CentOS7Firewall防火墻配置用法詳解

1、Cen tOS7 Firewall防火墻配置用法詳解 編輯:swteen 來(lái)源：轉(zhuǎn)載centos 7中防火墻是一個(gè)非常的強(qiáng)大的功能了，但對(duì)于 cen tos 7中在防火墻中進(jìn)行了 升級(jí)了，下面我們一起來(lái)詳細(xì)的看看關(guān)于centos 7中防火墻使用方法。FirewallD 提供了支持網(wǎng)絡(luò)/防火墻區(qū)域(zone)定義網(wǎng)絡(luò)鏈接以及接口安全等級(jí)的動(dòng)態(tài) 防火墻管理工具。它支持IPv4, IPv6防火墻設(shè)置以及以太網(wǎng)橋接，并且擁有運(yùn)行時(shí)配 置和永久配置選項(xiàng)。它也支持允許服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則的接口。以前的system-co nfig-firewall/lokkit防火墻模型是靜態(tài)的，每次修改都要

2、求防火墻完全重啟。這個(gè)過(guò)程包括內(nèi)核n etfilter防火墻模塊的卸載和新配置所需模塊的裝載等。而模塊的卸載將會(huì)破壞狀態(tài)防火墻和確立的連接。相反，firewall daemon動(dòng)態(tài)管理防火墻，不需要重啟整個(gè)防火墻便可應(yīng)用更改。因而 也就沒(méi)有必要重載所有內(nèi)核防火墻模塊了。不過(guò)，要使用firewall daemon就要求防火墻的所有變更都要通過(guò)該守護(hù)進(jìn)程來(lái)實(shí)現(xiàn)，以確保守護(hù)進(jìn)程中的狀態(tài)和內(nèi)核里的防火墻是一致的。另外，firewall daemon無(wú)法解析由ip*tables 和ebtables 命令行工具添加的防火墻規(guī)則。守護(hù)進(jìn)程通過(guò)D-BUS提供當(dāng)前激活的防火墻設(shè)置信息，也通過(guò) D-BUS接受使用

3、 PolicyKit認(rèn)證方式做的更改?！笆刈o(hù)進(jìn)程”應(yīng)用程序、守護(hù)進(jìn)程和用戶可以通過(guò)D-BUS請(qǐng)求啟用一個(gè)防火墻特性。特性可以是預(yù)定義的防火墻功能，如：服務(wù)、端口和協(xié)議的組合、端口/數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)、偽裝、ICMP攔截或自定義規(guī)則等。該功能可以啟用確定的一段時(shí)間也可以再次停用。通過(guò)所謂的直接接口，其他的服務(wù)(例如libvirt )能夠通過(guò)iptables 變?cè)?arguments) 和參數(shù)(parameters)增加自己的規(guī)則。amanda、ftp 、samba和tftp 服務(wù)的netfilter防火墻助手也被“守護(hù)進(jìn)程"解決了,只要它們還作為預(yù)定義服務(wù)的一部分。附加助手的裝載不作為當(dāng)前接口

4、的一部分。由于一些助手只有在由模塊控制的所有連接都關(guān)閉后才可裝載。因而，跟蹤連接信息很重要，需要列入考慮范圍。靜態(tài)防火墻(system-config-firewall/lokkit)使用system-config-firewall和lokkit的靜態(tài)防火墻模型實(shí)際上仍然可用并將繼續(xù)提供，但卻不能與“守護(hù)進(jìn)程”同時(shí)使用。用戶或者管理員可以決定使用哪一種方案。在軟件安裝，初次啟動(dòng)或者是首次聯(lián)網(wǎng)時(shí)，將會(huì)出現(xiàn)一個(gè)選擇器。通過(guò)它你可以選擇要 使用的防火墻方案。其他的解決方案將保持完整，可以通過(guò)更換模式啟用。firewall daem on獨(dú)立于 system-c on fig-firewall，但二者不

5、能同時(shí)使用。使用iptables 和ip6tables的靜態(tài)防火墻規(guī)則如果你想使用自己的iptables 和ip6tables靜態(tài)防火墻規(guī)則,那么請(qǐng)安裝iptables-services并且禁用 firewalld ，啟用 iptables 和 ip6tables:yum in stall iptables-servicessystemctl mask firewalld.servicesystemctl en able iptables.servicesystemctl en able ip6tables.service靜態(tài)防火墻規(guī)則配置文件是/e tc/sysco nfig/iptable

