參考文章：https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls

     https://www.cnblogs.com/moxiaoan/p/5683743.html

  http://www.sa-log.com/282.html

CentOS7使用firewalld開啟關閉防火牆與埠

1、firewalld的基本使用 啟動： systemctl start firewalld 檢視狀態： systemctl status firewalld  停止： systemctl disable firewalld 禁用： systemctl stop firewalld   2.systemctl是CentOS7的服務管理工具中主要的工具，它融合之前service和chkconfig的功能於一體。

啟動一個服務：systemctl start firewalld.service
關閉一個服務：systemctl stop firewalld.service
重啟一個服務：systemctl restart firewalld.service
顯示一個服務的狀態：systemctl status firewalld.service
在開機時啟用一個服務：systemctl enable firewalld.service
在開機時禁用一個服務：systemctl disable firewalld.service
檢視服務是否開機啟動：systemctl is-enabled firewalld.service
檢視已啟動的服務列表：systemctl list-unit-files|grep enabled
檢視啟動失敗的服務列表：systemctl --failed

3.配置firewalld-cmd

檢視版本： firewall-cmd --version 檢視幫助： firewall-cmd --help 顯示狀態： firewall-cmd --state 檢視所有開啟的埠： firewall-cmd --zone=public --list-ports 更新防火牆規則： firewall-cmd --reload 檢視區域資訊:  firewall-cmd --get-active-zones 檢視指定介面所屬區域： firewall-cmd --get-zone-of-interface=eth0 拒絕所有包：firewall-cmd --panic-on 取消拒絕狀態： firewall-cmd --panic-off 檢視是否拒絕： firewall-cmd --query-panic   那怎麼開啟一個埠呢 新增 firewall-cmd --zone=public --add-port=80/tcp --permanent    （--permanent永久生效，沒有此引數重啟後失效） 重新載入 firewall-cmd --reload 檢視 firewall-cmd --zone= public --query-port=80/tcp 刪除 firewall-cmd --zone= public --remove-port=80/tcp --permanent

CentOS7使用firewalld詳解

在CentOS7開始,預設是沒有iptables的,而是使用了firewall防火牆.
與時俱進,簡單的整理了一下firewall的使用方法.
關於詳細的介紹參考官網,就不搬字了.這個網站有中文選項.可以直接看中文.關於CentOS7 非常多是資料這裡面都能找到.
官方文件地址：

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld

正文開始
FirewallD 提供了支援網路/防火牆區域(zone)定義網路連結以及介面安全等級的動態防火牆管理工具。

什麼是動態防火牆?

我們首先需要弄明白的第一個問題是到底什麼是動態防火牆。為了解答這個問題，我們先來回憶一下 iptables service 管理防火牆規則的模式：使用者將新的防火牆規則新增進  /etc /sysconfig /iptables 配置檔案當中，再執行命令 service iptables reload 使變更的規則生效。在這整個過程的背後，iptables service 首先對舊的防火牆規則進行了清空，然後重新完整地載入所有新的防火牆規則，而如果配置了需要 reload 核心模組的話，過程背後還會包含解除安裝和重新載入核心模組的動作，而不幸的是，這個動作很可能對執行中的系統產生額外的不良影響，特別是在網路非常繁忙的系統中。

如果我們把這種哪怕只修改一條規則也要進行所有規則的重新載入的模式稱為靜態防火牆的話，那麼 firewalld 所提供的模式就可以叫做動態防火牆，它的出現就是為了解決這一問題，任何規則的變更都不需要對整個防火牆規則列表進行重新載入，只需要將變更部分儲存並更新到執行中的 iptables 即可。

這裡有必要說明一下 firewalld 和 iptables 之間的關係， firewalld 提供了一個 daemon 和 service，還有命令列和圖形介面配置工具，它僅僅是替代了 iptables service 部分，其底層還是使用 iptables 作為防火牆規則管理入口。firewalld 使用 python 語言開發，在新版本中已經計劃使用  c++ 重寫 daemon 部分。

什麼是區域(zone)?

firewalld將網絡卡對應到不同的區域（zone），zone 預設共有 9個，block dmz drop external home internal public trusted work.
不同的區域之間的差異是其對待資料包的預設行為不同，根據區域名字我們可以很直觀的知道該區域的特徵，在CentOS7系統中，預設區域被設定為public.
在最新版本的fedora（fedora21）當中隨著 server 版和 workstation 版的分化則添加了兩個不同的自定義 zone FedoraServer 和 FedoraWorkstation 分別對應兩個版本。

使用下面的命令分別列出所有支援的 zone 和檢視當前的預設 zone：

[root @ test ~ ] # firewall-cmd --get-zones
block dmz drop external home internal public trusted work
[root @ test ~ ] # firewall-cmd --get-default-zone
public

