rhel7firewallWord文档下载推荐.docx
《rhel7firewallWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《rhel7firewallWord文档下载推荐.docx(26页珍藏版)》请在冰点文库上搜索。
▪1.12.4ICMP类型
▪1.12.5直接接口
▪1.12.6运行时配置
▪1.12.7永久配置
▪1.12.8托盘小程序
▪1.12.9图形化配置工具
▪1.12.10命令行客户端
▪1.12.11对于ebtables的支持
▪1.12.12/usr/lib/firewalld中的默认/备用配置
▪1.12.13/etc/firewalld中的系统配置设置
o1.13正在开发的特性
▪1.13.1富语言
▪1.13.2锁定
▪1.13.3永久直接规则
▪1.13.4从ip*tables和ebtables服务迁移
o1.14计划和提议功能
▪1.14.1防火墙抽象模型
▪1.14.2对于conntrack的支持
▪1.14.3用户交互模型
▪1.14.4用户策略支持
▪1.14.5端口元数据信息(由LennartPoettering提议)
▪1.14.6sysctld
o1.15防火墙规则
使用FirewallD构建动态防火墙
FirewallD提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。
它支持IPv4,IPv6防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。
它也支持允许服务或者应用程序直接添加防火墙规则的接口。
以前的system-config-firewall/lokkit防火墙模型是静态的,每次修改都要求防火墙完全重启。
这个过程包括内核netfilter防火墙模块的卸载和新配置所需模块的装载等。
而模块的卸载将会破坏状态防火墙和确立的连接。
相反,firewalldaemon动态管理防火墙,不需要重启整个防火墙便可应用更改。
因而也就没有必要重载所有内核防火墙模块了。
不过,要使用firewalldaemon就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。
另外,firewalldaemon无法解析由ip*tables和ebtables命令行工具添加的防火墙规则。
守护进程通过D-BUS提供当前激活的防火墙设置信息,也通过D-BUS接受使用PolicyKit认证方式做的更改。
“守护进程”
应用程序、守护进程和用户可以通过D-BUS请求启用一个防火墙特性。
特性可以是预定义的防火墙功能,如:
服务、端口和协议的组合、端口/数据报转发、伪装、ICMP拦截或自定义规则等。
该功能可以启用确定的一段时间也可以再次停用。
通过所谓的直接接口,其他的服务(例如libvirt)能够通过iptables变元(arguments)和参数(parameters)增加自己的规则。
amanda、ftp、samba和tftp服务的netfilter防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。
附加助手的装载不作为当前接口的一部分。
由于一些助手只有在由模块控制的所有连接都关闭后才可装载。
因而,跟踪连接信息很重要,需要列入考虑范围。
静态防火墙(system-config-firewall/lokkit)
使用system-config-firewall和lokkit的静态防火墙模型实际上仍然可用并将继续提供,但却不能与“守护进程”同时使用。
用户或者管理员可以决定使用哪一种方案。
在软件安装,初次启动或者是首次联网时,将会出现一个选择器。
通过它你可以选择要使用的防火墙方案。
其他的解决方案将保持完整,可以通过更换模式启用。
firewalldaemon独立于system-config-firewall,但二者不能同时使用。
使用iptables和ip6tables的静态防火墙规则
如果你想使用自己的iptables和ip6tables静态防火墙规则,那么请安装iptables-services并且禁用firewalld,启用iptables和ip6tables:
yuminstalliptables-services
systemctlmaskfirewalld.service
systemctlenableiptables.service
systemctlenableip6tables.service
静态防火墙规则配置文件是/etc/sysconfig/iptables以及/etc/sysconfig/ip6tables.
注:
iptables与iptables-services软件包不提供与服务配套使用的防火墙规则.这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的.你可以安装并使用system-config-firewall来创建上述服务需要的规则.为了能使用system-config-firewall,你必须停止firewalld.
