（企业服务篇）火墙服务firewalld

Firewalld:

启用firewalld

yum install -y firewalld firewall-config -y	下载firewalld 和firewalld-config（此文件是firewalld的图形接口）软件
systemctl start  firewalld	开启firewalld软件
systemctl enable firewalld	将firewalld设置成开机自启
systemctl disable firewalld	关闭firewalld的开机自启
systemctl stop firewalld	关闭火墙服务

本文只针对于firewalld的命令来进行firewalld的配置：iptables在下一篇博客中会详细描述。

端口添加删除服务命令：(selinux附加的内容)

semanage port -a -t http_port_t -p tcp 777   ##将777端口给http_port_t
semanage port -d -t http_port_t -p tcp 777   ##删除http_port_t的使用权
semanage port -l | grep http   ##查看http的端口信息
netstat -antlupe | grep httpd   ##查看软件正在用的端口

semanage port -l |grep http   ###显示http的端口信息
实验：将777给httpd用，修改阿帕奇的配置文件把，阿帕奇的端口设置成刚刚开启的端口，重启apache重启成功表示成功

1>

2>

3>

4>

5>

6>

注：上面的截图可以看见此时777端口已经加在了http服务下

 火墙的运行原理：

动态火墙后台程序firewalld提供一个动态管理的防火墙，用以支持网络“zeons”，以分配一个对网络及其相关链接和界面一定程度的信任。它具备对IPv4和ipv6防火墙设置的支持。它支持一个通向服务或者应用程序以直接增加防火墙规则的接口
  系统提供了图像化的配置工具firewall-config，system-config-firewall,提供命令行客户端firewall-cmd，用于配置firewalld用户性或者非永久性运行时间的改变：它依次用iptables工具与执行数据筛选的内核中的Netfilter通信

网络区名称	默认配置
work（工作）	用于工作区，仅接受ssh,mdns,ipp-client或dhcpv6-client 服务连接
drop（丢弃）	任何接受的网络数据包都被丢弃，没有任何回复
internal（内部）	用于内部网络，仅接受ssh,mdns,ipp-client,samba-client或dhcpv6-client 服务连接
external（外部）	出去的ipv4网络连接通过此区域伪装和转发，仅接受ssh服务连接
trusted （信任）	可以接受所有的网络连接
home（家庭）	用于家庭网络，仅接受ssh,mdns,ipp-client samba-client或dhcpv6-client 服务连接
dmz（非军事区）	仅接受ssh服务连接
public（公共）	在公共区域使用，仅接受ssh或dhcpv6-client服务连接，为firewalld的默认区域
block（限制）	拒绝所有网络连接

使用命令行接口配置防火墙：

命令	解释
firewall-cmd --state	显示火墙的运行状态
firewall-cmd --get-active-zones	显示当前活动的区域
firewall-cmd --get-default-zone	显示当前的默认域
firewall-cmd --get-zones	查看firewalld的所有的域
firewall-cmd --zone=public --list-all	显示public域的所有信息
firewall-cmd --get-services	显示firewalld的所有服务
firewall-cmd --list-all-zones	列出所有的域及其详细信息
firewall-cmd --set-default-zone=work	将默认域设置成work域

1>firewall-cmd --state      

                        
2>firewall-cmd --get-active-zones

3>firewall-cmd --get-default-zone

4>firewall-cmd --get-zones

5>firewall-cmd --zone=public --list-all

6>firewall-cmd --get-services

7>firewall-cmd --list-all-zones

8>firewall-cmd --set-default-zone=dmz

命令：

firewall-cmd --zone=trusted --add-source=172.25.254.6  ###将172.25.254.6加入到信任域里

firewall-cmd --zone=work  --remove-interface=eth1    ###将网卡eth1从work域中删除

firewall-cmd --zone=trusted --add-interface=eth1   将网卡设备eth1加入到trusted域里面

firewall-cmd --add-service=dns      ###将dns服务加入到默认域中

通过上面的介绍我们已经能够知道火墙的运行机制了，但是在实际的生产环境中会遇到更加精确的产品要求，这就需要了解下面的知识：

Direct Rules  ：

通过firewall-cmd 工具，可以使用 --direct选项在运行时间里增加或者移除链。如果不熟悉iptables，使用直接接口非常危险，因为您可能在无意间导致防火墙被入侵。直接端口模式适用于服务或程序，一边在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用

实验：端口的转发：

firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:tport=22:toaddr=172.25.254.6        ####将访问本机的22端口的信息转发到ip为172.25.254.6的22端口上，此时在访问目标ssh 172.25.254.106的时候会自动连接到ip：172.25.254.6主机上。

实验1：

firewall-cmd --zone=trusted --add-source=172.25.254.6    ###将172.25.254.6加入到信任域里

此时当前服务端的主机的默认域是work域，并且work域里面没有允许httpd服务：

测试：在两套不同ip的主机上访问服务端的httpd：

主机1：ip：172.25.254.6：

主机2 ip ：172.25.254.206访问结果：

 

firewalld的伪装:

实验：

客户端设置：

设置客户端ip是：1.1.1.206将本机的网关设置成1.1.1.106(服务器端的ip地址)

服务器端设置：

1.设置服务端ip是：1.1.1.106和172.25.254.106：

2.将服务端的火墙的伪装功能打开：

1>firewall-cmd --permanent --add-masquerade（注：前面的permanent指的是永久更改，需要重新加载firewall的配置文件才能生效）

2>firewall-cmd --reload（注：这个reload是重新读取firewalld的配置文件，也就是说临时设定的不会其作用）

3.将服务器端的内核路由功能打开：

vim /etc/sysctl.conf    

sysctl -p                ###重新加载内核路由策略

sysctl -a |grep ip_forward       ###查看内核路由功能

测试：

在客户端上ping 172.25.254.106：

自定义表
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.6 -j ACCEPT

此时主机172.25.254.6在连接172.25.254.106的22端口的时候会被接受

firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.6 -j ACCEPT

####将刚才设置的firewall的域的信息删除
###direct表示指定  表是filter中的INPUT第一行 -p 端口类型 --dport 端口22
-s 指定源， -j 表示的动作
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22！ -s 172.25.254.6 -j ACCEPT
实验：
在服务端设置：将默认域的ssh服务去掉
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22！ -s 172.25.254.6 -j ACCEPT  ###这句的命令是除了172.25.254.6连不上，剩下的都连的上。

实验截图：

172.25.254.6主机连接106主机的时候：

172.25.254.206主机连接106主机的时候:

动作有三种：
1.ACCEPT   2.DROP  3.REJECT
不同的动作对于ssh有不同的回应

DROP的时候目的主机会将所有发送到22端口的数据包都丢弃；（此时连接就没有反馈）

REJECT的时候目的主机会直接拒绝连接（连接请求有反馈）