Firewalld防火墙

firewalld 的作用是为包过滤机制提供匹配规则(或称为策略)，通过各种不同的规则告诉netfilter 对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式为了更加方便地组织和管理防火墙,firewal1d 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4、IPv6 防火墙设置以及以太网桥，并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。

firewalld 自身并不具备防火墙的功能，而是和iptables:一样需要通过内核的 netfilter 来实现。也就是说 firewalld 和 iptables 一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的 netfilter，只不过 firewalld 和 iptables 的结构以及使用方法不一样罢了。

系统提供了图形化的配置工具 firewal1-config、system-config-firewal，提供命令行客户端firewall-cmd，用于配置firewalld 永久性或非永久性运行世界的改变；它以此用iptables工具于执行数据包筛选的内核中的Netfilter通信。

从图中可以看到，iptables 服务和 firewalld 都是通过 iptables 命令与内核的 netfilter 进行交互的。在 Eu1er 系统中，我们仍然可以使用 iptables 命令来管理我们的防火墙。唯一不同的是当我们重启服务器或重启 firewa1ld 时,iptables 命令管理的规则不会自动加载，反而会被 firewalld的规则代替。

firewalld 与 iptables service的区别

|----------------------|----------------------------------------------------------|
| iptables service | /etc/sysconfig/iptables 中储存配置 |
| firewalld | 将配置储存在/usr/lib/firewalld/和 /etc/firewalld/ 中的各种 XML 文件里。 |

使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld 却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld 可以在运行时间内,改变设置而不丢失现行连接。

Firewalld 网络区域

firewalld 将所有的网络数据流量划分为多个区域，从而简化防火墙管理。根据数据包的源 IP 地址或传入网络接口等条件，将数据流量转入相应区域的防火墙规则。对于进入系统的数据包，首先检査的就是其源地址。

若源地址关联到特定的区域，则执行该区域所制定的规则。

若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则。

若网络接口未关联到特定的区域，则使用默认区域并执行该区域所制定的规则。

默认区域不是单独的区域，而是指向系统上定义的某个其他区域。默认情况下，默认区域是 public,但是系统管理员可以更改默认区域。以上匹配规则，按照先后顺序，第一个匹配的规则胜出。

在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld 的每个预定义的区域都设置了默认打开的服务。下表中列出了 firewalld 的预定义区域说明。

|--------------|-----------------------------------------------------------------------------------|
| 区域 | 默认策略规则 |
| trusted | 允许所有的数据包 |
| home | 拒绝流人的流量，除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client 服务相关，则允许流量 |
| internal | 等同于 home 区域 |
| work | 拒绝流人的流量，除非与流出的流量数相关;而如果流量与ssh、ipp-client与dhcpv6-client 服务相关，则允许流量 |
| public | 拒绝流人的流量，除非与流出的流量相关;而如果流量与ssh、dhcpv6-client 服务相关，则允许流量 |
| external | 拒绝流人的流量，除非与流出的流量相关;而如果流量与ssh服务相关，则允许流量 |
| dmz | 拒绝流入的流量，除非与流出的流量相关;而如果流量与ssh服务相关，则允许流量 |
| block | 拒绝流人的流量，除非与流出的流量相关 |
| drop | 拒绝流人的流量，除非与流出的流量相关 |

Firewalld 防火墙图形配置方法

在Euler系统中，可以通过该命令 dnf -y install gnome-shell gdm gnome-session firewall-config 来下载图形化页面

dnf -y install gnome-shell gdm gnome-session firewall-config

通过init进入图形化页面（输入账号密码进入图形化页面）

进入防火墙选项

服务选项

想要那种协议通过防火墙就对该协议画对勾就可，以http为例：

客户端验证：

端口号

添加所允许的端口号即可：

客户端验证：

协议选项

用于添加所有主机或网络均可访问的协议。

源端口选项

根据所需要的源端口或范围来规划：

伪装选项

用于把私有地址映射到公有的ip地址上，该功能目前只适用于ipv4.

端口转发

端口转发选项可以将指定端口映射到另外一个端口或其他主机的指定端口。

ICMP过滤器

ICMP 主要用于在联网的计算机间发送出错信息,但也发送类似 ping 请求以及回应等信息。在"ICMP过滤器"子选项卡中可以选择应该被拒绝的 ICMP 类型，其他所有的 ICMP 类型则被允许通过防火墙。默认设置是没有限制。

