介绍
firewalld 是可用于许多 Linux 发行版的防火墙管理软件,它充当 Linux 内核内 nftables 或 iptables 数据包过滤系统的前端。
在本指南中,我们将向您展示如何为您的 CentOS 8 服务器设置防火墙防火墙,并介绍使用 firewall-cmd 管理工具管理防火墙的基础知识。
先决条件
要完成本教程,您需要一台运行 CentOS 8 的服务器。 我们假设您以非 root、sudo 启用的用户身份登录到此服务器。 要进行此设置,请参阅我们的 CentOS 8 初始服务器设置指南。
firewalld 中的基本概念
在我们开始讨论如何实际使用 firewall-cmd 实用程序来管理您的防火墙配置之前,我们应该熟悉该工具引入的一些概念。
区域
firewalld 守护进程使用称为 zones 的实体管理规则组。 区域是一组规则,根据您在网络中的信任级别规定应允许哪些流量。 网络接口被分配给一个区域来指示防火墙应该允许的行为。
对于可能经常在网络之间移动的计算机(如笔记本电脑),这种灵活性提供了一种根据您的环境更改规则的好方法。 在公共 WiFi 网络上运行时,您可能制定了严格的规则来禁止大多数流量,同时在连接到家庭网络时允许更宽松的限制。 对于服务器而言,这些区域通常不那么重要,因为网络环境很少(如果有的话)发生变化。
无论您的网络环境有多动态,熟悉 firewalld 的每个预定义区域背后的一般概念仍然很有用。 firewalld 中的预定义区域按从 最不可信 到 最可信 的顺序排列:
- drop:最低信任级别。 所有传入连接都将被丢弃而没有回复,并且只有传出连接是可能的。
- block:与上述类似,但不是简单地丢弃连接,而是使用
icmp-host-prohibited或icmp6-adm-prohibited消息拒绝传入的请求。 - public:表示公共的、不受信任的网络。 您不信任其他计算机,但可能会根据具体情况允许选定的传入连接。
- external:使用防火墙作为网关时的外部网络。 它被配置为 NAT 伪装,以便您的内部网络保持私有但可访问。
- internal:外部区域的另一侧,用于网关的内部部分。 这些计算机相当值得信赖,并且提供了一些额外的服务。
- dmz:用于位于 DMZ 中的计算机(无法访问网络其余部分的隔离计算机)。 只允许某些传入连接。
- work:用于工作机器。 信任网络中的大多数计算机。 可能会允许更多的服务。
- home:家庭环境。 这通常意味着您信任大多数其他计算机,并且会接受更多的服务。
- trusted:信任网络中的所有机器。 最开放的可用选项,应谨慎使用。
要使用防火墙,我们可以创建规则并更改区域的属性,然后将我们的网络接口分配给最合适的区域。
规则永久性
在 firewalld 中,可以将规则应用于当前的 runtime 规则集,或者将其设为 permanent。 添加或修改规则时,默认只修改当前运行的防火墙。 在下一次重新启动后——或重新加载 firewalld 服务——将只保留永久规则。
大多数 firewall-cmd 操作可以使用 --permanent 标志来指示更改应应用于永久配置。 此外,可以使用 firewall-cmd --runtime-to-permanent 命令将当前运行的防火墙保存到永久配置中。
这种运行时与永久配置的分离意味着您可以在活动防火墙中安全地测试规则,然后在出现问题时重新加载以重新开始。
安装和启用firewalld
firewalld 默认安装在一些 Linux 发行版上,包括 CentOS 8 的许多镜像。 但是,您可能需要自己安装 firewalld:
sudo dnf install firewalld
安装 firewalld 后,您可以启用该服务并重新启动服务器。 请记住,启用 firewalld 将导致服务在启动时启动。 最佳实践是创建防火墙规则并借此机会在配置此行为之前对其进行测试,以避免潜在问题。
sudo systemctl enable firewalld sudo systemctl start firewalld
当服务器重新启动时,您的防火墙应该被启动,您的网络接口应该被放入您配置的区域(或回退到配置的默认区域),并且与该区域关联的任何规则都将应用于关联的接口。
我们可以通过键入以下内容来验证服务是否正在运行并且可以访问:
sudo firewall-cmd --state
Outputrunning
这表明我们的防火墙已启动并使用默认配置运行。
熟悉当前的防火墙规则
在我们开始进行修改之前,我们应该熟悉firewalld提供的默认环境和规则。
探索默认值
我们可以通过键入以下内容查看当前选择哪个区域作为默认区域:
firewall-cmd --get-default-zone
Outputpublic
由于我们没有给 firewalld 提供任何偏离默认区域的命令,并且我们的接口都没有配置为绑定到另一个区域,因此该区域也将是唯一的 active 区域(正在控制的区域我们接口的流量)。 我们可以通过键入以下内容来验证:
firewall-cmd --get-active-zones
Outputpublic interfaces: eth0 eth1
在这里,我们可以看到我们的示例服务器有两个由防火墙控制的网络接口(eth0 和 eth1)。 它们目前都根据为 public 区域定义的规则进行管理。
但是,我们如何知道与 public 区域相关联的规则是什么? 我们可以通过键入以下内容打印出默认区域的配置:
sudo firewall-cmd --list-all
Outputpublic (active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: cockpit dhcpv6-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
