CentOS7上安装设置FirewallD防火墙详解

中华辞典

精确设置的防火墙是整个体系安全性中最紧张的方面之一。
FirewallD是一个完备的防火墙办理方案，用于管理体系的iptables规则，并提供用于对其举行操纵的D-Bus接口。 从CentOS 7开始，FirewallD将更换iptables为默认的防火墙管理工具。
在本教程中，我们将向您展示如安在CentOS 7体系上利用FirewallD设置防火墙，并向您表明根本的FirewallD概念。
须要条件
在开始本教程之前，请确保利用具有sudo权限的用户帐户或root用户登录服务器。最佳做法是将管理下令作为sudo用户而不是root用户运行，假如您的CentOS体系上没有sudo用户，则可以按照这些阐明创建一个。
Firewalld根本概念
FirewallD利用地区和服务的概念，而不是iptables链和规则。根据您要设置的地区和服务，您可以控制答应或克制收支体系的流量。
可以利用firewall-cmd下令行实用步伐设置和管理FirewallD。
Firewalld地区
地区是预界说的规则集，用于根据盘算机毗连到的网络上的信托级别指定应答应的流量。您可以将网络接口和源分配给地区。

• Bellow是FirewallD提供的地区，根据地区的信托级别从不信托到可信：
  
• drop：删除全部传入毗连而不发出任何关照。仅答应传出毗连。
  
• block：全部传入毗连都被拒绝，此中包罗用于IPv4的icmp-host-prohibited消息和用于IPv6n的icmp6-adm-prohibited。仅答应传出毗连。
  
• 公众：用于不受信托的公共场合。您不信托网络上的其他盘算机，但您可以答应选定的传入毗连。
  
• external：用于在体系充当网关或路由器时启用NAT伪装的外部网络。仅答应选定的传入毗连。
  
• internal：用于在体系充当网关或路由器时在内部网络上利用。网络上的其他体系通常是可信的。仅答应选定的传入毗连。
  
• dmz：用于位于非军事区的盘算机，该盘算机对网络别的部门的访问权限有限。仅答应选定的传入毗连。
  
• 工作：用于工作呆板。网络上的其他盘算机通常是可信的。仅答应选定的传入毗连。
  
• home：用于家用呆板。网络上的其他盘算机通常是可信的。仅答应选定的传入毗连。
  
• trusted：担当全部网络毗连。信托网络中的全部盘算机。
  

防火墙服务
Firewalld服务是在地区内应用的预界说规则，并界说须要的设置以答应特定服务的传入流量。
Firewalld运行时和永世设置
Firewalld利用两个独立的设置集，运行时和永世设置。
运行时设置是现实运行的设置，而且在重新启动时不会长期。 当Firewalld服务启动时，它会加载永世设置，从而成为运行时设置。
默认环境下，利用firewall-cmd实用步伐更改Firewalld设置时，更改将应用于运行时设置，以使更改成为永世性，您必要利用--permanent标记。
安装并启用FirewallD
01、安装FirewallD
默认环境下，Firewalld安装在CentOS 7上，但假如体系上未安装，则可以通过键入以下下令安装软件包：
sudo yum install firewalld
02、查抄防火墙状态。
默认环境下禁用Firewalld服务。 您可以利用以下下令查抄防火墙状态
sudo firewall-cmd --state
假如您刚刚安装或从未激活过，则该下令将打印不运行，否则您将看到正在运行。
03、启用FirewallD
要启动FirewallD服务并在引导范例上启用它：
sudo systemctl start firewalld
sudo systemctl enable firewalld
如下图：


利用Firewalld地区
初次启用FirewallD服务后，公共地区将设置为默认地区。 您可以键入以下内容来检察默认地区：
sudo firewall-cmd --get-default-zone
输出：
public
要获取全部可用地区的列表，请输入：
sudo firewall-cmd --get-zones
输出：
block dmz drop external home internal public trusted work
默认环境下，为全部网络接口分配默认地区。 要查抄网络接口利用的地区范例，请实行以下操纵：
sudo firewall-cmd --get-active-zones
输出：
public
  interfaces: ens33
上面的输出告诉我们，接口ens33分配给public地区。
您可以利用以下方式打印地区设置设置：
sudo firewall-cmd --zone=public --list-all
输出：
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client
  ports: 3389/tcp 21/tcp 60000-65535/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
以上下令截图如下：

从上面的输出中，我们可以看到公共地区处于运动状态并设置为默认值，由ens33接口利用。还答应与DHCP客户端和SSH相干的毗连。
假如要查抄全部可用地区的设置，请键入：
sudo firewall-cmd --list-all-zones
该下令将打印一个巨大的列表，将全部可用地区的设置。
如下图：

更改接口地区
您可以利用--zone标记联合--change-interface标记轻松更改接口地区。 以下下令将eth1接口分配给工作区：
sudo firewall-cmd --zone=work --change-interface=eth1
输入以下内容验证更改：
sudo firewall-cmd --get-active-zones
输出：
work
  interfaces: eth1
public
  interfaces: eth0
更改默认地区
要更改默认地区，请利用--set-default-zone标记，后跟要作为默认地区的名称。 比方，要将默认地区更改为home，您应该运行以下下令：
sudo firewall-cmd --set-default-zone=home
验证更改：
sudo firewall-cmd --get-default-zone
输出
home
开放端口或服务
利用FirewallD，您可以根据称为服务的预界说规则答应特定端口的流量。
要获取全部默承认用服务范例的列表：
sudo firewall-cmd --get-services

您可以通过在/usr/lib/firewalld/services目次中打开关联的.xml文件来查找有关每个服务的更多信息。 比方，HTTP服务界说如下：
/usr/lib/firewalld/services/http.xml


  WWW (HTTP)
  HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages.
 