为服务创建规则并停用firewalld后,就可以启用iptables与ip6tables服务了:
systemctlstopfirewalld.service
systemctlstartiptables.service
systemctlstartip6tables.service
什么是区域?
网络区域定义了网络连接的可信等级。
这是一个一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。
预定义的服务
服务是端口和/或协议入口的组合。
备选内容包括netfilter助手模块以及IPv4、IPv6地址。
端口和协议
定义了tcp或udp端口,端口可以是一个端口或者端口范围。
ICMP阻塞
可以选择Internet控制报文协议的报文。
这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。
伪装
私有网络地址可以被映射到公开的IP地址。
这是一次正规的地址转换。
端口转发
端口可以映射到另一个端口以及/或者其他主机。
哪个区域可用?
由firewalld提供的区域按照从不信任到信任的顺序排序。
丢弃(drop)
任何流入网络的包都被丢弃,不作出任何响应。
只允许流出的网络连接。
阻塞(block)
任何进入的网络连接都被拒绝,并返回IPv4的icmp-host-prohibited报文或者IPv6的icmp6-adm-prohibited报文。
只允许由该系统初始化的网络连接。
公开(public)
用以可以公开的部分。
你认为网络中其他的计算机不可信并且可能伤害你的计算机。
只允许选中的连接接入。
外部(external)
用在路由器等启用伪装的外部网络。
隔离区(dmz)
用以允许隔离区(dmz)中的电脑有限地被外界网络访问。
只接受被选中的连接。
工作(work)
用在工作网络。
你信任网络中的大多数计算机不会影响你的计算机。
家庭(home)
用在家庭网络。
内部(internal)
用在内部网络。
受信任的(trusted)
允许所有网络连接。
我应该选用哪个区域?
例如,公共的WIFI连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。
根据与你使用的网络最符合的区域进行选择。
如何配置或者增加区域?
你可以使用任何一种firewalld配置工具来配置或者增加区域,以及修改配置。
工具有例如firewall-config这样的图形界面工具,firewall-cmd这样的命令行工具,以及D-BUS接口。
或者你也可以在配置文件目录中创建或者拷贝区域文件。
@PREFIX@/lib/firewalld/zones被用于默认和备用配置,/etc/firewalld/zones被用于用户创建和自定义配置文件。
如何为网络连接设置或者修改区域
区域设置以ZONE=选项存储在网络连接的ifcfg文件中。
如果这个选项缺失或者为空,firewalld将使用配置的默认区域。
如果这个连接受到NetworkManager控制,你也可以使用nm-connection-editor来修改区域。
由NetworkManager控制的网络连接
防火墙不能够通过NetworkManager显示的名称来配置网络连接,只能配置网络接口。
因此在网络连接之前NetworkManager将配置文件所述连接对应的网络接口告诉firewalld。
如果在配置文件中没有配置区域,接口将配置到firewalld的默认区域。
如果网络连接使用了不止一个接口,所有的接口都会应用到fiwewalld。
接口名称的改变也将由NetworkManager控制并应用到firewalld。
为了简化,自此,网络连接将被用作与区域的关系。
如果一个接口断开了,NetworkManager也将告诉firewalld从区域中删除该接口。
当firewalld由systemd或者init脚本启动或者重启后,firewalld将通知NetworkManager把网络连接增加到区域。
由脚本控制的网络
对于由网络脚本控制的连接有一条限制:
没有守护进程通知firewalld将连接增加到区域。
这项工作仅在ifcfg-post脚本进行。
因此,此后对网络连接的重命名将不能被应用到firewalld。
同样,在连接活动时重启firewalld将导致与其失去关联。
现在有意修复此情况。
最简单的是将全部未配置连接加入默认区域。
区域定义了本区域中防火墙的特性:
使用firewalld
你可以通过图形界面工具firewall-config或者命令行客户端firewall-cmd启用或者关闭防火墙特性。
使用firewall-cmd
命令行工具firewall-cmd支持全部防火墙特性。
对于状态和查询模式,命令只返回状态,没有其他输出。
一般应用
∙获取firewalld状态
firewall-cmd--state
此举返回firewalld的状态,没有任何输出。
可以使用以下方式获得状态输出:
firewall-cmd--state&
&
echo"
Running"
||echo"
Notrunning"
在Fedora19中,状态输出比此前直观:
#rpm-qf$(whichfirewall-cmd)
firewalld-0.3.3-2.fc19.noarch
#firewall-cmd--state
notrunning
∙在不改变状态的条件下重新加载防火墙:
firewall-cmd--reload
如果你使用--complete-reload,状态信息将会丢失。
这个选项应当仅用于处理防火墙问题时,例如,状态信息和防火墙规则都正常,但是不能建立任何连接的情况。
∙获取支持的区域列表
firewall-cmd--get-zones
这条命令输出用空格分隔的列表。
∙获取所有支持的服务
firewall-cmd--get-services
∙获取所有支持的ICMP类型
firewall-cmd--get-icmptypes
∙列出全部启用的区域的特性
firewall-cmd--list-all-zones
输出格式是:
interfaces:
..
