Firewalld 防火牆基礎

firewalld簡介

支援網路區域所定義的網路鏈結以及介面安全等級的動態防火牆管理工具

支援ipv4、ipv6防火牆設定以及乙太網橋

支援服務或應用程式直接新增防火牆規則介面

擁有兩種配置模式

執行時配置

永久配置

firewalld和iptables的關係

netfilter

位於linux核心中的包過濾功能體系

稱為linux防火牆的"核心態"

firewalld/iptables

centos7預設的管理防火牆規則的工具（firewalld）

稱為linux防火牆的"使用者態"

firewalld和iptables的區別

什麼是iptables

iptables是linux的防火牆管理工具而已，真正實現防火牆功能的是netfilter，我們配置了iptables規則後netfilter通過這些規則來進行防火牆過濾等操作

netfilter模組：

它是主要的工作模組，位於核心中，在網路層的五個位置（也就是防火牆四表五鏈中的五鏈）註冊了一些函式，用來抓取資料報；把資料報的資訊拿出來逐個匹配鏈位置在對應表中的規則：匹配之後，進行相應的處理accept、drop等。

四表五鏈

表就是儲存的規則，共有4個表

filter表過濾資料報 nat表用於網路位址轉換（ip、埠） mangle表修改資料報的服務型別、ttl、並且可以配置路由實現qos

raw表決定資料報是否被狀態跟蹤機制處理

鏈就是位置，共有5個鏈

進路由（prerouting）進來的資料報應用此規則鏈中的策略進系統（input）外出的資料報應用此規則鏈中的策略 **（porward） **資料報時應用此規則鏈中的策略出系統（output）對資料報作路由選擇前應用此鏈中的規則（所有的資料報進來的時候都先由這個鏈處理）

出路由（postrouting）對資料報作路由選擇後應用此鏈中的規則（所有的資料報出來的時候都先由這個鏈處理）

四表五鏈之間的關係

iptables語法格式

iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制型別]

iptables常用引數

-p 設定預設策略：iptables -p input (drop | accept) -f 清空規則鏈 -l 檢視規則鏈 -a 在規則鏈的末尾加入新規則 -i num 在規則鏈的頭部加入新規則 -d num 刪除某一條規則 -s 匹配**位址ip/mask，加嘆號"！"表示除這個ip外 -d 匹配目標位址 -i 網絡卡名稱匹配從這塊網絡卡流入的資料 -o 網絡卡名稱匹配從這塊網絡卡流出的資料 -p 匹配協議，如tcp，udp，icmp --dport num 匹配目標埠號

--sport num 匹配**埠號

區域介紹

區域如同進入主機的安全門，每個區域都具有不同限制程度的規則

可以使用乙個或多個區域，但是任何乙個活躍區域至少需要關聯源位址或介面

預設情況下，public區域使預設區域，包含所有介面（網絡卡）

firewalld資料處理例程

檢查資料**的源位址

若源位址關聯到特定的區域，則執行該區域所指定的規則

若源位址未關聯到特定的區域，則使用傳入網路介面的區域並執行該區域所指定的規則

若網路介面未關聯到特定的區域，則使用預設區域並執行該區域所指定的規則

firewalld-config圖形工具

firewalld-cmd命令列工具

/etc/firewalld/中的配置檔案

firewalld會優先使用/etc/firewalld/中的配置，如果不存在配置檔案，則使用/etc/firewalld/中的配置

/etc/firewalld/：使用者自定義配置檔案，需要時可通過從/usr/lib/firewalld/中拷貝

/ure/lib/firewalld/：預設配置檔案，不建議修改，若恢復至預設配置，可直接刪除/etc/firewalld/中的配置

"區域"選項卡

"服務"子選項卡 "埠"子選項卡 "協議"子選項卡 "源埠"子選項卡 "偽裝"子選項卡 "埠**"子選項卡

"icmp過濾器"子選項卡

"服務"選項卡

"模組"子選項卡

"目標位址"子選項卡

Firewalld 防火牆基礎

Firewalld防火牆基礎

防火牆基礎

配置firewalld防火牆

Firewalld 防火牆基礎

Firewalld防火牆基礎

防火牆基礎

配置firewalld防火牆

相關推薦