6、s以及/etc/sysc on fig/ip6tables .注：iptables 與iptables-services 軟件包不提供與服務(wù)配套使用的防火墻規(guī)則 . 這些服務(wù)是用來(lái)保障兼容性以及供想使用自己防火墻規(guī)則的人使用的.你可以安裝并使用system-config-firewall來(lái)創(chuàng)建上述服務(wù)需要的規(guī)則.為了能使用system-c on fig-firewall,你必須停止 firewalld.為服務(wù)創(chuàng)建規(guī)則并停用 firewalld 后，就可以啟用iptables 與ip6tables 服務(wù)了 ：systemctl stop firewalld.servicesystemctl st

7、art iptables.servicesystemctl start ip6tables.service什么是區(qū)域？網(wǎng)絡(luò)區(qū)域定義了網(wǎng)絡(luò)連接的可信等級(jí)。這是一個(gè)一對(duì)多的關(guān)系，這意味著一次連接可以僅僅是一個(gè)區(qū)域的一部分，而一個(gè)區(qū)域可以用于很多連接。預(yù)定義的服務(wù)服務(wù)是端口和/或協(xié)議入口的組合。備選內(nèi)容包括 netfilter助手模塊以及IPv4、IPv6地址。端口和協(xié)議定義了 tcp 或udp端口，端口可以是一個(gè)端口或者端口范圍。ICMP阻塞可以選擇In ternet控制報(bào)文協(xié)議的報(bào)文。這些報(bào)文可以是信息請(qǐng)求亦可是對(duì)信息請(qǐng)求或錯(cuò)誤條件創(chuàng)建的響應(yīng)。偽裝私有網(wǎng)絡(luò)地址可以被映射到公開(kāi)的IP地址。這是一次

8、正規(guī)的地址轉(zhuǎn)換。端口轉(zhuǎn)發(fā)端口可以映射到另一個(gè)端口以及/或者其他主機(jī)。哪個(gè)區(qū)域可用？由firewalld提供的區(qū)域按照從不信任到信任的順序排序。丟棄任何流入網(wǎng)絡(luò)的包都被丟棄，不作出任何響應(yīng)。只允許流出的網(wǎng)絡(luò)連接。阻塞任何進(jìn)入的網(wǎng)絡(luò)連接都被拒絕，并返回IPv4 的icmp-host-prohibited報(bào)文或者IPv6 的icmp6-adm-prohibited報(bào)文。只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接。公開(kāi)用以可以公開(kāi)的部分。你認(rèn)為網(wǎng)絡(luò)中其他的計(jì)算機(jī)不可信并且可能傷害你的計(jì)算機(jī)。只允許選中的連接接入。（ You do not trust the other computers on networks

9、to not harm your computer. Only select ed incoming connections are accepted.）外部用在路由器等啟用偽裝的外部網(wǎng)絡(luò)。你認(rèn)為網(wǎng)絡(luò)中其他的計(jì)算機(jī)不可信并且可能傷害你的計(jì)算機(jī)。只允許選中的連接接入。隔離區(qū)（dmz）用以允許隔離區(qū)（dmZ中的電腦有限地被外界網(wǎng)絡(luò)訪問(wèn)。只接受被選中的連接。工作用在工作網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會(huì)影響你的計(jì)算機(jī)。只接受被選中的連接。家庭用在家庭網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會(huì)影響你的計(jì)算機(jī)。只接受被選中的連接。內(nèi)部用在內(nèi)部網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計(jì)算機(jī)不會(huì)影響你的計(jì)算機(jī)。只接受被選中的

