如何在CentOS 7上使用FirewallD设置防火墙

正确配置的防火墙是整个系统安全的最重要方面之一。

FirewallD是一个完整的防火墙解决方案,可以管理系统的iptables规则并提供D-Bus接口以对其进行操作。 从CentOS 7开始,FirewallD取代iptables作为默认的防火墙管理工具。

在本教程中,我们向您展示如何在CentOS 7系统上使用FirewallD设置防火墙,并向您说明基本的FirewallD概念。

先决条件

在开始本教程之前,请确保您使用具有sudo特权的用户帐户或root用户登录到服务器。 最佳实践是以sudo用户而不是root用户身份运行管理命令。 如果您的CentOS系统上没有sudo用户,则可以按照以下说明创建一个。

基本防火墙概念

FirewallD使用区域和服务的概念,而不是iptables链和规则。 根据您要配置的区域和服务,您可以控制允许或禁止与系统之间的流量。

可以使用 firewall-cmd 命令行实用程序。

防火墙区域

区域是预定义的规则集,用于基于计算机所连接的网络上的信任级别来指定应允许的流量。 您可以将网络接口和源分配给区域。

以下是FirewallD提供的区域,根据区域的信任级别从不信任到信任:

  • 下降:删除所有传入连接,而无任何通知。 仅允许传出连接。
  • :所有传入连接均被拒绝 icmp-host-prohibited 的讯息 IPv4icmp6-adm-prohibited 用于IPv6n。 仅允许传出连接。
  • 上市:用于不受信任的公共区域。 您不信任网络上的其他计算机,但是可以允许选择的传入连接。
  • 外部:用于在系统充当网关或路由器时启用NAT伪装的外部网络。 仅允许选择的传入连接。
  • 内部:当系统充当网关或路由器时,可在内部网络上使用。 网络上的其他系统通常是受信任的。 仅允许选择的传入连接。
  • dmz:用于非军事区中访问网络其余部分的计算机。 仅允许选择的传入连接。
  • 工作:用于工作机。 网络上的其他计算机通常是受信任的。 仅允许选择的传入连接。
  • :用于家用机器。 网络上的其他计算机通常是受信任的。 仅允许选择的传入连接。
  • 可信赖的:接受所有网络连接。 信任网络中的所有计算机。

防火墙服务

防火墙服务是预定义的规则,适用于区域,并定义必要的设置以允许特定服务的传入流量。

防火墙运行时和永久设置

Firewalld使用两个独立的配置集,即运行时配置和永久配置。

运行时配置是实际的运行配置,并且在重新启动时不是持久的。 当防火墙服务启动时,它将加载永久配置,该配置将成为运行时配置。

默认情况下,使用 firewall-cmd 实用程序,更改将应用​​于运行时配置。 要使更改永久生效,您需要使用 --permanent 选项。

安装和启用防火墙D#

  1. 默认情况下,Firewalld是安装在CentOS 7上的,但是如果您的系统上未安装Firewalld,则可以通过输入以下内容安装软件包:

    sudo yum install firewalld
  2. 默认情况下禁用防火墙服务。 您可以使用以下方法检查防火墙状态:

    sudo firewall-cmd --state

    如果您刚刚安装或从未使用过,则将打印该命令 not running。 否则,您将看到 running

  3. 要启动FirewallD服务并在启动时启用它,请执行以下操作:

    sudo systemctl start firewalldsudo systemctl enable firewalld

使用防火墙区域

首次启用FirewallD服务后, public 区域设置为默认区域。 您可以通过键入以下内容来查看默认区域:

sudo firewall-cmd --get-default-zone
public

要获取所有可用区域的列表,请输入:

sudo firewall-cmd --get-zones
block dmz drop external home internal public trusted work

默认情况下,所有网络接口都分配有默认区域。 要检查您的网络接口使用了哪些区域,请输入:

sudo firewall-cmd --get-active-zones
public
  interfaces: eth0 eth1

上面的输出告诉我们两个接口 eth0eth1 被分配到公共​​区域。

您可以使用以下命令打印区域配置设置:

sudo firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources:
  services: ssh dhcpv6-client
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

从上面的输出中,我们可以看到公共区域处于活动状态并将其设置为默认区域,两者 eth0eth1 接口。 同样,允许与DHCP客户端和SSH相关的连接。

如果要检查所有可用区域的配置,请输入:

sudo firewall-cmd --list-all-zones

该命令将显示一个巨大的列表,其中包含所有可用区域的设置。

更改接口区域

您可以使用轻松更改界面区域 --zone 选项与 --change-interface 选项。 以下命令将分配 eth1 与工作区的接口:

sudo firewall-cmd --zone=work --change-interface=eth1

通过键入以下内容来验证更改:

sudo firewall-cmd --get-active-zones
work
  interfaces: eth1
public
  interfaces: eth0

更改默认区域号

要更改默认区域,请使用 --set-default-zone 选项,然后是您要设为默认区域的名称。

例如,要将默认区域更改为home,应运行以下命令:

sudo firewall-cmd --set-default-zone=home

使用以下命令验证更改:

sudo firewall-cmd --get-default-zone
home

打开端口或服务

使用FirewallD,您可以基于称为服务的预定义规则允许特定端口的通信。

要获取所有默认可用服务的列表,请输入:

sudo firewall-cmd --get-services

您可以通过以下方式打开有关每个服务的更多信息: /usr/lib/firewalld/services 目录。 例如,HTTP服务的定义如下:

/usr/lib/firewalld/services/http.xml

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>WWW (HTTP)</short>
  <description>HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages.</description>
  <port protocol="tcp" port="80"/>
</service>