區域(zone)說明如下:
iptables service 在 /etc/sysconfig/iptables 中儲存配置
firewalld 將配置儲存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各種 XML 檔案裡

在/etc/firewalld/的區域設定是一系列可以被快速執行到網路介面的預設定。列表並簡要說明如下：

drop（丟棄）
任何接收的網路資料包都被丟棄，沒有任何回覆。僅能有傳送出去的網路連線。
block（限制）
任何接收的網路連線都被 IPv4 的 icmp-host-prohibited 資訊和 IPv6 的 icmp6-adm-prohibited 資訊所拒絕。
public（公共）
在公共區域內使用，不能相信網路內的其他計算機不會對您的計算機造成危害，只能接收經過選取的連線。
external（外部）
特別是為路由器啟用了偽裝功能的外部網。您不能信任來自網路的其他計算，不能相信它們不會對您的計算機造成危害，只能接收經過選擇的連線。
dmz（非軍事區）
用於您的非軍事區內的電腦，此區域內可公開訪問，可以有限地進入您的內部網路，僅僅接收經過選擇的連線。
work（工作）
用於工作區。您可以基本相信網路內的其他電腦不會危害您的電腦。僅僅接收經過選擇的連線。
home（家庭）
用於家庭網路。您可以基本信任網路內的其他計算機不會危害您的計算機。僅僅接收經過選擇的連線。
internal（內部）
用於內部網路。您可以基本上信任網路內的其他計算機不會威脅您的計算機。僅僅接受經過選擇的連線。
trusted（信任）
可接受所有的網路連線。
指定其中一個區域為預設區域是可行的。當介面連線加入了 NetworkManager，它們就被分配為預設區域。安裝時，firewalld 裡的預設區域被設定為公共區域。

什麼是服務?

在  /usr /lib /firewalld /services / 目錄中，還儲存了另外一類配置檔案，每個檔案對應一項具體的網路服務，如  ssh 服務等.
與之對應的配置檔案中記錄了各項服務所使用的 tcp /udp 埠，在最新版本的 firewalld 中預設已經定義了  70+ 種服務供我們使用.
當預設提供的服務不夠用或者需要自定義某項服務的埠時，我們需要將 service 配置檔案放置在  /etc /firewalld /services / 目錄中.
service 配置的好處顯而易見:
第一，通過服務名字來管理規則更加人性化，
第二，通過服務來組織埠分組的模式更加高效，如果一個服務使用了若干個網路埠，則服務的配置檔案就相當於提供了到這些埠的規則管理的批量操作快捷方式。

每載入一項 service 配置就意味著開放了對應的埠訪問，使用下面的命令分別列出所有支援的 service 和檢視當前 zone 種載入的 service：

[root @ test ~ ] # firewall-cmd --get-services
RH-Satellite- 6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns  ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp  ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
[root @ test ~ ] # firewall-cmd --list-services
dhcpv6-client  ssh

動態新增一條防火牆規則如下:
假設自定義的 ssh 埠號為 12222，使用下面的命令來新增新埠的防火牆規則：

firewall-cmd  --add-port= 12222 /tcp  --permanent

如果需要使規則儲存到 zone 配置檔案，則需要加引數 –permanent
舉例如下:

[root @ test zones ] # firewall-cmd --add-port=12222/tcp
success
[root @ test zones ] # cat /etc/firewalld/zones/public.xml
<?xml  version= "1.0"  encoding= "utf-8"? >
<zone >
<short >Public </short >
<description >For use  in public areas. You  do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted. </description >
<service  name= "dhcpv6-client" />
<service  name= "ssh" />
</zone >
[root @ test zones ] # firewall-cmd --add-port=12222/tcp --permanent
success
[root @ test zones ] # cat /etc/firewalld/zones/public.xml
<?xml  version= "1.0"  encoding= "utf-8"? >
<zone >
<short >Public </short >
<description >For use  in public areas. You  do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted. </description >
<service  name= "dhcpv6-client" />
<service  name= "ssh" />
<port  protocol= "tcp"  port= "12222" />
</zone >

# 注意:防火牆配置檔案也可以手動修改,修改後記得過載,過載方法請看下文.

#####firewalld命令#####

# 關閉firewalld
[root @ test zones ] # systemctl stop firewalld.service

# 啟動firewalld
[root @ test zones ] # systemctl start firewalld.service

# 把firewalld加入到系統服務
[root @ test zones ] # systemctl enable firewalld.service

# 從系統服務移除
[root @ test zones ] # systemctl disable firewalld.service
rm  '/etc/systemd/system/basic.target.wants/firewalld.service'
rm  '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'

# 檢視firewalld狀態 兩種方法2選1即可
[root @ test zones ] # firewall-cmd --state
running
[root @ test zones ] # systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded  ( /usr /lib /systemd /system /firewalld.service; enabled )
Active: active  (running ) since Tue  2015- 10-06  11: 49:06 CST; 2s ago
Main PID:  21716  (firewalld )
CGroup:  /system.slice /firewalld.service
└─ 21716  /usr /bin /python  -Es  /usr /sbin /firewalld  --nofork  --nopid

Oct 06  11: 49:06  test systemd [ 1 ]: Starting firewalld - dynamic firewall daemon...
Oct 06  11: 49:06  test systemd [ 1 ]: Started firewalld - dynamic firewall daemon.