10、連接。受信任的允許所有網(wǎng)絡(luò)連接。我應(yīng)該選用哪個(gè)區(qū)域？例如，公共的WIFI連接應(yīng)該主要為不受信任的，家庭的有線網(wǎng)絡(luò)應(yīng)該是相當(dāng)可信任的。根據(jù)與你使用的網(wǎng)絡(luò)最符合的區(qū)域進(jìn)行選擇。如何配置或者增加區(qū)域 ？你可以使用任何一種 firewalld配置工具來(lái)配置或者增加區(qū)域，以及修改配置。工具有例如firewall-config這樣的圖形界面工具，firewall-cmd這樣的命令行工具，以及D-BUS接口。或者你也可以在配置文件目錄中創(chuàng)建或者拷貝區(qū)域文件。PREFIX/lib/firewalld/zo nes被用于默認(rèn)和備用配置，/etc/firewalld/zo nes被用于用戶創(chuàng)建和自定義配置文件。如

11、何為網(wǎng)絡(luò)連接設(shè)置或者修改區(qū)域區(qū)域設(shè)置以ZONE=選項(xiàng) 存儲(chǔ)在網(wǎng)絡(luò)連接的ifcfg 文件中。如果這個(gè)選項(xiàng)缺失或者為空， firewalld將使用配置的默認(rèn)區(qū)域。如果這個(gè)連接受到 NetworkManager控制，你也可以使用 nm-connection-editor來(lái)修改區(qū)域。由NetworkManager控制的網(wǎng)絡(luò)連接防火墻不能夠通過(guò) NetworkMa nager顯示的名稱來(lái)配置網(wǎng)絡(luò)連接，只能配置網(wǎng)絡(luò)接口。因此在網(wǎng)絡(luò)連接之前NetworkMa nager將配置文件所述連接對(duì)應(yīng)的網(wǎng)絡(luò)接口告訴firewalld 。如果在配置文件中沒(méi)有配置區(qū)域，接口將配置到firewalld的默認(rèn)區(qū)域。如果網(wǎng)絡(luò)連

12、接使用了不止一個(gè)接口，所有的接口都會(huì)應(yīng)用到fiwewalld。接口名稱的改變也將由NetworkManager 控制并應(yīng)用到 firewalld 。為了簡(jiǎn)化，自此，網(wǎng)絡(luò)連接將被用作與區(qū)域的關(guān)系。如果一個(gè)接口斷開(kāi)了，NetworkManager也將告訴firewalld從區(qū)域中刪除該接口。當(dāng)firewalld 由systemd或者in it 腳本啟動(dòng)或者重啟后，firewalld 將通知 NetworkMa nager把網(wǎng)絡(luò)連接增加到區(qū)域。由腳本控制的網(wǎng)絡(luò)對(duì)于由網(wǎng)絡(luò)腳本控制的連接有一條限制：沒(méi)有守護(hù)進(jìn)程通知firewalld將連接增加到區(qū)域。這項(xiàng)工作僅在ifcfg-post腳本進(jìn)行。因此，此后對(duì)

13、網(wǎng)絡(luò)連接的重命名將不能被應(yīng)用到firewalld 。同樣，在連接活動(dòng)時(shí)重啟firewalld將導(dǎo)致與其失去關(guān)聯(lián)。現(xiàn)在有意修復(fù)此情況。最簡(jiǎn)單的是將全部未配置連接加入默認(rèn)區(qū)域。區(qū)域定義了本區(qū)域中防火墻的特性：使用 firewalld你可以通過(guò)圖形界面工具firewall-co nfig或者命令行客戶端 firewall-cmd 啟用或者關(guān)閉防火墻特性。使用 firewall-cmd命令行工具firewall-cmd支持全部防火墻特性。對(duì)于狀態(tài)和查詢模式，命令只返回狀態(tài)，沒(méi)有其他輸出。一般應(yīng)用獲取firewalld 狀態(tài)firewall-cmd -state此舉返回firewalld的狀態(tài)，沒(méi)有任何

14、輸出?？梢允褂靡韵路绞将@得狀態(tài)輸出：firewall-cmd -state && echo "Runnin g" | echo "Not running"在Fedora 19 中,狀態(tài)輸出比此前直觀：# rpm -qf $( which firewall-cmd )firewalld-0.3.3-2.fc19. noarch# firewall-cmd -statenot running在不改變狀態(tài)的條件下重新加載防火墻：firewall-cmd -reload如果你使用-complete-reload ，狀態(tài)信息將會(huì)丟失。這個(gè)選項(xiàng)應(yīng)當(dāng)僅