services:
ports:
forward-ports:
icmp-blocks:
..
∙输出区域全部启用的特性。
如果生略区域,将显示默认区域的信息。
firewall-cmd[--zone=]--list-all
∙获取默认区域的网络设置
firewall-cmd--get-default-zone
∙设置默认区域
firewall-cmd--set-default-zone=
流入默认区域中配置的接口的新访问请求将被置入新的默认区域。
当前活动的连接将不受影响。
∙获取活动的区域
firewall-cmd--get-active-zones
这条命令将用以下格式输出每个区域所含接口:
:
..:
..
∙根据接口获取区域
firewall-cmd--get-zone-of-interface=
这条命令将输出接口所属的区域名称。
∙将接口增加到区域
firewall-cmd[--zone=]--add-interface=
如果接口不属于区域,接口将被增加到区域。
如果区域被省略了,将使用默认区域。
接口在重新加载后将重新应用。
∙修改接口所属区域
firewall-cmd[--zone=]--change-interface=
这个选项与--add-interface选项相似,但是当接口已经存在于另一个区域的时候,该接口将被添加到新的区域。
∙从区域中删除一个接口
firewall-cmd[--zone=]--remove-interface=
∙查询区域中是否包含某接口
firewall-cmd[--zone=]--query-interface=
返回接口是否存在于该区域。
没有输出。
∙列举区域中启用的服务
firewall-cmd[--zone=]--list-services
∙启用应急模式阻断所有网络连接,以防出现紧急状况
firewall-cmd--panic-on
∙禁用应急模式
firewall-cmd--panic-off
∙应急模式在0.3.0版本中发生了变化
在0.3.0之前的
∙FirewallD版本中,panic选项是--enable-panic与--disable-panic.
