Firewalld防火墙

第一节:防火墙安全基本概述
需要注意的是Firewalld中的区域与接口
一个网卡仅能绑定一个区域。比如: eth0-->A区域
但一个区域可以绑定多个网卡。比如: B区域-->eth0、eth1、eth2
可以根据来源的地址设定不同的规则。比如：所有人能访问80端口，但只有公司的IP才允许访问22端口。
第二节:防火墙使用区域管理
trusted 允许所有的数据包流入与流出 白名单
public 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许
drop 拒绝流入的流量，除非与流出的流量相关 黑名单
1.获取当前默认的区域

[root@m01 ~]# firewall-cmd --get-default-zone
public

2.查看当前活动的区域(可能存在多个)

[root@m01 ~]# firewall-cmd --get-active-zones
public
  interfaces: eth0 eth1

3.查看firewalld区域规则明细

[root@m01 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

第三节:防火墙基本指令参数
参数解释：

  public (active)                     公共(防火墙)
  target: default                     目标: 默认
  icmp-block-inversion: no            ICMP块反演：NO
  interfaces: eth0 eth1               接口
  sources:                                     资料来源
  services: ssh dhcpv6-client         服务  ssh dhcpv6 客户端
  ports:                               端口
  protocols:                           协议
  masquerade: no                       伪装 ip
  forward-ports:                       前向端口  
  source-ports:                        源端口
  icmp-blocks:                         ICMP块
  rich rules:                          丰富的规则   
  default                              默认
  trusted                              可信的
  drop                                 忘掉,停止,丢掉不管
  rule                                 规则
  source                               来源
  destination                          目的地
  service                              服务
  forward-port                         前向端口
  audit                                审计
  accept                               接受
  reject                               拒绝
  family                               家庭
  invert                               使…前后倒置;使反转
  protocol                             协议
  forward                              向前;前进地
    rich                               富有的

第四节:防火墙区域配置策略
3.使用firewalld多个区域规则结合，调整默认public区域拒绝所有流量，但如果来源IP是10.0.0.1/24则允许。

[root@m01 ~]# firewall-cmd --remove-service=ssh
[root@m01 ~]# firewall-cmd --add-source=10.0.0.1/32 --zone=trusted
[root@m01 ~]# firewall-cmd --get-active-zone
public
  interfaces: eth0 eth1
trusted
  sources: 10.0.0.1/32

runtime运行时: 修改规则马上生效，但如果重启服务则马上失效，测试建议。
permanent持久配置: 修改规则后需要reload重载服务才会生效，生产建议。
第五节:防火墙端口访问策略

firewalld放行端口
[root@m01 ~]# firewall-cmd --add-port=80/tcp
[root@m01 ~]# firewall-cmd --add-port={8081/tcp,8082/tcp}
[root@m01 ~]# firewall-cmd --remove-port={8081/tcp,8082/tcp}

第六节:防火墙服务访问策略
1.firewalld放行自带服务

[root@m01 ~]# firewall-cmd --add-service={http,https}
[root@m01 ~]# #firewall-cmd --add-port=6379/tcp
[root@m01 ~]# firewall-cmd --add-service=redis

2.firewalld放行自定义的服务 qqqq--->1111

[root@m01 ~]# cd /usr/lib/firewalld/services/
[root@m01 services]# cp http.xml qqqq.xml
[root@m01 services]# vim qqqq.xml   80--->1111
[root@m01 services]# systemctl restart firewalld
[root@m01 services]# firewall-cmd --add-service=qqqq 
[d:\~]$ telnet 10.0.0.5 9000   #测试是否成功

第七节:防火墙端口转发策略
1.firewalld端口转发 --> 四层负载均衡

firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@m01 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.7
[root@m01 ~]# firewall-cmd --add-masquerade     #IP地址伪装
[root@m01 ~]# firewall-cmd --permanent --add-forward-port=port=6666:proto=tcp:toport=3306:toaddr=172.16.1.51

第八节:防火墙富规则策略
1.firewalld富规则参数

  rule
        [source]
        [destination]
        service|port|protocol|icmp-block|masquerade|forward-port
        [log]
        [audit]
        [accept|reject|drop]
        
rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject | drop
接收      拒绝    不搭理

2.比如允许10.0.0.0/24网段能够访问http服务，仅允许172.16.1.7/32主能访问ssh服务

[root@m01 ~]# firewall-cmd --remove-service=ssh
[root@m01 ~]# firewall-cmd --remove-service=dhcpv6-client
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.0/24 service name=http accept'
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.7/32 port port=22 protocol=tcp accept'

3.默认所有人就能连接ssh服务，但拒绝172.16.1.0/24网段.

[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'

4.允许所有人能访问http,https服务，但只有10.0.0.1主机可以访问ssh服务

[root@m01 ~]#  firewall-cmd --remove-service=ssh
[root@m01 ~]# firewall-cmd --add-service={http,https}
[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=ssh accept'

5.当用户来源IP地址是10.0.0.1主机，则将用户请求的5555端口转发至后端172.16.1.7的22端口

[root@m01 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1/32"  forward-port port=5555 protocol=tcp to-port=22 to-addr=172.16.1.7'

如果没有添加--permanent参数则重启firewalld会失效。
富规则按先后顺序匹配，按先匹配到的规则生效

第九节:防火墙开启内部上网
1.配置所有内部主机的网卡的网关为jumpserver的内网地址

2.开启firewalld的masquerade参数，IP地址伪装

 firewall-cmd --add-masquerade --permanent

第十节:具体练习

1.通过管理机实现多台主机的内部跳板
2.内部所有主机都需要通过管理机上网,记得关闭掉内部主机的eth0网卡
3.管理主机仅允许公司的10.0.0.1IP地址连接,其他统统拒绝.
4.在负载均衡服务上,仅放行80和443,22端口只有10.0.0.1能正常连接,其他统统拒绝.
5.将9000端口做成一个服务名称?比如php-fpm,则代表放行9000
6.思考,如何备份firewalld防火墙配置?

扩展:
vnc服务 -->实现远程打开服务器的图形界面
X11转发 --->通过命令行,直接调取图形化