要仅在当前会话(运行时配置)中允许公共区域中的接口的传入HTTP通信(端口80),请输入:

sudo firewall-cmd --zone=public --add-service=http

如果您要修改默认区域,则可以省略 --zone 选项。

要验证是否已成功添加服务,请使用 --list-services 选项:

sudo firewall-cmd --zone=public --list-services
ssh dhcpv6-client http

如果要在重新启动后保持端口80打开,则需要再次键入相同的命令,但是这次使用 --permanent 选项:

sudo firewall-cmd --permanent --zone=public --add-service=http

使用 --list-services 随着 --permanent 验证更改的选项:

sudo firewall-cmd --permanent --zone=public --list-services
ssh dhcpv6-client http

删除服务的语法与添加服务时的语法相同。 只需使用 --remove-service 而不是 --add-service 选项:

sudo firewall-cmd --zone=public --remove-service=http --permanent

上面的命令从公共区域永久配置中删除http服务。

如果您正在运行没有适当服务的应用程序(例如Plex Media Server),该怎么办?

在这种情况下,您有两种选择。 您可以打开适当的端口,也可以定义新的FirewallD服务。

例如,Plex服务器侦听端口32400并使用TCP,以在公共区域中为当前会话打开该端口,请使用 --add-port= 选项:

sudo firewall-cmd --zone=public --add-port=32400/tcp

协议可以是 tcp 要么 udp

要验证是否已成功添加端口,请使用 --list-ports 选项:

sudo firewall-cmd --zone=public --list-ports
32400/tcp

保留端口 32400 重新启动后打开,通过使用以下命令运行相同命令将规则添加到永久设置 --permanent 选项。

删除端口的语法与添加端口时的语法相同。 只需使用 --remove-port 而不是 --add-port 选项。

sudo firewall-cmd --zone=public --remove-port=32400/tcp

创建一个新的FirewallD服务

正如我们已经提到的,默认服务存储在 /usr/lib/firewalld/services 目录。 创建新服务的最简单方法是将现有服务文件复制到 /etc/firewalld/services 目录,这是用户创建的服务并修改文件设置的位置。

例如,要为Plex Media Server创建服务定义,我们可以使用SSH服务文件:

sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/plexmediaserver.xml

打开新创建的 plexmediaserver.xml 文件,并在以下位置更改服务的简称和说明 <short><description> 标签。 您需要更改的最重要的标签是 port 标记,用于定义您要打开的端口号和协议。

在以下示例中,我们将打开端口 1900 UDP和 32400 TCP。

/etc/firewalld/services/plexmediaserver.xml

<?xml version="1.0" encoding="utf-8"?>
<service version="1.0">
<short>plexmediaserver</short>
<description>Plex is a streaming media server that brings all your video, music and photo collections together and stream them to your devices at anytime and from anywhere.</description>
<port protocol="udp" port="1900"/>
<port protocol="tcp" port="32400"/>
</service>

保存文件并重新加载FirewallD服务:

sudo firewall-cmd --reload

您现在可以使用 plexmediaserver 您所在区域的服务与其他任何服务相同。

带防火墙的转发端口

要将流量从一个端口转发到另一个端口或地址,请先使用 --add-masquerade 开关。 例如启用伪装 external 区域类型:

sudo firewall-cmd --zone=external --add-masquerade
  • 将流量从一个端口转发到同一服务器上的另一个端口

在以下示例中,我们转发来自端口的流量 80 移植 8080 在同一台服务器上:

sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080
  • 将流量转发到另一台服务器

在以下示例中,我们转发来自端口的流量 80 移植 80 在具有IP的服务器上 10.10.10.2

sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toaddr=10.10.10.2
  • 将流量转发到其他端口上的另一台服务器

在以下示例中,我们转发来自端口的流量 80 移植 8080 在具有IP的服务器上 10.10.10.2

sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=10.10.10.2

如果要使转发永久化,只需附加 --permanent 选项。

使用FirewallD创建规则集

在以下示例中,我们将显示如果您正在运行Web服务器,则如何配置防火墙。 我们假设您的服务器只有一个接口 eth0,并且您只想允许SSH,HTTP和HTTPS端口上的传入流量。

  1. 将默认区域更改为dmz

    我们将使用dmz(非军事化)区域,因为默认情况下它仅允许SSH通信。 要将默认区域更改为dmz并将其分配给 eth0 界面,运行以下命令:

    sudo firewall-cmd --set-default-zone=dmzsudo firewall-cmd --zone=dmz --add-interface=eth0
  2. 打开HTTP和HTTPS端口:

    要打开HTTP和HTTPS端口,请将永久服务规则添加到dmz区域:

    sudo firewall-cmd --permanent --zone=dmz --add-service=httpsudo firewall-cmd --permanent --zone=dmz --add-service=https

    通过重新加载防火墙,使更改立即生效:

    sudo firewall-cmd --reload
  3. 验证更改

    要检查dmz区域配置设置,请输入:

    sudo firewall-cmd --zone=dmz --list-all
    dmz (active)
      target: default
      icmp-block-inversion: no
      interfaces: eth0
      sources:
      services: ssh http https
      ports:
      protocols:
      masquerade: no
      forward-ports:
      source-ports:
      icmp-blocks:
      rich rules:

    上面的输出告诉我们dmz是默认区域,应用于 eth0 接口和ssh(22)http(80)和https(443)端口已打开。

结论#

您已经了解了如何在CentOS系统上配置和管理FirewallD服务。

确保限制系统正常运行所需的所有传入连接,同时限制所有不必要的连接。

如有疑问,请在下面发表评论。

防火墙iptables centos安全性

Sidebar