防火墙的配置运行状态运行时和永久有什么区别

运行时：在防火墙运行时，添加策略会立即生效，但重启后该策略就会消失。

永久：永久写入的策略会在重启后，该策略一直存在于服务中。

Firewalld 防火墙 firewall-cmd命令设置

获取预定义信息

预定义信息主要包括三种：可用的区域、可用的服务以及可用的ICMP阻塞类型，具体查看命令如下：

该上命令各种阻塞类型含义如下：

destination-unreachable：目的地址不可达。

echo-reply：应回应(pong)。

parameter-problem：参数问题。

redirect：重新定向。

router-advertisement：路由器通告。

router-solicitation：路由器征寻。

source-quench：源端抑制。

time-exceeded：超时。

timestamp-reply：时间戳应答回应。

timestamp-request：时间戳请求。

区域管理

使用 firewalld-cmd 命令可以实现获取和管理区域，为指定区域绑定端口等功能，关于direwall-cmd 的命令区域管理选项如下：

|-----------------------------------------------------|-----------------|
| 选项 | 说明 |
| --get-default-zone | 显示网络连接或接口的默认区域 |
| --set-default-zone=<zone> | 设置网络连接或接口的默认区域 |
| --get-active-zones | 显示已激活的所有区域 |
| --get-zone-of-interface=<interface> | 显示指定接口绑定的区域 |
| --zone=<zone>--add-interface=<interface> | 为指定接口绑定区域 |
| -zone=<zone>--change-interface=<interface> | 为指定的区域更改绑定的网络接口 |
| --zone=<zone>--remove-interface=<interface> | 为指定的区域删除绑定的网络接口 |
| --list-all-zones | 显示所有区域及其规则 |
| [--zone=<zone>]--list-all | 显示所有指定区域的所有规则 |

显示当前系统中默认的区域

显示默认区域的所有规则

显示网络接口 ens33对应区域

将网络接口 ens33 对应的区域更改为 internal 区域

显示所有激活区域

服务管理

为了方便管理，firewalld 预先定义了很多服务，存放在 /usr/1ib/firewalld/services/ 目录中，服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml，每个文件对应一项具体的网络服务，如ssh 服务等。与之对应的配置文件中记录了各项服务所使用的tcp/udp 端口。在最新版本的 firewalld 中默认已经定义了 70 多种服务供我们使用，对于每个网络区域，均可以配置允许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时，我们需要将 service 配置文件放置在/etc/firewalld/services/目录中。service 配置具有以下优点。

通过服务名字来管理规则更加人性化。

通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。

下列列出了 firewall-cmd 命令区域中的服务管理常用选项：

|---------------------------------|-----------------------------|
| 参数 | 作用 |
| --get-default-zone | 查访默认的区域名称 |
| --set-default-zone=<区域名称> | 设置默认的区域，使其永久生效 |
| --get-zones | 显示可用的区域 |
| --get-services | 显示预定义的服务 |
| --get-active-zones | 显示当前正在使用的区域、来源地址和网卡名称 |
| --add-source= | 将源自此IP或子网的流量导向指定的区域 |
| --remove-source= | 不再将源自此IP或子网的流量导向这个区域 |
| --add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
| --change-interface=<网卡名称> | 将某个网卡与区域进行关联 |
| --list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| --list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
| --add-service=<服务名> | 设置默认区域允许该服务的流量 |
| --add-port=<端口号/协议> | 设置默认区域允许该端口的流量 |
| --remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
| --remove-port=<端口号/协议> | 设置默认区域不再允许该端口的流量 |
| --reload | 让"永久生效"的配置规则立即生效，并覆盖当前的配置规则 |
| --panic-on | 开启应急状况模式 |
| --panic-off | 关闭应急状况模式 |

为默认区域设置允许访问的服务

bash 复制代码

[root@localhost ~]# firewall-cmd --add-service=dns
success
// 设置默认区域允许访问dns

为 internal 区域设置允许访问的服务

bash 复制代码

[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql
success        //设置internal 区域允许访问 mysql 服务

[root@localhost ~]# firewall-cmd --zone=internal --remove-service=samba-client
success        //设置internal 区域不允许 samba-client 服务

[root@localhost ~]# firewall-cmd --zone=internal --list-service
dhcpv6-client mdns mysql ssh        //显示 internal 区域内允许访问的所有服务

端口管理

在进行服务配置时，预定义的网络服务可以使用服务名配置，服务所涉及的端口就会自动打开。但是，对于非预定义的服务只能手动为指定的区域添加端口。例如，执行以下操作即可实现在 internal 区域打开 443/TCP 端口。

若想实现在 internal 区域禁止 443/TCP 端口访问，可执行以下命令。

两种配置模式

前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置，在系统或 firewa11d 服务重启、停止时配置将失效;永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置，是永久存储在配置文件中的。

firewall-cmd 命令工具与配置模式相关的选项有三个：

--reload：重新加载防火墙规则并保持状态信息，即将永久配置应用为运行时配置。

--permanent：带有此选项的命令用于设置永久性规则,这些规则只有在重新启动 firewalld 或重新加载防火墙规则时才会生效;若不带有此选项，表示用于设置运行时规则。

--runtime-to-permanent：将当前的运行时配置写入规则配置文件中，使之成为永久性配置。