我们可以从输出中看出这个区域既是默认区域也是活动区域,并且 eth0 和 eth1 接口与这个区域相关联(我们已经从之前的查询中知道了所有这些) . 但是,我们还可以看到,该区域允许 DHCP 客户端(用于 IP 地址分配)、SSH(用于远程管理)和 Cockpit(基于 Web 的控制台)的流量。
探索替代区域
现在我们对默认和活动区域的配置有了一个很好的了解。 我们也可以找到有关其他区域的信息。
要获取可用区域的列表,请键入:
firewall-cmd --get-zones
Outputblock dmz drop external home internal public trusted work
我们可以通过在 --list-all 命令中包含 --zone= 参数来查看与区域关联的特定配置:
sudo firewall-cmd --zone=home --list-all
Outputhome target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client mdns samba-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
您可以使用 --list-all-zones 选项输出所有区域定义。 您可能希望将输出通过管道传输到寻呼机中以便于查看:
sudo firewall-cmd --list-all-zones | less
接下来我们将了解如何将区域分配给网络接口。
为您的接口选择区域
除非您以其他方式配置了网络接口,否则在启动防火墙时,每个接口都将放在默认区域中。
更改接口的区域
您可以在会话期间通过将 --zone= 参数与 --change-interface= 参数结合使用来在区域之间移动接口。 与所有修改防火墙的命令一样,您需要使用 sudo。
例如,我们可以通过键入以下命令将 eth0 界面移动到 home 区域:
sudo firewall-cmd --zone=home --change-interface=eth0
Outputsuccess
注意: 每当您将接口移动到新区域时,请注意您可能正在修改哪些服务可以运行。 例如,这里我们将移动到 home 区域,该区域具有 SSH 可用。 这意味着我们的连接不应该断开。 其他一些区域默认没有启用 SSH,切换到这些区域之一可能会导致您的连接断开,从而阻止您重新登录到您的服务器。
我们可以通过再次询问活动区域来验证这是否成功:
firewall-cmd --get-active-zones
Outputhome interfaces: eth0 public interfaces: eth1
调整默认区域
如果您的所有接口都可以由单个区域很好地处理,那么将最佳区域指定为默认区域然后将其用于您的配置可能是最简单的。
您可以使用 --set-default-zone= 参数更改默认区域。 这将立即更改使用默认区域的任何接口:
sudo firewall-cmd --set-default-zone=home
Outputsuccess
为您的应用程序设置规则
让我们看一下为您希望提供的服务定义防火墙例外的基本方法。
将服务添加到您的区域
最直接的方法是将您需要的服务或端口添加到您正在使用的区域。 您可以使用 --get-services 选项获取可用服务定义的列表:
firewall-cmd --get-services
OutputRH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
注意: 您可以通过查看 /usr/lib/firewalld/services 目录中与它们关联的 .xml 文件来获取有关每个服务的更多详细信息。 例如,SSH 服务的定义如下:
/usr/lib/firewalld/services/ssh.xml
<?xml version="1.0" encoding="utf-8"?> <service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/> </service>
您可以使用 --add-service= 参数为区域启用服务。 该操作将针对默认区域或 --zone= 参数指定的任何区域。 默认情况下,这只会调整当前的防火墙会话。 您可以通过包含 --permanent 标志来调整永久防火墙配置。
例如,如果我们正在运行一个为常规 HTTP 流量提供服务的 Web 服务器,我们可以通过键入以下命令暂时允许 public 区域中的接口使用此流量:
sudo firewall-cmd --zone=public --add-service=http
如果您想修改默认区域,您可以省略 --zone= 标志。 我们可以使用 --list-all 或 --list-services 操作来验证操作是否成功:
sudo firewall-cmd --zone=public --list-services
Outputcockpit dhcpv6-client http ssh
一旦您测试了一切正常,您可能需要修改永久防火墙规则,以便您的服务在重新启动后仍然可用。 我们可以通过重新输入并添加 --permanent 标志来使之前的更改永久化:
sudo firewall-cmd --zone=public --add-service=http --permanent
Outputsuccess
或者,您可以使用 --runtime-to-permanent 标志将当前运行的防火墙配置保存到永久配置:
sudo firewall-cmd --runtime-to-permanent
请注意这一点,因为对正在运行的防火墙所做的 all 更改将永久提交。
无论您选择哪种方法,您都可以通过将 --permanent 标志添加到 --list-services 操作来验证它是否成功。 您需要使用 sudo 进行任何 --permanent 操作:
sudo firewall-cmd --zone=public --list-services --permanent
Outputcockpit dhcpv6-client http ssh
您的 public 区域现在将允许端口 80 上的 HTTP 网络流量。 如果您的 Web 服务器配置为使用 SSL/TLS,您还需要添加 https 服务。 我们可以通过键入以下内容将其添加到当前会话和永久规则集:
sudo firewall-cmd --zone=public --add-service=https sudo firewall-cmd --zone=public --add-service=https --permanent
如果没有合适的服务可用怎么办?
firewalld 安装中包含的服务代表了您可能希望允许访问的许多最常见的应用程序。 但是,在某些情况下,这些服务可能不符合您的要求。
在这种情况下,您有两种选择。
为您的区域打开一个端口
为您的特定应用程序添加支持的最简单方法是打开它在适当区域中使用的端口。 这是通过指定端口或端口范围以及端口的关联协议(TCP 或 UDP)来完成的。
例如,如果我们的应用程序在端口 5000 上运行并使用 TCP,我们可以使用 --add-port= 参数将其临时添加到 public 区域。 协议可以指定为 tcp 或 udp:
sudo firewall-cmd --zone=public --add-port=5000/tcp
Outputsuccess
我们可以使用 --list-ports 操作验证这是否成功:
sudo firewall-cmd --zone=public --list-ports
Output5000/tcp
还可以通过用破折号分隔范围中的开始和结束端口来指定端口的顺序范围。 例如,如果我们的应用程序使用 UDP 端口 4990 到 4999,我们可以通过键入以下命令在 public 上打开这些端口:
sudo firewall-cmd --zone=public --add-port=4990-4999/udp
测试后,我们可能希望将这些添加到永久防火墙中。 使用 sudo firewall-cmd --runtime-to-permanent 来执行此操作,或使用 --permanent 标志重新运行命令:
sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp sudo firewall-cmd --zone=public --permanent --list-ports
Outputsuccess success 5000/tcp 4990-4999/udp
定义服务
为您的区域打开端口是一个简单的解决方案,但可能很难跟踪每个端口的用途。 如果您曾经停用服务器上的服务,您可能很难记住仍然需要哪些已打开的端口。 为了避免这种情况,可以定义一个新的服务。
服务是具有关联名称和描述的端口集合。 使用服务比端口更容易管理,但需要一些前期工作。 最简单的开始方法是将现有脚本(在 /usr/lib/firewalld/services 中找到)复制到防火墙查找非标准定义的 /etc/firewalld/services 目录。
例如,我们可以像这样复制 SSH 服务定义以用于我们的 example 服务定义。 文件名减去 .xml 后缀将指示防火墙服务列表中的服务名称:
sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml
现在,您可以调整在您复制的文件中找到的定义。 首先在您喜欢的文本编辑器中打开它。 我们将在这里使用 vi:
sudo vi /etc/firewalld/services/example.xml
首先,该文件将包含您复制的 SSH 定义:
/etc/firewalld/services/example.xml
<?xml version="1.0" encoding="utf-8"?> <service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/> </service>
这个定义的大部分实际上是元数据。 您需要更改 <short> 标记内的服务的简称。 这是您的服务的可读名称。 您还应该添加描述,以便在需要审核服务时获得更多信息。 您需要进行的唯一真正影响服务功能的配置可能是端口定义,您可以在其中标识要打开的端口号和协议。 可以指定多个 <port/> 标签。
对于我们的 example 服务,假设我们需要为 TCP 开放 7777 端口,为 UDP 开放 8888 端口。 我们可以像这样修改现有的定义:
/etc/firewalld/services/example.xml
<?xml version="1.0" encoding="utf-8"?> <service> <short>Example Service</short> <description>This is just an example service. It probably shouldn't be used on a real system.</description> <port protocol="tcp" port="7777"/> <port protocol="udp" port="8888"/> </service>
保存并关闭文件。
重新加载防火墙以访问您的新服务:
sudo firewall-cmd --reload
您可以看到它现在位于可用服务列表中:
firewall-cmd --get-services
OutputRH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server example finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