# 重讀防火牆
# 以 root 身份輸入以下命令，重新載入防火牆，並不中斷使用者連線，即不丟失狀態資訊：

[root @ test ~ ] # firewall-cmd --reload
success

# 以 root 身份輸入以下資訊，重新載入防火牆並中斷使用者連線，即丟棄狀態資訊：

[root @ test ~ ] # firewall-cmd --complete-reload
success

# 注意:通常在防火牆出現嚴重問題時，這個命令才會被使用。比如，防火牆規則是正確的，但卻出現狀態資訊問題和無法建立連線。

# 獲取支援的區域(zone)列表

[root @ test zones ] # firewall-cmd --get-zones
block dmz drop external home internal public trusted work

# 獲取所有支援的服務

[root @ test zones ] # firewall-cmd --get-services
RH-Satellite- 6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns  ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp  ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

# 獲取所有支援的ICMP型別

[root @ test zones ] # firewall-cmd --get-icmptypes
destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded

# 列出全部啟用的區域的特性

[root @ test zones ] # firewall-cmd --list-all-zones
# 輸出格式是：
<zone >
interfaces:  <interface1 > ..
services:  <service1 > ..
ports:  <port1 > ..
forward-ports:  <forward port1 > ..
icmp-blocks:  <icmp type1 > ..

# 輸出區域 <zone> 全部啟用的特性。如果生略區域，將顯示預設區域的資訊。
firewall-cmd [–zone=<zone>] –list-all

[root @ test zones ] # firewall-cmd --list-all
public  (default, active )
interfaces: eno16777736
sources:
services: dhcpv6-client  ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[root @ test zones ] # firewall-cmd --zone=work --list-all
work
interfaces:
sources:
services: dhcpv6-client ipp-client  ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:

# 獲取預設區域的網路設定

[root @ test zones ] # firewall-cmd --get-default-zone
public

# 設定預設區域

[root @ test zones ] # firewall-cmd --set-default-zone=work
success

# 注意:流入預設區域中配置的介面的新訪問請求將被置入新的預設區域。當前活動的連線將不受影響。

# 獲取活動的區域

[root @ test zones ] # firewall-cmd --get-active-zones
work
interfaces: eno16777736

# 根據介面獲取區域
firewall-cmd –get-zone-of-interface=<interface>

[root @ test zones ] # firewall-cmd --get-zone-of-interface=eno16777736
public

## 以下關於區域和介面的操作,就不一一舉例了,可以根據實際情況修改.
# 將介面增加到區域

firewall-cmd  [--zone= <zone > ]  --add-interface= <interface >

# 如果介面不屬於區域，介面將被增加到區域。如果區域被省略了，將使用預設區域。介面在重新載入後將重新應用。

# 修改介面所屬區域

firewall-cmd  [--zone= <zone > ]  --change-interface= <interface >

# 這個選項與 –add-interface 選項相似，但是當介面已經存在於另一個區域的時候，該介面將被新增到新的區域。

# 從區域中刪除一個介面

firewall-cmd  [--zone= <zone > ]  --remove-interface= <interface >

# 查詢區域中是否包含某介面

firewall-cmd  [--zone= <zone > ]  --query-interface= <interface >

# 注意:返回介面是否存在於該區域。沒有輸出。

# 列舉區域中啟用的服務

firewall-cmd  [  --zone= <zone >  ]  --list-services

# 這兩條簡單點說,就是斷網和連網.
# 啟用應急模式阻斷所有網路連線，以防出現緊急狀況

firewall-cmd  --panic-on

# 禁用應急模式

firewall-cmd  --panic-off

# 查詢應急模式

firewall-cmd  --query-panic

# 啟用區域中的一種服務

firewall-cmd  [--zone= <zone > ]  --add-service= <service >  [--timeout= <seconds > ]

# 此舉啟用區域中的一種服務。如果未指定區域，將使用預設區域。如果設定了超時時間，服務將只啟用特定秒數。如果服務已經活躍，將不會有任何警告資訊。
# 例: 使區域中的 ipp-client 服務生效60秒:

firewall-cmd  --zone=home  --add-service=ipp-client  --timeout= 60

相關推薦