防火墻起初看起來很難使用，但是實際上并不是這樣。服務(wù)以及區(qū)域使一個個碎片的結(jié)合以及Linux防火墻的配置變得很容易。盡管工作在Linux內(nèi)核的網(wǎng)絡(luò)過濾器代碼上，總體上和舊有的配置防火墻的方法是不兼容的。Red Hat Enterprise Linux 7 和其他的新版本則需要依靠新的配置方法。本文的所有命令都基于RHEL 7。

防火墻工作網(wǎng)絡(luò)

首先，檢查防火墻是否在運行。使用列表1中的systemctl status firewalld命令。

列表1.下面的序列表明防火墻是活動狀態(tài)且在運行中。這些斜線是有幫助的，當(dāng)你試圖將表1全面顯示出來，使用-1命令。

[root@rhelserver ~]# systemctl status firewalld

firewalld.service - firewalld - dynamic firewall daemon

   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)

   Active: active (running) since Thu 2014-05-22 07:48:08 EDT; 14min ago

Main PID: 867 (firewalld)

   CGroup: /system.slice/firewalld.service

           └─867 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

May 22 07:48:08 rhelserver.example.com systemd[1]: Started firewalld - dynami...

防火墻中的一切都與一個或者多個區(qū)域相關(guān)聯(lián)。

配置之后，RHEL 7服務(wù)器正常會在公共區(qū)域，但是你也許會想將它放置在另一個網(wǎng)絡(luò)配置防火墻訪問。這時使用firewall-cmd --get-default-zone命令，該命令顯示你的服務(wù)器在哪一個網(wǎng)絡(luò)。如果你想查看配置特定網(wǎng)絡(luò)的詳細(xì)信息，你可以使用列表2中的firewall-cmd --zone=zonename --list-all命令。

列表2.

root@rhelserver ~]# firewall-cmd --get-default-zone

public

  [root@rhelserver ~]# firewall-cmd --get-zones

  block dmz drop external home internal public trusted work

  [root@rhelserver ~]# firewall-cmd --zone=public --list-all

  public (default, active)

  interfaces: ens33

  sources:

  services: dhcpv6-client sander ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

改變當(dāng)前區(qū)域并不難：使用firewall-cmd --set-default-zone=home命令，該命令可用于從公共網(wǎng)絡(luò)到家庭網(wǎng)絡(luò)制定一個默認(rèn)網(wǎng)絡(luò)。

服務(wù)和其他構(gòu)件

在區(qū)域中有一些基本的構(gòu)件塊，其中服務(wù)是最重要的。防火墻使用管理員創(chuàng)建在/usr/lib/firewalld/services（系統(tǒng)默認(rèn)服務(wù)） 和/etc/firewalld/services文件下的XML文件，配置的自身服務(wù)集。XML文件時通過列表3中的例子創(chuàng)建的。

列表3.

[root@rhelserver services]# cat ftp.xml

<?xml version="1.0" encoding="utf-8"?>

<service>

  <short>FTP</short>

  <description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the

vsftpd package installed for this option to be useful.</description>

  <port protocol="tcp" port="21"/>

  <module name="nf_conntrack_ftp"/>

</service>

每一個服務(wù)定義都需要一個簡短的名字、描述和端口網(wǎng)絡(luò)用于指定需要使用的協(xié)議、端口和模塊名。

列表4.以下是創(chuàng)建防火墻服務(wù)的例子

[root@rhelserver services]# cat sander.xml

<?xml version="1.0" encoding="utf-8"?>

<service>

  <short>Sander</short>

  <description>Sander is a random service to show how service configuration works.</description>

  <port port="666" protocol="tcp"/>

</service>

一旦你有了正確的服務(wù)文件，使用以下代碼復(fù)制它。firewall-cmd --list-services命令顯示從你服務(wù)器上的所有可以找到的服務(wù)列表。如果要增加服務(wù)則輸入firewall-cmd --add-service yourservice將服務(wù)放到默認(rèn)網(wǎng)絡(luò)上，或者是使用--zone=zonename選擇特定網(wǎng)絡(luò)。

