Centos - Firewalld防火墙介绍

CentOs Nicholas 2020-05-24 337浏览
相关标签: centos firewall

image.png

简介

在CentOS 8采用firewalld管理netfilter子系统,默认情况,firewall的后端是nftables,而非iptables,底层调用的是nft命令,而非iptables命令。

不同的防火墙软件相互间存在冲突,使用某个时应禁用其它的防火墙软件。


配置文件


firewalld的配置文件一般有两个存储位置:/etc/firewalld/ 和 /usr/lib/firewalld/。


手动配置的规则会存放到/etc/firewalld/这个目录中,如果这个目录中没有找到对应的配置文件,就会去/usr/lib/firewalld/这个默认路径下查找。因此需要手动恢复默认规则就要删除/etc/firewalld/下面对应的文件即可。


配置目录下的子目录


zones目录中存放zone配置文件,services目录中存放service配置文件,icmptypes目录中存放icmp类型相关的配置文件。


firewalld主配置文件/etc/firewalld/firewalld.conf


DefaultZone,默认使用的zone,默认值为public;


MinimalMark,标记的最小值,默认为100;


CleanupOnExit,退出后是否清除防火墙规则,默认为yes;


Lockdown,是否限制别的程序通过D-BUS接口直接操作firewalld,默认为no,当Lockdown设置为yes时,/etc/firewalld/lockdown-whitelist.xml规定哪些程序可以对firewalld进行操作;


IPv6_rpfilter,判断接收的包是否是伪造的,默认为yes。



firewalld提供了9个zone


drop

默认:丢弃所有进入的数据包,不做任何响应。仅允许传出连接


block

默认:拒绝所有进入的数据包,返回icmp-host-prohibited报文(ipv4)或icmp6-adm-prohibited报文(ipv6)。仅允许传出连接


public

默认:firewalld默认的zone。用于不受信任的公共场所,不信任网络中其它计算机,可以允许选定的传入连接


external

默认:用在路由器等启用伪装(NAT)的外部网络,仅允许选定的传入连接


internal

默认:用在(NAT)内部网络,网络中的其它系统通常是可信的,仅允许选定的传入连接


dmz

默认:允许非军事区(DMZ,内外网络之间增加的一层网络,起到缓冲作用)中的计算机有限的被外界网络访问,仅允许选定的传入连接


work

默认:用在工作网络,网络中的其它计算机通常是可信的,仅允许选定的传入连接


home

默认:用在家庭网络,网络中的其它计算机通常是可信的,仅允许选定的传入连接


trusted

默认:接受所有网络连接,信任网络中的所有计算机



zone的配置文件路径是在/etc/firewalld/zones/目录中


service(服务)


iptables使用端口号来匹配规则,但是如果某一个服务的端口号改变了,就要同时更改iptables规则,很不方便,同时也不方便阅读理解。


一个service中可以配置特定的端口(将端口和service的名字关联)。


zone中加入service规则就等效于直接加入了port规则,但是使用service更容易管理和理解。


service配置文件的命名为<service名称>.xml



zone文件中的过滤规则


zone文件中的过滤规则优先级:source(最高)-> interface(次之)-> firewalld.conf中配置的默认zone(最低)。


source:根据数据包源地址过滤,相同的source只能在一个zone中配置


interface:根据接收数据包的网卡过滤


service:根据服务名过滤(实际是查找服务关联的端口,根据端口过滤),一个service可以配置到多个zone中


port:根据端口过滤


icmp-block:icmp报文过滤,可按照icmp类型设置


masquerade:ip地址伪装,即将接收到的请求的源地址设置为转发请求网卡的地址(路由器的工作原理)


forward-port:端口转发


rule:自定义规则,与iptables配置接近。rule结合--timeout可以实现一些有用的功能,比如可以写个自动化脚本,发现异常连接时添加一条rule将相应地址drop掉,并使用--timeout设置时间段,过了之后再自动开放



数据包的处理流程

firewalld提供了9个zone,过滤规则优先级决定进来的数据包会由哪个zone来处理,处理进来数据包的流程如下:


1、如果进来的数据包的源地址被drop或block这两个zone的source规则匹配,那么这个数据包不会再去匹配interface规则。如果数据包的源地址没有被drop和block两个zone的source规则匹配,而是被其它zone的source规则匹配,那么数据包将会被该zone处理。


2、如果数据包通过的接口被drop或block这两个zone的interface规则匹配,则不会交给默认zone处理。如果数据包通的接口没有被drop和block 两个zone的interface规则匹配,而是被其它zone的interface规则匹配,那么数据包将会被该zone处理。


3、如果数据包没有被source规则和interface规则匹配,将会被默认zone处理(由/etc/firewalld/firewalld.conf中的配置项DefaultZone设置)。

相关标签: centos firewall
相关文章
1. 准备环境:两台Centos7,先将防火墙关闭。 192.168.1.11    qgstu1 192.168.1.12    qgstu2 2. qgstu1 生成公钥和私钥(默认的rsa,可以指定-t rsa) [root@qgstu1 ~]# ssh-keygen -t rsa Generating public/private rsa&nbs继续阅读>>
2020-09-29 140浏览 2个赞
firewalld服务管理 启动:systemctl start firewalld 查状态:systemctl status firewalld 停止:systemctl disable firewalld 禁用:systemctl stop firewalld 在开机时启用一个服务:systemctl enable firewalld.service 在开机时禁用一个服务:systemctl disable firewalld.service 查看服务是否开机启动:systemctl is-继续阅读>>
2020-05-24 330浏览 4个赞
简介 在CentOS 8采用firewalld管理netfilter子系统,默认情况,firewall的后端是nftables,而非iptables,底层调用的是nft命令,而非iptables命令。 不同的防火墙软件相互间存在冲突,使用某个时应禁用其它的防火墙软件。 配置文件 firewalld的配置文件一般有两个存储位置:/etc/firewalld/ 和 /usr/lib/firewalld/。 手动配置的规则会存放到/etc/firewalld/这个目录中,如果这个目录中没有找到对应的配继续阅读>>
2020-05-24 336浏览 2个赞
版权声明
本站的文章和资源来自互联网或者站长的原创。如果有侵犯版权的资源请尽快联系站长,我们会在24h内删除有争议的资源。