables

当基本firewalld语法规则不能满足要求时，可以使用以下更复杂的规则
rich-rules 富规则，功能强,表达性语言
Direct configuration rules 直接规则，灵活性差
帮助：man 5 firewalld.direct

rich规则

rich规则比基本的firewalld语法实现更强的功能，不仅实现允许/拒绝，还可以实现日志syslog和auditd，也可以实现端口转发，伪装和限制速率

rich语法：
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]

参考：
man 5 firewalld.richlanguage

rich规则实施顺序：
当前区域的端口转发，伪装规则
当前区域的日志规则
当前区域的允许规则
当前区域的拒绝规则
每个匹配的规则生效，所有规则都不匹配，当前区域默认规则生效

示例：
拒绝从192.168.1.10的所有流量，当address 选项使用source 或 destination时，必须用family= ipv4 |ipv6
firewall-cmd --permanent --zone=classroom --add-rich-rule='rule family=ipv4 source address=192.168.1.10/32 reject‘

限制每分钟只有两个连接到ftp服务
firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/maccept’

抛弃esp（ IPsec 体系中的一种主要协议）协议的所有数据包
firewall-cmd --permanent --add-rich-rule=‘rule protocol value=esp drop’

接受所有192.168.1.0/24子网端口1000-1500范围的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule=‘rule family=ipv4source address=192.168.1.0/24 port port=1000-1500 protocol=tcp accept’

rich日志规则
log [prefix=" " [level= ] [limit
value=" <RATE/DURATION> “]
可以是emerg,alert, crit, error, warning, notice, info, debug.
s：秒, m：分钟, h：小时, d：天
audit [limit value=” <RATE/DURATION>

示例：
接受ssh新连接，记录日志到syslog的notice级别，每分钟最多三条信息
firewall-cmd --permanent --zone=work --add-rich-rule='rule servicename=“ssh” log prefix="ssh " level=“notice” limit value=“3/m” accept

从2001:db8::/64子网的DNS连接在5分钟内被拒绝，并记录到日志到audit,每小时最大记录一条信息
firewall-cmd --add-rich-rule=‘rule family=ipv6 sourceaddress=“2001:db8::/64” service name=“dns” audit limit value="1/h"reject’ --timeout=300

伪装和端口转发

firewalld支持伪装和端口转发两种NAT方式
firewall-cmd --permanent --zone= --add-masquerade
firewall-cmd --query-masquerade 检查是否允许伪装
firewall-cmd --add-masquerade 允许防火墙伪装IP
firewall-cmd --remove-masquerade 禁止防火墙伪装IP

示例：
firewall-cmd --add-rich-rule=‘rule family=ipv4 source address=192.168.0.0/24 masquerade’

端口转发

端口转发：将发往本机的特定端口的流量转发到本机或不同机器的另一个端口。通常要配合地址伪装才能实现

firewall-cmd --permanent --zone= --add-forward-port=port= :proto= [:toport= ][:toaddr= ]
说明：toport= 和toaddr= 至少要指定一个

示例：
转发传入的连接8080/TCP，到防火墙的80/TCP到public zone 的192.168.1.10
firewall-cmd --add-masquerade 启用伪装
firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.10

rich规则语法：
forward-port port= protocol= tcp|udp [to-port= <PORTNUM> ] [to-addr= <ADDRESS> ]

示例：
转发从192.168.1.0/24来的，发往8080/TCP的流量到防火墙的端口80/TCP
firewall-cmd --zone=work --add-rich-rule=‘rule family=ipv4 sourceaddress=192.168.1.0/24 forward-port port=8080 protocol=tcp to-port=80’