您现在可以像往常一样在您的区域中使用此服务。
创建您自己的区域
虽然预定义的区域对于大多数用户来说可能绰绰有余,但定义您自己的更能描述其功能的区域可能会有所帮助。
例如,您可能想为您的 Web 服务器创建一个名为 publicweb 的区域。 但是,您可能希望为您在专用网络上提供的 DNS 服务配置另一个区域。 为此,您可能需要一个名为“privateDNS”的区域。
添加区域时,您 必须 将其添加到永久防火墙配置中。 然后,您可以重新加载以将配置带入正在运行的会话中。 例如,我们可以通过键入以下内容来创建我们上面讨论的两个区域:
sudo firewall-cmd --permanent --new-zone=publicweb sudo firewall-cmd --permanent --new-zone=privateDNS
您可以通过键入以下内容来验证这些是否存在于您的永久配置中:
sudo firewall-cmd --permanent --get-zones
Outputblock dmz drop external home internal privateDNS public publicweb trusted work
如前所述,这些在运行时防火墙中尚不可用:
firewall-cmd --get-zones
Outputblock dmz drop external home internal public trusted work
重新加载防火墙以将这些新区域带入活动的运行时配置:
sudo firewall-cmd --reload firewall-cmd --get-zones
Outputblock dmz drop external home internal privateDNS public publicweb trusted work
现在,您可以开始为您的区域分配适当的服务和端口。 通常最好调整运行时防火墙,然后在测试后将这些更改保存到永久配置中。 例如,对于 publicweb 区域,您可能想要添加 SSH、HTTP 和 HTTPS 服务:
sudo firewall-cmd --zone=publicweb --add-service=ssh sudo firewall-cmd --zone=publicweb --add-service=http sudo firewall-cmd --zone=publicweb --add-service=https sudo firewall-cmd --zone=publicweb --list-all
Outputpublicweb target: default icmp-block-inversion: no interfaces: sources: services: http https ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
同样,我们可以将 DNS 服务添加到我们的 privateDNS 区域:
sudo firewall-cmd --zone=privateDNS --add-service=dns sudo firewall-cmd --zone=privateDNS --list-all
OutputprivateDNS target: default icmp-block-inversion: no interfaces: sources: services: dns ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
然后我们可以将我们的接口更改为这些新区域来测试它们:
sudo firewall-cmd --zone=publicweb --change-interface=eth0 sudo firewall-cmd --zone=privateDNS --change-interface=eth1
此时,您有机会测试您的配置。 如果这些值适合您,您需要将这些规则添加到永久配置中。 您 可以 通过再次运行所有命令并附加 --permanent 标志来做到这一点,但在这种情况下,我们将使用 --runtime-to-permanent 标志来永久保存我们的整个运行时配置:
sudo firewall-cmd --runtime-to-permanent
永久应用这些规则后,重新加载防火墙以测试更改是否仍然存在:
sudo firewall-cmd --reload
验证是否分配了正确的区域:
firewall-cmd --get-active-zones
OutputprivateDNS interfaces: eth1 publicweb interfaces: eth0
并验证两个区域都可以使用适当的服务:
sudo firewall-cmd --zone=publicweb --list-services
Outputhttp https ssh
sudo firewall-cmd --zone=privateDNS --list-services
Outputdns
您已成功设置自己的区域! 如果您想让这些区域之一成为其他接口的默认值,请记住使用 --set-default-zone= 参数配置该行为:
sudo firewall-cmd --set-default-zone=publicweb
结论
您现在应该对如何管理 CentOS 系统上的 firewalld 服务以供日常使用有了相当透彻的了解。
firewalld 服务允许您配置考虑到您的网络环境的可维护规则和规则集。 它允许您通过使用区域在不同的防火墙策略之间无缝转换,并使管理员能够将端口管理抽象为更友好的服务定义。 获得该系统的工作知识将使您能够利用该工具提供的灵活性和强大功能。
关于firewalld的更多信息,请参见官方firewalld文档。
