Linux 中的 15 个强大的 firewall-cmd 命令，牛牛牛！ _FIREWALL

古人学问无遗力，少壮工夫老始成。这篇文章主要讲述Linux 中的 15 个强大的 firewall-cmd 命令，牛牛牛！相关的知识，希望能为你提供帮助。
企业中，因为业务的重要性，通常会对网络安全十分重视，那么一个好的防火墙系统就是强有力的利器！
本文，将带大家了解 CentOS 7新的防火墙服务firewalld的基本原理，它有个非常强大的过滤系统，称为 Netfilter，它内置于内核模块中，用于检查穿过系统的每个数据包。
这意味着它可以在到达目的地之前以编程方式检查、修改、拒绝或丢弃任何网络数据包，如传入、传出或转发，从 Centos-7 开始，firewalld 成为管理基于主机的防火墙服务的默认工具，firewalld 的守护进程是从 firewalld 包安装的，它将在操作系统的所有基本安装上可用，但在最小安装上不可用。
使用 FirewallD 优于“iptables”的优点：

在运行时所做的任何配置更改都不需要重新加载或重新启动 firewalld 服务
通过将整个网络流量安排到区域中来简化防火墙管理
每个系统可以设置多个防火墙配置以更改网络环境
使用 D-Bus 消息系统来交互/维护防火墙设置

在 CentOS 7 或更高版本中，我们仍然可以使用经典的 iptables，如果要使用 iptables，需要停止并禁用 firewalld 服务。同时使用firewalld 和 iptables会使系统混乱，因为它们彼此不兼容。
建议使用 firewalld 来管理防火墙服务，除非我们有一些特定的理由继续使用经典的 iptables。
Firewalld 设计了强大的过滤系统，并且在处理防火墙管理方面也更加灵活。为了利用这种设计，firewalld 将传入流量分类到源地址定义的接口上的区域中。
每个区域都旨在根据指定的标准管理流量。如果没有进行任何修改，默认区域将设置为 public，并且关联的网络接口将附加到 public。
所有预定义的区域规则都存储在两个位置：系统指定的区域规则在“/usr/lib/firewalld/zones/”下，用户指定的区域规则在/etc/firewalld/zones/ 下。如果在系统区域配置文件中进行了任何修改，它将自动复制到 /etc/firewalld/zones/。
本文将详细介绍firewalld 服务基础知识，了解如何在 RHEL/CentOS 7 中使用 firewall-cmd 命令。
本文目录如下：
[TOC]
前置条件：

操作系统：CentOS 7 或更高版本
软件包：firewalld
用户帐户：root 用户或具有 sudo 权限的用户帐户
建议使用 sudo 权限而不是 root 来运行所有管理命令

有三种方式配置防火墙：

在“/etc/firewalld”配置文件中直接编辑
图形界面“firewall-config”工具
终端中的命令行“firewall-cmd”

安装并启用firewallD服务首先，更新包的最新当前版本。

sudo yum update -y

$ sudo yum install firewalld -y

使用以下命令启动和启用服务

$ sudo systemctl start firewalld.service$ sudo systemctl 启用 firewalld.service

使用以下命令验证防火墙服务的状态：

$ sudo firewall-cmd --state

Output:running

$ sudo systemctl status firewalld

详细输出：

firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled) Active: active (running) since Sat 2020-04-18 22:39:56 IST; 2h 52min ago Main PID: 759 (firewalld) CGroup: /system.slice/firewalld.service └─759 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopidApr 18 22:39:56 localhost.localdomain systemd[1]: Started firewalld - dynamic...

区域Firewalld 为不同的目的引入了几个预定义的区域和服务，主要目的之一是更轻松地处理 firewalld 管理。
基于这些区域和服务，我们可以阻止任何形式的系统传入流量，除非它明确允许在区域中使用一些特殊规则。
1.如何查看firewalld中的所有可用区域？

$ sudo firewall-cmd --get-zones

文章图片

2. 如何找出哪个是默认区域？

$ firewall-cmd --get-default-zone

Output:public

3. 如何查找活动区域和相关网络接口的列表？

$ firewall-cmd --get-active-zones

Output:public interfaces: enp1s0

4. 如何查看活动公共区域是否有任何规则列出？

$ sudo firewall-cmd --list-all --zone="public"

文章图片

5. 如何查看所有可用区域的列表？

$ sudo firewall-cmd --list-all-zones

6. 如何将默认区域更改为特定区域？
在更改到新区域之前，让我们检查现有的可用区域。

$ sudo firewall-cmd --get-default-zone

Output:public

$ sudo firewall-cmd --set-default-zone=work

Output:success

$ sudo firewall-cmd --get-default-zone

Output:work< ==

7. 如何将网络接口从一个区域更改为另一个区域？

$ sudo firewall-cmd --zone=internal --change-interface=enp1s1

可以使用以下命令进行验证：

$ sudo firewall-cmd --get-active-zones

8. 如何建立自定义的firewalld zone？
我们知道，所有系统指定的配置文件都位于“/usr/lib/firewalld/zones”，用户指定的文件位于“/etc/firewalld/zones”。
使用以下命令创建自定义区域文件允许使用端口号 80 和 22 的 ssh 和 apache 服务。
确保新文件应以 .xml 格式保存在用户定义的位置，目前，名称区域文件的长度仅限于 17 个字符。