15、用于處理防火墻 問(wèn)題時(shí)，例如，狀態(tài)信息和防火墻規(guī)則都正常，但是不能建立任何連接的情況。獲取支持的區(qū)域列表firewall-cmd -get-z ones這條命令輸出用空格分隔的列表。獲取所有支持的服務(wù)firewall-cmd -get-services這條命令輸出用空格分隔的列表。獲取所有支持的ICMP類(lèi)型firewall-cmd -get-icmptypes這條命令輸出用空格分隔的列表。列出全部啟用的區(qū)域的特性firewall-cmd -list-all-z ones輸出格式是：<zone>in terfaces: <in terface1> .services: &

16、lt;service1> .ports: <port1> .forward-ports: <forward port1> .icmp-blocks: <icmp type1> .輸出區(qū)域vzone>全部啟用的特性。如果生略區(qū)域，將顯示默認(rèn)區(qū)域的信息。firewall-cmd -z on e=<z on e> -list-all獲取默認(rèn)區(qū)域的網(wǎng)絡(luò)設(shè)置firewall-cmd -get-default-z one設(shè)置默認(rèn)區(qū)域firewall-cmd -set-default-z on e=<z one>流入默認(rèn)區(qū)域中配置的接口

17、的新訪問(wèn)請(qǐng)求將被置入新的默認(rèn)區(qū)域。當(dāng)前活動(dòng)的連接將不受影響。獲取活動(dòng)的區(qū)域firewall-cmd -get-active-z ones這條命令將用以下格式輸出每個(gè)區(qū)域所含接口：<zon e1>: <in terface1> <in terface2> .<z on e2>: <in terface3> .根據(jù)接口獲取區(qū)域firewall-cmd -get-z on e-of- in terface=<in terface>這條命令將輸出接口所屬的區(qū)域名稱。將接口增加到區(qū)域firewall-cmd -z on e=<

18、z on e> -add-i nterface=<in terface> 如果接口不屬于區(qū)域，接口將被增加到區(qū)域。如果區(qū)域被省略了，將使用默認(rèn)區(qū)域。接 口在重新加載后將重新應(yīng)用。修改接口所屬區(qū)域firewall-cmd -z on e=<z on e> -cha nge-i nterface=<in terface>這個(gè)選項(xiàng)與 -add-interface選項(xiàng)相似，但是當(dāng)接口已經(jīng)存在于另一個(gè)區(qū)域的時(shí)候,該接口將被添加到新的區(qū)域。從區(qū)域中刪除一個(gè)接口firewall-cmd -z on e=<z on e> -remove-i nterfac

19、e=<in terface>查詢區(qū)域中是否包含某接口firewall-cmd -z on e=<z on e> -query-i nterface=<in terface>返回接口是否存在于該區(qū)域。沒(méi)有輸出。列舉區(qū)域中啟用的服務(wù)firewall-cmd -z on e=<z one> -list-services 啟用應(yīng)急模式阻斷所有網(wǎng)絡(luò)連接，以防出現(xiàn)緊急狀況 firewall-cmd -pa nic- on禁用應(yīng)急模式firewall-cmd -pa nic-offfirewall-cmd -query-pa nic此命令返回應(yīng)急模式的狀態(tài)，沒(méi)

20、有輸出?？梢允褂靡韵路绞将@得狀態(tài)輸出：firewall-cmd -query-pa nic && echo "On" | echo "Off"處理運(yùn)行時(shí)區(qū)域運(yùn)行時(shí)模式下對(duì)區(qū)域進(jìn)行的修改不是永久有效的。重新加載或者重啟后修改將失效。啟用區(qū)域中的一種服務(wù)firewall-cmd -z on e=<z on e> -add-service=<service>-timeout=<sec on ds>此舉啟用區(qū)域中的一種服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)域。如果設(shè)定了超時(shí)時(shí)間,服務(wù)將只啟用特定秒數(shù)。如果服務(wù)已經(jīng)活

21、躍，將不會(huì)有任何警告信息。例：使區(qū)域中的ipp-client 服務(wù)生效60秒：firewall-cmd -z on e=home -add-service=ipp-clie nt -timeout=60例：?jiǎn)⒂媚J(rèn)區(qū)域中的http服務(wù)：firewall-cmd -add-service=http禁用區(qū)域中的某種服務(wù)firewall-cmd -z on e=<z on e> -remove-service=<service>此舉禁用區(qū)域中的某種服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)域。例：禁止home區(qū)域中的http服務(wù)：firewall-cmd -z on e=home -