要答应公共地区中的接口传入HTTP流量（端口80），仅针对当前会话（运行时设置）范例：
sudo firewall-cmd --zone=public --add-service=http
假如要修改默认地区，可以省略--zone标记。
要验证是否已乐成添加服务，请利用--list-services标记：
sudo firewall-cmd --zone=public --list-services
输出：
ssh dhcpv6-client http
假如你想在重新启动后保持端口80打开，你必要再次输入雷同的下令，但这次利用--permanent标记：
sudo firewall-cmd --permanent --zone=public --add-service=http
利用--list-services和--permanent标记来验证您的更改：
sudo firewall-cmd --permanent --zone=public --list-services
输出：
ssh dhcpv6-client http
删除服务的语法与添加服务时的语法雷同。 只需利用--remove-service而不是--add-service标记：
sudo firewall-cmd --zone=public --remove-service=http --permanent
上面的下令将从公共地区永世设置中删除http服务。
假如您正在运行没有得当服务的Plex Media Server等应用步伐，该怎么办？
【Plex Media Server进入Ubuntu和其他Linux发行版的Snap生态应用  见 http://www.linuxidc.com/Linux/2018-10/154783.htm】
在这种环境下，您有两种选择。 您可以打开相应的端口或界说新的FirewallD服务。
比方，Plex服务器侦听端口32400并利用TCP，利用--add-port =标记打开当前会话的公共地区中的端口：
sudo firewall-cmd --zone=public --add-port=32400/tcp
协议可以是tcp或udp。
要验证端口是否已乐成添加，请利用--list-ports标记：
sudo firewall-cmd --zone=public --list-ports
32400/tcp
要在重新启动后保持端口32400打开，请通过利用--permanent标记运行雷同的下令将规则添加到永世设置。
删除端口的语法与添加端口时的语法雷同。 只需利用--remove-port而不是--add-port标记。
sudo firewall-cmd --zone=public --remove-port=32400/tcp
创建新的FirewallD服务
正如我们已经提到的，默认服务存储在/ usr / lib / firewalld / services目次中。 创建新服务的最简朴方法是将现有服务文件复制到/ etc / firewalld / services目次，该目次是用户创建的服务的位置并修改文件设置。
比方，要为Plex Media Server创建服务界说，我们可以利用HTTP服务文件：
sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/plexmediaserver.xml
打开新创建的plexmediaserver.xml文件，并在和标志内更改服务的短名称和形貌。 您必要更改的最紧张标志是端口标志，用于界说要打开的端标语和协议。 在以下示例中，我们将打开1900个UDP和32400个TCP端口。
/etc/firewalld/services/plexmediaserver.xml


plexmediaserver
Plex is a streaming media server that brings all your video, music and photo collections together and stream them to your devices at anytime and from anywhere.



生存文件并重新加载FirewallD服务：
sudo firewall-cmd --reload
您如今可以在地区中利用plexmediaserver服务，与任何其他服务雷同。
利用Firewalld转发端口
要将流量从一个端口转发到另一个端口或地点，请起首利用--add-masquerade开关为所需地区启用伪装。 比方，要为外部地区范例启用伪装：
sudo firewall-cmd --zone=external --add-masquerade
在同一服务器大将流量从一个端口转发到另一个端口
在以下示例中，我们将流量从端口80转发到同一服务器上的端口8080：
sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080
将流量转发到其他服务器
在以下示例中，我们将流量从端口80转发到IP 192.168.1.2的服务器上的端口80：
sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.2
将流量转发到其他端口上的另一台服务器
在以下示例中，我们将流量从端口80转发到IP 192.168.1.2的服务器上的端口8080：
sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.2
假如你想使先锋永世性只是附加--permanent标记。
利用FirewallD创建规则集
在以下示例中，我们将向您展示假如您运行Web服务器时怎样设置防火墙。 我们假设您的服务器只有一个接口eth0，而且您盼望仅在SSH，HTTP和HTTPS端口上答应传入流量。
01、将默认地区更改为dmz
我们将利用dmz（非军事化或隔离区）地区，由于默认环境下它只答应SSH流量。 要将默认地区更改为dmz并将其分配给eth0接口，请运行以下下令：
sudo firewall-cmd --set-default-zone=dmz
sudo firewall-cmd --zone=dmz --add-interface=eth0
02、打开HTTP和HTTPS端口：
要打开HTTP和HTTPS端口，请向dmz地区添加永世服务规则：
sudo firewall-cmd --permanent --zone=dmz --add-service=http
sudo firewall-cmd --permanent --zone=dmz --add-service=https
通过重新加载防火墙立纵然更改见效：
03、验证更改
要查抄dmz地区设置设置，请键入：
sudo firewall-cmd --zone=dmz --list-all
输出：
dmz (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: ssh http https
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
上面的输出告诉我们dmz是默认地区，应用于eth0接口，ssh（22）http（80）和https（443）端口打开。
总结
您已经学习了如安在CentOS体系上设置和管理FirewallD服务。
确保答应体系正常运行所需的全部传入毗连，同时限定全部不须要的毗连。




假如您喜好小编所写的内容可以关注本账号，我会不定期的更新一些linux相干技能文档，让我们共同砚习，共同发展！