$ sudo vi /etc/firewalld/zones/ linuxtecksecure .xml

< ?xml version="1.0" encoding="utf-8"?> < zone> < short> linuxtecksecure< /short> < description> 用于企业领域。< /description> < service name="apache"/> < service name="ssh"/> < port protocol="tcp" port="80"/> < port protocol="tcp" port="22"/> < /zone>

保存并退出。
重新加载防火墙服务：

$ sudo firewall-cmd --reload

Output:success

现在，重新检查 firewalld 中的可用区域

$ sudo firewall-cmd --get-zones

Output:block dmz drop external home internal "linuxtecksecure" public trusted work

使用上面的命令，我们可以创建一个新的 (linuxtecksecure) zone 来默认仅启用 apache 和 ssh 服务，创建文件后，我们需要“重新加载”firewalld 服务，以便将区域激活到firewalld
服务【Linux 中的 15 个强大的 firewall-cmd 命令，牛牛牛！】firewalld 有另一个名为“服务”的组件，这些服务可以在区域文件中用于管理防火墙设置中的流量规则，每个预定义的“服务”在区域文件的默认配置中使用.
dhcpv6-client管理DHCP v6客户端的本地流量,使用udp端口546。
ssh管理ssh服务器服务的本地通信量，并使用tcp端口22。
Samba-client管理Windows FLES/打印机共享服务的本地通信量，并使用137(UDP)和138(UDP)端口
lpp-client管理用于打印服务器服务的本地通信量，并使用udp端口631。
mdns管理多播本地链路服务，并使用udp端口5353。
1.如何列出firewalld中所有可用的服务？

$ sudo firewall-cmd --get-services

RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

2.如何列出特定区域内的所有可用服务？

$ sudo firewall-cmd --zone=work --list-services

Output:dhcpv6-client ssh

输出显示在“工作”区域中仅启用了两个服务。
3. 如何将现有服务添加到默认区域？

$ sudo firewall-cmd --add-service=samba

Output:success

在此示例中，我已将名为 samba 的现有服务添加到默认区域，您可以使用以下命令进行验证：

$ sudo firewall-cmd --zone=public --list-services

Output:dhcpv6-client samba ssh

同样，我们可以将服务添加到默认区域以外的其他区域。使用以下命令：

$ sudo firewall-cmd --zone=internal --add-service=ftp

firewalld两种模式默认情况下，firewalld 支持两种独立的模式，永久和运行时（立即）。
当我们启动防火墙时，它会将所有永久配置文件加载到运行时中。
您进行添加或更新的任何机会都将应用于运行时配置，并且不会自动启用到永久配置。
为了使其成为永久规则，我们需要使用“--permanent”参数，为了在 firewalld 中启用这些更改，我们需要重新加载或重新启动防火墙服务。
1. 如何永久添加服务？

$ sudo firewall-cmd --permanent --add-service=ftp

Output:success

$ sudo firewall-cmd --reload

Output:success

2. 如何将我的运行时设置迁移到永久设置？

$ sudo firewall-cmd --runtime-to-permanent

Output:success

通常，我们在运行时环境中测试所有规则，一旦规则成功运行，然后我们使用“--permanent”选项使它们永久化，使用上述命令一次性将所有运行时设置迁移到永久模式，如果防火墙设置无效，则只需重新加载/重新启动防火墙服务即可使这些规则在永久配置中工作。
端口firewalld 允许我们直接处理网络端口，美妙之处在于，甚至无需在系统中安装特定服务，我们就可以在防火墙中打开和关闭相关端口。
1. 如何在公共区域为samba服务开放端口？

$ sudo firewall-cmd --zone=public --add-port=137/udp$ sudo firewall-cmd --zone=public --add-port=138/udp$ sudo firewall-cmd --zone=public --add-port=139/tcp$ sudo firewall-cmd --zone=public --add-port=445/tcp

Output:success

使用上面的命令，我们已经成功打开了samba服务的端口
验证一下：

$ sudo firewall-cmd --list-ports

Output:137/udp 138/udp 139/tcp 445/tcp

成功测试后，如果您希望将这些规则作为防火墙的永久规则继续使用，则将“--permanent”标志与上述命令一起使用或使用运行时作为永久命令，不要忘记重新加载服务。
超时Firewalld 还有一个有趣的功能叫做超时。此功能将帮助许多系统管理员在其运行时设置中添加临时规则，例如，如果用户想通过 FTP 服务从服务器下载文件。
由于这只是一次性操作，因此不需要永久规则。
下载文件可能只需要 2-5 分钟（可能会因文件大小而异）。
在我们的例子中，我们可以允许 FTP 服务 5 分钟，它会在给定的时间后自动断开连接。