查询应急模式
firewall-cmd--query-panic
此命令返回应急模式的状态,没有输出。
firewall-cmd--query-panic&
On"
Off"
处理运行时区域
运行时模式下对区域进行的修改不是永久有效的。
重新加载或者重启后修改将失效。
∙启用区域中的一种服务
firewall-cmd[--zone=]--add-service=[--timeout=]
此举启用区域中的一种服务。
如果未指定区域,将使用默认区域。
如果设定了超时时间,服务将只启用特定秒数。
如果服务已经活跃,将不会有任何警告信息。
∙例:
使区域中的ipp-client服务生效60秒:
firewall-cmd--zone=home--add-service=ipp-client--timeout=60
启用默认区域中的http服务:
firewall-cmd--add-service=http
∙禁用区域中的某种服务
firewall-cmd[--zone=]--remove-service=
此举禁用区域中的某种服务。
禁止home区域中的http服务:
firewall-cmd--zone=home--remove-service=http
区域种的服务将被禁用。
如果服务没有启用,将不会有任何警告信息。
∙查询区域中是否启用了特定服务
firewall-cmd[--zone=]--query-service=
如果服务启用,将返回1,否则返回0。
没有输出信息。
∙启用区域端口和协议组合
firewall-cmd[--zone=]--add-port=[-]/[--timeout=]
此举将启用端口和协议的组合。
端口可以是一个单独的端口或者是一个端口范围-。
协议可以是tcp或udp。
∙禁用端口和协议组合
firewall-cmd[--zone=]--remove-port=[-]/
∙查询区域中是否启用了端口和协议组合
firewall-cmd[--zone=]--query-port=[-]/
如果启用,此命令将有返回值。
∙启用区域中的IP伪装功能
firewall-cmd[--zone=]--add-masquerade
此举启用区域的伪装功能。
私有网络的地址将被隐藏并映射到一个公有IP。
这是地址转换的一种形式,常用于路由。
由于内核的限制,伪装功能仅可用于IPv4。
∙禁用区域中的IP伪装
firewall-cmd[--zone=]--remove-masquerade
∙查询区域的伪装状态
firewall-cmd[--zone=]--query-masquerade
∙启用区域的ICMP阻塞功能
firewall-cmd[--zone=]--add-icmp-block=
此举将启用选中的Internet控制报文协议(ICMP)报文进行阻塞。
ICMP报文可以是请求信息或者创建的应答报文,以及错误应答。
∙禁止区域的ICMP阻塞功能
firewall-cmd[--zone=]--remove-icmp-block=
∙查询区域的ICMP阻塞功能
firewall-cmd[--zone=]--query-icmp-block=
阻塞区域的响应应答报文:
firewall-cmd--zone=public--add-icmp-block=echo-reply
∙在区域中启用端口转发或映射
firewall-cmd[--zone=]--add-forward-port=port=[-]:
proto={:
toport=[-]|:
toaddr=
|:
toport=[-]:
}
端口可以映射到另一台主机的同一端口,也可以是同一主机或另一主机的不同端口。
端口号可以是一个单独的端口或者是端口范围-。
协议可以为tcp或udp。
目标端口可以是端口号或者是端口范围-。
目标地址可以是IPv4地址。
受内核限制,端口转发功能仅可用于IPv4。
∙禁止区域的端口转发或者端口映射
firewall-cmd[--zone=]--remove-forward-port=port=[-]:
∙查询区域的端口转发或者端口映射
firewall-cmd[--zone=]--query-forward-port=port=[-]:
将区域home的ssh转发到127.0.0.2
firewall-cmd--zone=home--add-forward-port=port=22:
proto=tcp:
toaddr=127.0.0.2
处理永久区域
永久选项不直接影响运行时的状态。
这些选项仅在重载或者重启服务时可用。
为了使用运行时和永久设置,需要分别设置两者。
选项--permanent需要是永久设置的第一个参数。
∙获取永久选项所支持的服务
firewall-cmd--permanent--get-services
∙获取永久选项所支持的ICMP类型列表
firewall-cmd--permanent--get-icmptypes
∙获取支持的永久区域
firewall-cmd--permanent--get-zones
∙启用区域中的服务
firewall-cmd--permanent[--zone=]--add-service=
此举将永久启用区域中的服务。
∙禁用区域中的一种服务
firewall-cmd--permanent[--zone=]--remove-service=
∙查询区域中的服务是否启用
firewall-cmd--permanent[--zone=]--query-service=
如果服务启用,此命令将有返回值。
此命令没有输出信息。
永久启用home区域中的ipp-client服务
firewall-cmd--permanent--zone=home--add-service=ipp-client
∙永久启用区域中的一个端口-协议组合
firewall-cmd--permanent[--zone=]--add-port=[-]/
∙永久禁用区域中的一个端口-协议组合
firewall-cmd--permanent[--zone=]--remove-port=[-]/
∙查询区域中的端口-协议组合是否永久启用
firewall-cmd--permanent[--zone=]--query-port=[-]/
永久启用home区域中的https(tcp443)端口
firewall
升级会员 