22、remove-service=http區(qū)域種的服務(wù)將被禁用。如果服務(wù)沒(méi)有啟用，將不會(huì)有任何警告信息。查詢區(qū)域中是否啟用了特定服務(wù)firewall-cmd -z on e=<z on e> -query-service=<service>如果服務(wù)啟用，將返回1,否則返回0。沒(méi)有輸出信息。啟用區(qū)域端口和協(xié)議組合firewall-cmd -z on e=<z on e> -add-port=<port>-<port>/<protocol> -timeout=<sec on ds>此舉將啟用端口和協(xié)議的組合。端口可以是

23、一個(gè)單獨(dú)的端口<port> 或者是一個(gè)端口范圍vport>-vport> 。協(xié)議可以是 tcp 或udp。禁用端口和協(xié)議組合firewall-cmd -z on e=<z on e> -remove-port=<port>-<port>/vprotocol>查詢區(qū)域中是否啟用了端口和協(xié)議組合firewall-cmd -z on e=<z on e> -query-port=<port>-<port>/vprotocol>如果啟用，此命令將有返回值。沒(méi)有輸出信息。啟用區(qū)域中的IP偽裝功能f

24、irewall-cmd -z on e=<z on e> -add-masquerade此舉啟用區(qū)域的偽裝功能。私有網(wǎng)絡(luò)的地址將被隱藏并映射到一個(gè)公有IP。這是地址轉(zhuǎn)換的一種形式，常用于路由。由于內(nèi)核的限制，偽裝功能僅可用于IPv4。禁用區(qū)域中的IP偽裝firewall-cmd -z on e=<z on e> -remove-masquerade查詢區(qū)域的偽裝狀態(tài)firewall-cmd -z on e=<z on e> -query-masquerade如果啟用，此命令將有返回值。沒(méi)有輸出信息。啟用區(qū)域的ICMP阻塞功能firewall-cmd -z o

25、n e=<z on e> -add-icmp-block=<icmptype>此舉將啟用選中的In ternet控制報(bào)文協(xié)議（ICMP報(bào)文進(jìn)行阻塞。ICMP報(bào)文可以是請(qǐng) 求信息或者創(chuàng)建的應(yīng)答報(bào)文，以及錯(cuò)誤應(yīng)答。禁止區(qū)域的ICMP阻塞功能firewall-cmd -z on e=<z on e> -remove-icmp-block=<icmptype>查詢區(qū)域的ICMP阻塞功能firewall-cmd 卜-z on e=<z on e> -query-icmp-block=<icmptype>如果啟用，此命令將有返回值。沒(méi)

26、有輸出信息。例：阻塞區(qū)域的響應(yīng)應(yīng)答報(bào)文：firewall-cmd -z on e=public -add-icmp-block=echo-reply在區(qū)域中啟用端口轉(zhuǎn)發(fā)或映射firewall-cmd -z on e=<z on e>-add-forward-port=port=<port>-<port>:proto=<protocol> :toport=<port>-<port> | :toaddr=<address>| :toport=<port>-<port>:toaddr=<

27、address> 端口可以映射到另一臺(tái)主機(jī)的同一端口，也可以是同一主機(jī)或另一主機(jī)的不同端口。端 口號(hào)可以是一個(gè)單獨(dú)的端口vport> 或者是端口范圍vport>-vport>。協(xié)議可以為tcp或udp。目標(biāo)端口可以是端口號(hào) <port> 或者是端口范圍<port>-vport> 。目標(biāo) 地址可以是IPv4地址。受內(nèi)核限制，端口轉(zhuǎn)發(fā)功能僅可用于IPv4。禁止區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射firewall-cmd -z on e=<z on e>-remove-forward-port=port=<port>-<por

28、t>:proto=vprotocol> :toport=<port>-<port> | :toaddr=<address>| :toport=<port>-vport>:toaddr=<address> 查詢區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射firewall-cmd -z on e=<z on e>-query-forward-port=port=<port>-<port>:proto=vprotocol> :toport=<port>-<port> | :t

