运维学习之firewall防火墙服务

firewalld

一、定义和对比

FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接，并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 system-config-firewall/lokkit 防火墙模型是静态的，每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。

相反，firewall daemon 动态管理防火墙，不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过，要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现，以确保守护进程中的状态和内核里的防火墙是一致的。另外，firewall daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则。

二、打开firewalld

三、命令测试

查看可用区域

查看firewalld状态，默认活动的区域，修改默认域为trusted

修改后，http和ftp功能可以正常使用

恢复默认域为默认public

永久性添加http服务，需重新加载才可永久生效

手动在配置文件中添加ftp服务

添加成功

设置防火墙通过8080端口访问http，配置文件写入listen=8080

无法连接，因为未写入火墙配置

永久性添加8080tcp端口

可以访问

移除8080端口服务，移除http服务，重新加载

允许172.25.254.126主机访问任何连接

四、不同网卡访问不同设置

把eth1网卡调整到trusted域中

172.25.254.126不能连接

172.25.26.126可以连接

永久添加访问172.25.254.226的22端口

五、direct rules

直接端口服务适用于服务或者程序，在运行期间添加规则优先使用

在filter表中的第一行添加172.25.254所有网段的80端口拒绝服务

不能访问172.25.254.250和172.25.254.126，可以访问172.25.26.126

六、rich rules

通过rich language语法，可以用简单的语法建立复杂防火墙规则

打开伪装

将从真机的22端口发出的数据伪装成172.25.26.226出来的数据

测试，连接126显示的IP为172.25.26.226

将从客户传输来的数据伪装成172.25.254.126来的数据

客户端连接真机，显示登陆为www.westos.com，查看解析后发现是172.25.254.126主机

修改http默认端口为6666，添加策略

查看，未添加成功6666端口到http

添加6666到默认端口中，重启服务

可以访问6666端口通过http