RHEL 7中防火墻如何配置及使用

小編給大家分享一下RHEL 7中防火墻如何配置及使用，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

小編給大家分享一下RHEL 7中防火墻如何配置及使用，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

RHEL7 中使用了firewalld代替了原來的iptables，操作設置和原來有點不同：

查看防火墻狀態：systemctl status firewalld

啟動防火墻：systemctl start firewalld

停止防火墻：systemctl stop firewalld

防火墻中的一切都與一個或者多個區域相關聯，下面對各個區進行說明：

drop（丟棄）
任何接收的網絡數據包都被丟棄，沒有任何回復。僅能有發送出去的網絡連接。

block（限制）
任何接收的網絡連接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒絕。

public（公共）
在公共區域內使用，不能相信網絡內的其他計算機不會對您的計算機造成危害，只能接收經過選取的連接。

external（外部）
特別是為路由器啟用了偽裝功能的外部網。您不能信任來自網絡的其他計算，不能相信它們不會對您的計算機造成危害，只能接收經過選擇的連接。

dmz（非軍事區）
用于您的非軍事區內的電腦，此區域內可公開訪問，可以有限地進入您的內部網絡，僅僅接收經過選擇的連接。

work（工作）
用于工作區。您可以基本相信網絡內的其他電腦不會危害您的電腦。僅僅接收經過選擇的連接。

home（家庭）
用于家庭網絡。您可以基本信任網絡內的其他計算機不會危害您的計算機。僅僅接收經過選擇的連接。

internal（內部）
用于內部網絡。您可以基本上信任網絡內的其他計算機不會威脅您的計算機。僅僅接受經過選擇的連接。

trusted（信任）
可接受所有的網絡連接。

操作防火墻的一些常用命令：

--顯示防火墻狀態

[root@localhost zones]# firewall-cmd --state
running

--列出當前有幾個zone
[root@localhost zones]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

--取得當前活動的zones
[root@localhost zones]# firewall-cmd --get-active-zones
public
  interfaces: ens32 veth4103622

--取得默認的zone
[root@localhost zones]# firewall-cmd --get-default-zone
public

--取得當前支持service
[root@localhost zones]# firewall-cmd --get-service          
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt MySQL nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

--檢查下一次重載后將激活的服務。
[root@localhost zones]# firewall-cmd --get-service --permanent
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

--列出zone public 端口
[root@localhost zones]# firewall-cmd --zone=public --list-ports

--列出zone public當前設置
[root@localhost zones]# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eno16777736
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
--增加zone public開放http service
[root@localhost zones]# firewall-cmd --zone=public --add-service=http
success
[root@localhost zones]# firewall-cmd --permanent --zone=internal --add-service=http
success

--重新加載配置
[root@localhost zones]# firewall-cmd --reload
success

--增加zone internal開放443/tcp協議端口
[root@localhost zones]# firewall-cmd --zone=internal --add-port=443/tcp
success

--列出zone internal的所有service
[root@localhost zones]# firewall-cmd --zone=internal --list-services
dhcpv6-client ipp-client mdns samba-client ssh

設置黑/白名單
--增加172.28.129.0/24網段到zone trusted（信任）
[root@localhost zones]# firewall-cmd --permanent --zone=trusted --add-source=172.28.129.0/24
success

--列出zone truste的白名單
[root@localhost zones]# firewall-cmd --permanent --zone=trusted --list-sources
172.28.129.0/24

--活動的zone
[root@localhost zones]# firewall-cmd --get-active-zones
public
  interfaces: eno16777736

--添加zone truste后重新加載，然后查看--get-active-zones
[root@localhost zones]# firewall-cmd --reload         
success
[root@localhost zones]# firewall-cmd --get-active-zones
public
  interfaces: ens32 veth4103622
trusted
  sources: 172.28.129.0/24

--列出zone drop所有規則
[root@localhost zones]# firewall-cmd --zone=drop --list-all
drop
  interfaces:
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

--添加172.28.13.0/24到zone drop
[root@localhost zones]# firewall-cmd --permanent --zone=drop --add-source=172.28.13.0/24
success

--添加后需要重新加載
[root@localhost zones]# firewall-cmd --reload
success

[root@localhost zones]# firewall-cmd --zone=drop --list-all
drop
  interfaces:
  sources: 172.28.13.0/24
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

[root@localhost zones]# firewall-cmd --reload
success

--從zone drop中刪除172.28.13.0/24
[root@localhost zones]# firewall-cmd --permanent --zone=drop --remove-source=172.28.13.0/24
success

--查看所有的zones規則
[root@localhost ~]# firewall-cmd --list-all-zones

最后再提幾點：

1、很多時候我們需要開放端口或開放某IP訪問權限，我們需要先查看我們當前默認的zone是哪個，然后在對應的zone里面添加port和source，這樣對外才會有作用。

比如我當前的默認zone是public，我需要開放80端口對外訪問，則執行如下命令：

[root@localhost zones]# firewall-cmd --zone=public --permanent --add-port=80/tcp
success
[root@localhost zones]# firewall-cmd --reload
success

2、使用命令的時候加上 --permanent 是永久生效的意思，在重啟防火墻服務后依然生效。否則，只對重啟服務之前有效。

3、我們執行的命令，結果其實都體現在具體的配置文件中，其實我們可以直接修改對應的配置文件即可。

以public zone為例，對應的配置文件是/etc/firewalld/zones/public.xml，像我們剛剛添加80端口后，體現在public.xml 中的內容為：

[root@localhost zones]# cat public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
 <short>Public</short>
 <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
 <service name="dhcpv6-client"/>
 <service name="ssh"/>
 <port protocol="tcp" port="80"/>
</zone>

這個大家可自己再進一步了解下配置文件的結構后，進行自行配置，不過記得要在配置后 --reload 或重啟 firewall 服務。

以上是RHEL 7中防火墻如何配置及使用的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！