下面描述了它如何工作：

1.使用firewall-cmd --zone=public --list-all命令，顯示當(dāng)前公共區(qū)域配置。

  [root@rhelserver ~]# firewall-cmd --zone=public --list-all

  public (default, active)

  interfaces: ens33

  sources:

  services: dhcpv6-client ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

2.命令firewall-cmd --zone=public --add-service=ftp，在Linux防火墻的公共區(qū)域上添加FTP服務(wù)。

3.重復(fù)步驟1檢查FTP服務(wù)是否成功添加，你將看到服務(wù)列表。

4.重啟服務(wù)器，執(zhí)行步驟1.你將看到FTP服務(wù)消失了，在防火墻中，沒有永久的事物，除非你使用了permanent選項。

5.將FTP服務(wù)添加到公共網(wǎng)絡(luò)上，并設(shè)為永久設(shè)置，該步驟使用firewall-cmd  --permanent --zone=public --add-service=ftp命令。重啟之后該設(shè)置生效。

6.輸入firewall-cmd –reload提交所有規(guī)則同時重載防火墻。使用permanent設(shè)置永久防火墻選項是非常重要的。

打破規(guī)則

配置防火墻配置服務(wù)是推薦的方式，它可以輕而易舉地提供防火墻的全局概覽。但是如果你想在/etc/firewalld/service文件下自己定義服務(wù)，在不使用該文件的情況下也可添加端口。

使用firewall-cmd --permanent --zone=dmz --add-port=22/tcp命令為特定網(wǎng)絡(luò)指定特定端口，然后使用firewall-cmd --zone=dmz --list-all確認(rèn)端口已成功添加。這種方式是非兼容方式，使用服務(wù)使對不同的主機(jī)分配相似的規(guī)則變得簡單。如果沒有服務(wù)，文件就很難被分配，配置文件中的規(guī)則分配也變得困難。

對于更多的控制，你不能夠使用直接規(guī)則。原因如下：

1.輸入firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 80 -j ACCEPT

2.現(xiàn)在輸入firewall-cdm --list-all顯示你的默認(rèn)網(wǎng)絡(luò)的配置，端口80沒有添加任何東西。

  [root@rhelserver ~]# firewall-cmd --list-all

  public (default, active)

  Interfaces: ens33

  sources:

  services: dhcpv6-client ftp ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

輸入完以上命令后，HTTP端口并沒有發(fā)生改變，這是因為直接規(guī)則寫給了IP信息包過濾器接口，而不是防火墻。

3.輸入firewall-cmd --direct --get-all-rules，或者使用firewall-cmd --direct --get-all-rules顯示直接規(guī)則。

相比于直接規(guī)則，使用iptables（列表5）命令可以寫到防火墻里。

列表5.Linux防火墻規(guī)則實例

firewall-cmd--permanent--zone=public--add-rich-rule="rule family="ipv4" source address="192.168.4.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept"

防火墻規(guī)則類似于IP信息包過濾防火墻，提供了大量靈活性。

使用列表5中的一條命令就可以完成和提交許多任務(wù)。它指定了IP家族、源地址、服務(wù)名等。但是需要注意規(guī)則是怎樣處理登陸的：定義一個特定的登陸前綴、登陸等級信息，以及每分鐘傳遞信息的極限值。

Linux管理員可以申請監(jiān)測端口的過濾器，所以規(guī)則對于IP地址上的過濾器非常有用。（列表6）

列表6.規(guī)則申請Linux防火墻IP地址端口的過濾器

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" \

   source address="192.168.0.4/24" service name="http" accept"

分析區(qū)域

firewall-cmd命令是眾多配置防火墻的方法之一。二者擇一的，你可以直接編寫網(wǎng)絡(luò)配置文件。但是如果語法有誤，將不會得到任何反饋。但這是一個簡潔簡單的配置文件，容易修改和在多個服務(wù)器上分配。

列表7.你可以通過編寫配置文件配置防火墻

<?xml version="1.0" encoding="utf-8"?>

<zone>

  <short>Public</short>

  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>

  <service name="dhcpv6-client"/>

   <service name="ssh"/>

   <rule family="ipv4">

    <source address="192.168.4.0/24"/>

    <service name="tftp"/>

    <log prefix="tftp" level="info">

    <limit value="1/m"/>

    </log>

    <accept/>

  </rule>

</zone>

列表7中包含了添加到先前例子中的所有代碼，可以直接寫入?yún)^(qū)域配置文件，其中不包含直接規(guī)則，因為直接規(guī)則有自己的配置文件。

[root@rhelserver firewalld]# cat direct.xml

<?xml version="1.0" encoding="utf-8"?>

<direct>

  <rule priority="0" table="filter" ipv="ipv4" chain="INPUT">-p tcp --dport 80 -j ACCEPT</rule>

</direct>

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900