29、oaddr=<address>| :toport=<port>-vport>:toaddr=<address> 如果啟用，此命令將有返回值。沒(méi)有輸出信息。例：將區(qū)域home的ssh轉(zhuǎn)發(fā)到firewall-cmd -z on e=home-add-forward-port=port=22:proto=tcp:toaddr=處理永久區(qū)域永久選項(xiàng)不直接影響運(yùn)行時(shí)的狀態(tài)。這些選項(xiàng)僅在重載或者重啟服務(wù)時(shí)可用。為了使用運(yùn)行時(shí)和永久設(shè)置，需要分別設(shè)置兩者。選項(xiàng)-permanent需要是永久設(shè)置的第一個(gè)參數(shù)。獲取永久選項(xiàng)所支持的服務(wù)

30、firewall-cmd -perma nent -get-services獲取永久選項(xiàng)所支持的ICMP類(lèi)型列表firewall-cmd -perma nent -get-icmptypes獲取支持的永久區(qū)域firewall-cmd -perma nent -get-z ones啟用區(qū)域中的服務(wù)firewall-cmd -perma nen t -z on e=<z on e> -add-service=<service>此舉將永久啟用區(qū)域中的服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)域。禁用區(qū)域中的一種服務(wù)firewall-cmd -perma nen t -z on e=&

31、lt;z on e> -remove-service=<service>查詢區(qū)域中的服務(wù)是否啟用firewall-cmd -perma nen t -z on e=<z on e> -query-service=<service>如果服務(wù)啟用，此命令將有返回值。此命令沒(méi)有輸出信息。例：永久啟用home區(qū)域中的ipp-client 服務(wù)firewall-cmd -perma nent -z on e=home -add-service=ipp-clie nt永久啟用區(qū)域中的一個(gè)端口-協(xié)議組合firewall-cmd -perma nen t -z on

32、e=<z on e>-add-port=<port>-<port>/<protocol>永久禁用區(qū)域中的一個(gè)端口-協(xié)議組合firewall-cmd -perma nen t -z on e=<z on e>-remove-port=<port>-<port>/<protocol>查詢區(qū)域中的端口 -協(xié)議組合是否永久啟用firewall-cmd -perma nen t -z on e=<z on e>-query-port=<port>-<port>/<pr

33、otocol>如果服務(wù)啟用，此命令將有返回值。此命令沒(méi)有輸出信息。例：永久啟用home區(qū)域中的htt ps (tcp 443) 端口firewall-cmd -perma nent -z on e=home -add-port=443/tcp永久啟用區(qū)域中的偽裝firewall-cmd -perma nen t -z on e=<z on e> -add-masquerade此舉啟用區(qū)域的偽裝功能。私有網(wǎng)絡(luò)的地址將被隱藏并映射到一個(gè)公有IP。這是地址轉(zhuǎn)換的一種形式，常用于路由。由于內(nèi)核的限制，偽裝功能僅可用于IPv4。永久禁用區(qū)域中的偽裝firewall-cmd -perma

34、 nen t -z on e=<z on e> -remove-masquerade查詢區(qū)域中的偽裝的永久狀態(tài)firewall-cmd -perma nen t -z on e=<z on e> -query-masquerade如果服務(wù)啟用，此命令將有返回值。此命令沒(méi)有輸出信息。永久啟用區(qū)域中的ICMP阻塞firewall-cmd -perma nen t -z on e=<z on e> -add-icmp-block=<icmptype>此舉將啟用選中的In ter net控制報(bào)文協(xié)議(ICMP 報(bào)文進(jìn)行阻塞。ICMP報(bào)文可以是請(qǐng)求信息或者

35、創(chuàng)建的應(yīng)答報(bào)文或錯(cuò)誤應(yīng)答報(bào)文。永久禁用區(qū)域中的ICMP阻塞firewall-cmd -perma nen t -z on e=<z on e>-remove-icmp-block=<icmptype>查詢區(qū)域中的ICMP永久狀態(tài)firewall-cmd -permanent -zone=<zone> -query-icmp-block=<icmptype>如果服務(wù)啟用，此命令將有返回值。此命令沒(méi)有輸出信息。例：阻塞公共區(qū)域中的響應(yīng)應(yīng)答報(bào)文：firewall-cmd -perma nent -z on e=public -add-icmp-bloc

