C/C++教程

一文带你体验CentOS7防火墙firewall

本文主要是介绍一文带你体验CentOS7防火墙firewall,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

@[toc]


### 防火墙分类:
硬件防火墙
软件防火墙
比如360,金山毒霸,这些就是一种软件防火墙

### 防火墙的作用

防火墙主要是做隔离,严格过滤入站,允许出站

软件防火墙:做本机的防护            

### firewalld 实战
#### firewalld 介绍
在centos7中默认的防火墙系统,是一个集合多款防火墙管理工具并存的系统, 同时拥有命令行终端和他图形化界面的配置工具。

相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换


默认安装,默认随机自动启动

系统服务: firewalld
管理工具: firewalld-cmd ,firewall-config(图形工具)
     
重启防火墙:
  

```bash
[root@itlaoxin162 ~]# systemctl restart firewalld
```
#### firewalld 四个常用区域
根据所在的网络场所区分,预设保护规则集,有四个部分用的比较多:
- public: 仅允许访问本机的SSH,dhcp, ping 服务
- trusted: 允许任何访问
- block: 阻塞任何来访请求(明确拒绝,给客户端一个回应)
- drop: 丢弃任何来访的数据包(直接丢弃,不给客户端回应,节省资源)
 
 
 #### 防火墙的匹配原则:
 
 一个数据包包含三个部分: 源IP地址,目标IP地址,数据
 1. 查看数据包中源IP地址,然后查询所有区域中的规则,哪一个区域中有该源IP地址的规则,则进入哪一个区域
 2.  若第一条不符合,进入默认区域(public)

当然默认区域 可以修改。


怎么查看默认区域呢?

#### 案例一: 查看默认zone

```bash
[root@itlaoxin162 ~]# firewall-cmd  --get-default-zone 
public
```

### 常用命令参数

|参数|作用|
|--|--|
--get-default-zone    |查访默认的区域名称
--set-default-zone=<区域名称>    |设置默认的区域,使其永久生效
--get-zones|    显示可用的区域
--get-services    |显示预定义的服务
--get-active-zones    |显示当前正在使用的区域、来源地址和网卡名称
--add-source=    |将源自此IP或子网的流量导向指定的区域
--remove-source=    |不再将源自此IP或子网的流量导向这个区域
--list-all    |显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones    |显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>    |设置默认区域允许该服务的流量
--add-port=<端口号/协议>    |设置默认区域允许该端口的流量
--remove-service=<服务名>    |设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>|    设置默认区域不再允许该端口的流量
--reload|    让“永久生效”的配置规则立即生效,并覆盖当前的配置规则


#### 案例二: 修改默认zone
修改默认区域:

```bash
[root@itlaoxin162 ~]# firewall-cmd --set-default-zone=block
success
[root@itlaoxin162 ~]# firewall-cmd --get-default-zone 
block
可以看到默认区域改成了block

```
#### 案例三: 在public区域添加协议

```bash
[root@itlaoxin162 ~]# firewall-cmd --zone=public --add-service=ftp
success
[root@itlaoxin162 ~]# firewall-cmd --zone=public --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ftp ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

```

注意: 一旦重启,public里我们添加的协议就没有了,恢复到原来的样子

所以firewall给我们提供了永久性的规则

使用 permanent 来永久添加规则
方法就是在firewall-cmd命令后面添加--permanent参数,这样配置的防火墙策略就可以永久生效了

#### 案例四: 把http协议永久加入到public 区域
```bash
[root@itlaoxin162 ~]# firewall-cmd --permanent --zone=public --add-service=http
success

```

查看一下:

![在这里插入图片描述](https://www.www.zyiz.net/i/ll/?i=20210530133610510.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3hpbnNodXpoYW4=,size_16,color_FFFFFF,t_70)
  原因是这种永久添加是添加了配置文件里需要重新服务器生效。 
如果不想重启服务器,则需要使用 --reload命令

   

```bash
[root@itlaoxin162 ~]# firewall-cmd --reload
success
[root@itlaoxin162 ~]# firewall-cmd --zone=public  --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client http ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
```

 
#### 案例五: 拒绝某一个IP 访问

```bash
[root@itlaoxin-163 ~]# ping 192.168.1.162

64 bytes from 192.168.1.163: icmp_seq=1 ttl=64 time=0.097 ms
```

我们将192.168.1.163的源IP地址,写入block区域

     

```bash
[root@itlaoxin162 ~]# firewall-cmd 
[root@itlaoxin162 ~]# firewall-cmd --zone=block --add-source=192.168.1.162
success
[root@itlaoxin162 ~]# firewall-cmd --zone=block --list-all
block (active)
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: ens32
  sources: 192.168.1.162
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

```

再来ping一下看一下效果

```bash
[root@itlaoxin-163 ~]# ping 192.168.1.162
PING 192.168.1.162 (192.168.1.162) 56(84) bytes of data.
From 192.168.1.162 icmp_seq=1 Destination Host Prohibited
```
     这里会提示错误

一般常用的两种思路:
- 宽松: 默认区域为trsuted ,单独拒绝的源IP地址写入block
- 严格: 默认区域为block,单独允许的源IP地址写入trsuted


               
                          

这篇关于一文带你体验CentOS7防火墙firewall的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!