通過(guò)保證Linux系統(tǒng)安全之firewalld防火墻入門(mén)詳解認(rèn)識(shí)Linux系統(tǒng)firewalld防火墻，并可以編寫(xiě)一些相對(duì)簡(jiǎn)單一些的防火墻規(guī)則。Linux防火墻可以充當(dāng)路由器（網(wǎng)關(guān)）。路由器上的NAT技術(shù)，同樣可以通過(guò)Linux防火墻來(lái)實(shí)現(xiàn)。地址偽裝和端口轉(zhuǎn)發(fā)說(shuō)白了就是路由器中的NAT技術(shù)。

成都創(chuàng)新互聯(lián)專(zhuān)注于沂源網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供沂源營(yíng)銷(xiāo)型網(wǎng)站建設(shè)，沂源網(wǎng)站制作、沂源網(wǎng)頁(yè)設(shè)計(jì)、沂源網(wǎng)站官網(wǎng)定制、成都小程序開(kāi)發(fā)服務(wù)，打造沂源網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供沂源網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

一、地址偽裝和端口轉(zhuǎn)發(fā)簡(jiǎn)介

firewalld防火墻支持兩種類(lèi)型的NAT：

（1）地址偽裝

地址偽裝：基于源地址進(jìn)行轉(zhuǎn)換，通過(guò)地址偽裝，NAT設(shè)備將經(jīng)過(guò)設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)到指定接收方，同時(shí)將通過(guò)的數(shù)據(jù)包的源地址更改為其本身的接口地址。當(dāng)返回的數(shù)據(jù)包到達(dá)時(shí)，會(huì)將目的地址修改為原始主機(jī)的地址并做路由。地址偽裝可以實(shí)現(xiàn)局域網(wǎng)多個(gè)IP地址共享單一公網(wǎng)地址上網(wǎng)。類(lèi)似于NAT技術(shù)中的端口多路復(fù)用（PAT）。IP地址偽裝僅支持IPV4，不支持IPV6。

（2）端口轉(zhuǎn)發(fā)

端口轉(zhuǎn)發(fā)：基于目標(biāo)地址進(jìn)行轉(zhuǎn)換，也稱(chēng)為目的地址轉(zhuǎn)換或端口映射。通過(guò)端口轉(zhuǎn)發(fā)，將指定IP地址及端口的流量轉(zhuǎn)發(fā)到相同計(jì)算機(jī)上的不同端口。或不同計(jì)算機(jī)上的端口，企業(yè)內(nèi)部的服務(wù)器一般使用私網(wǎng)地址，可以通過(guò)端口轉(zhuǎn)發(fā)將使用私網(wǎng)地址的服務(wù)器發(fā)布到公網(wǎng)上，供互聯(lián)網(wǎng)用戶進(jìn)行訪問(wèn)。類(lèi)似于NAT技術(shù)中的靜態(tài)NAT。

二、firewall-cmd高級(jí)配置

（1）firewalld中的直接規(guī)則

直接規(guī)則特性：

• 允許管理員手動(dòng)編寫(xiě)的iptables、ip6tables和ebtables 規(guī)則插入到Firewalld管理的區(qū)域中；
• 通過(guò)firewall-cmd命令中的--direct選項(xiàng)實(shí)現(xiàn)；
• 除顯示插入方式之外，優(yōu)先匹配直接規(guī)則；

[root@localhost ~]# firewall-cmd --direct --add-chain ipv4 raw blacklist
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw PREROUTING 0 -s 192.168.0.0/24 -j blacklist
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j LOG --log-prefix "blacklisted"
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw blacklist 1 -j DROP
success

這些僅是把192.168.0.0網(wǎng)段的地址添加到黑名單（使用直接規(guī)則）！太麻煩！

（2）使用富語(yǔ)言

富語(yǔ)言特性：

• 表達(dá)性配置語(yǔ)言，無(wú)需了解iptables語(yǔ)法；
• 用于表達(dá)基本的允許/拒絕規(guī)則、配置記錄（面向syslog和auditd）、端口轉(zhuǎn)發(fā)、偽裝和速率限制；

富語(yǔ)言語(yǔ)法格式：

rule [family="<rule family>"]
    [ source address="<address>" [invert="True"] ]
    [ destination address="<address>" [invert="True"] ]
    [ <element> ]
    [ log [prefix="<prefix text>"] [level="<log level>"] [limit value="rate/duration"] ]
    [ audit ]
    [ accept|reject|drop ]

規(guī)則的每個(gè)單一元素都能夠以option=value的形式來(lái)采用附加參數(shù)。

富語(yǔ)言規(guī)則各常用選項(xiàng)：

任何已配置的富規(guī)則都會(huì)顯示在firewall-cmd --list-all和firewall-cmd --list-all-zones的輸出結(jié)果中。

富語(yǔ)言規(guī)則各語(yǔ)法解釋?zhuān)?/strong>

富語(yǔ)言規(guī)則配置示例：

• [root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
  success
  //為認(rèn)證包頭協(xié)議AH使用IPV4和IPV6連接
• [root@localhost ~]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
  success
  //允許新的IPV4和IPV6連接FTP，并使用審核每分鐘記錄一次
• [root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'
  success
  //允許來(lái)自192.168.0.0/24地址的TFTP協(xié)議的IPV4連接，并且使用系統(tǒng)日志每分鐘記錄一次
• [root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="DNS" level="info" limit value="3/m" reject'
  success
  [root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
  success
  //為RADIUS協(xié)議拒絕所有來(lái)自1:2:3:4:6：：的新ipv6連接，日志前綴為“dns”，級(jí)別為“info”，并每分鐘最多記錄3次。接受來(lái)自其他發(fā)起端新的ipv6連接
• [root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
  success
  //將源192.168.2.2地址加入白名單，以允許來(lái)自這個(gè)源地址的所有連接
• [root@localhost ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
  success
  //拒絕來(lái)自public區(qū)域中IP地址192.168.0.11的所有流量
• [root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
  success
  //丟棄來(lái)自默認(rèn)區(qū)域中任何位置的所有傳入的ipsec esp協(xié)議包
• [root@localhost ~]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'
  success
  //在192.168.1.0/24子網(wǎng)的DMZ區(qū)域中，接收端口7900~7905的所有TCP包
• [root@localhost ~]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
  success
  //接收從work區(qū)域到SSH的新連接，以notice級(jí)別且每分鐘最多三條消息的方式將新連接記錄到syslog
• [root@localhost ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
  success
  //在接下來(lái)的5min內(nèi)（通過(guò)--timeout=300配置項(xiàng)實(shí)現(xiàn)），拒絕從默認(rèn)區(qū)域中的子網(wǎng)192.168.2.0/24到DNS的新連接，并且拒絕的連接將記錄到audit系統(tǒng)，且每小時(shí)最多一條消息

firewalld防火墻檢查規(guī)則的順序是：
1.直接規(guī)則；
2.富規(guī)則；
3.區(qū)域規(guī)則