36、k=echo-reply在區(qū)域中永久啟用端口轉(zhuǎn)發(fā)或映射firewall-cmd -perma nen t -z on e=<z on e>-add-forward-port=port=<port>-<port>:proto=<protocol> :toport=<port>-<port> | :toaddr=<address>| :toport=<port>-<port>:toaddr=<address> 端口可以映射到另一臺(tái)主機(jī)的同一端口，也可以是同一主機(jī)或另一主機(jī)的不同端

37、口。端 口號(hào)可以是一個(gè)單獨(dú)的端口vport> 或者是端口范圍vport>-vport>。協(xié)議可以為tcp或udp。目標(biāo)端口可以是端口號(hào) <port> 或者是端口范圍<port>-vport> 。目標(biāo) 地址可以是IPv4地址。受內(nèi)核限制，端口轉(zhuǎn)發(fā)功能僅可用于IPv4。永久禁止區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射firewall-cmd -perma nen t -z on e=<z on e> -remove-forward-port=port=<port>-<port>:proto=vprotocol> :topo

38、rt=<port>-<port> | :toaddr=<address>| :toport=<port>-vport>:toaddr=<address> 查詢區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射狀態(tài)firewall-cmd -perma nen t -z on e=<z on e>-query-forward-port=port=<port>-<port>:proto=vprotocol> :toport=<port>-<port> | :toaddr=<addres

39、s>| :toport=<port>-vport>:toaddr=<address> 如果服務(wù)啟用，此命令將有返回值。此命令沒(méi)有輸出信息。例：將home區(qū)域的ssh服務(wù)轉(zhuǎn)發(fā)到firewall-cmd -perma nent -z on e=home-add-forward-port=port=22:proto=tcp:toaddr=直接選項(xiàng)直接選項(xiàng)主要用于使服務(wù)和應(yīng)用程序能夠增加規(guī)則。規(guī)則不會(huì)被保存，在重新加載或者重啟之后必須再次提交。傳遞的參數(shù)<args> 與iptables, ip6tables 以及ebt

40、ables 致。 選項(xiàng)-direct需要是直接選項(xiàng)的第一個(gè)參數(shù)。將命令傳遞給防火墻。參數(shù)<args> 可以是iptables, ip6tables 以及ebtables 命令行參數(shù)。firewall-cmd -direct -passthrough ipv4 | ipv6 | eb <args>為表<table> 增加一個(gè)新鏈<chain> 。firewall-cmd -direct -add-cha in ipv4 | ipv6 | eb <table> <cha in>從表<table> 中刪除鏈<c

41、hain> 。firewall-cmd-direct-remove-chain ipv4 | ipv6 | eb <table> <chain>查詢<chain>鏈?zhǔn)欠翊嬖谂c表<table>. 如果是，返回0,否則返回1.firewall-cmd-direct-query-chain ipv4 | ipv6 | eb <table> <chain>如果啟用，此命令將有返回值。此命令沒(méi)有輸出信息。獲取用空格分隔的表 <table> 中鏈的列表。firewall-cmd -direct -get-chai n

42、s ipv4 | ipv6 | eb <table>為表<table> 增加一條參數(shù)為 <args> 的鏈<cha in> ，優(yōu)先級(jí)設(shè)定為 <priority> 。 firewall-cmd -direct -add-rule ipv4 | ipv6 | eb <table> <cha in><priority> <args>從表<table> 中刪除帶參數(shù) <args> 的鏈<chain>。firewall-cmd -direct -remove-r

43、ule ipv4 | ipv6 | eb <table> <chain> <args>查詢帶參數(shù)<args> 的鏈<chain> 是否存在表<table> 中.如果是，返回0,否則返回1.firewall-cmd -direct -query-rule ipv4 | ipv6 | eb <table> <cha in><args>如果啟用，此命令將有返回值。此命令沒(méi)有輸出信息。獲取表<table> 中所有增加到鏈<chain>的規(guī)則，并用換行分隔。firewall

44、-cmd -direct -get-rules ipv4 | ipv6 | eb <table> <cha in>當(dāng)前的firewalld 特性D-BUS 接口D-BUS接口提供防火墻狀態(tài)的信息，使防火墻的啟用、停用或查詢?cè)O(shè)置成為可能。區(qū)域網(wǎng)絡(luò)或者防火墻區(qū)域定義了連接的可信程度。firewalld提供了幾種預(yù)定義的區(qū)域。區(qū)域配置選項(xiàng)和通用配置信息可以在firewall.z one(5)的手冊(cè)里查到。服務(wù)服務(wù)可以是一系列本讀端口、目的以及附加信息，也可以是服務(wù)啟動(dòng)時(shí)自動(dòng)增加的防火墻助手模塊。預(yù)定義服務(wù)的使用使啟用和禁用對(duì)服務(wù)的訪問(wèn)變得更加簡(jiǎn)單。服務(wù)配置選項(xiàng)和通用文件信息在

45、firewalld.service(5)手冊(cè)里有描述。ICMP類(lèi)型In ternet控制報(bào)文協(xié)議(ICMP)被用以交換報(bào)文和互聯(lián)網(wǎng)協(xié)議(IP) 的錯(cuò)誤報(bào)文。在firewalld 中可以使用ICMP類(lèi)型來(lái)限制報(bào)文交換。ICMP類(lèi)型配置選項(xiàng)和通用文件信息可 以參閱 firewalld.icmptype(5)手冊(cè)。直接接口直接接口主要用于服務(wù)或者應(yīng)用程序增加特定的防火墻規(guī)則。這些規(guī)則并非永久有效，并且在收到firewalld 通過(guò)D-Bus傳遞的啟動(dòng)、重啟、重載信號(hào)后需要重新應(yīng)用。運(yùn)行時(shí)配置運(yùn)行時(shí)配置并非永久有效，在重新加載時(shí)可以被恢復(fù)，而系統(tǒng)或者服務(wù)重啟、停止時(shí)，這些選項(xiàng)將會(huì)丟失。永久配置永久配置

46、存儲(chǔ)在配置文件種，每次機(jī)器重啟或者服務(wù)重啟、重新加載時(shí)將自動(dòng)恢復(fù)。托盤(pán)小程序托盤(pán)小程序firewall-applet為用戶顯示防火墻狀態(tài)和存在的問(wèn)題。它也可以用來(lái)配置用戶允許修改的設(shè)置。圖形化配置工具firewall daemon 主要的配置工具是 firewall-co nfig。它支持防火墻的所有特性(除了由服務(wù)/應(yīng)用程序增加規(guī)則使用的直接接口)。管理員也可以用它來(lái)改變系統(tǒng)或用戶策略。命令行客戶端firewall-cmd是命令行下提供大部分圖形工具配置特性的工具。對(duì)于ebtables 的支持要滿足libvirtdaemon的全部需求，在內(nèi)核netfilter級(jí)上防止ip*tables 和e

47、btables間訪問(wèn)問(wèn)題，ebtables 支持是需要的。由于這些命令是訪問(wèn)相同結(jié)構(gòu)的，因而不能同時(shí)使 用。/usr/lib/firewalld中的默認(rèn)/備用配置該目錄包含了由firewalld提供的默認(rèn)以及備用的ICMP類(lèi)型、服務(wù)、區(qū)域配置。由firewalld軟件包提供的這些文件不能被修改，即使修改也會(huì)隨著firewalld軟件包的更新被重置。 其他的ICMP類(lèi)型、服務(wù)、區(qū)域配置可以通過(guò)軟件包或者創(chuàng)建文件的方式提供。/etc/firewalld中的系統(tǒng)配置設(shè)置存儲(chǔ)在此的系統(tǒng)或者用戶配置文件可以是系統(tǒng)管理員通過(guò)配置接口定制的，也可以是手動(dòng)定制的。這些文件將重載默認(rèn)配置文件。為了手動(dòng)修改預(yù)定義

48、的icmp類(lèi)型，區(qū)域或者服務(wù)，從默認(rèn)配置目錄將配置拷貝到相應(yīng) 的系統(tǒng)配置目錄，然后根據(jù)需求進(jìn)行修改。如果你加載了有默認(rèn)和備用配置的區(qū)域，在/etc/firewalld下的對(duì)應(yīng)文件將被重命名為vfile>.old然后啟用備用配置。正在開(kāi)發(fā)的特性富語(yǔ)言富語(yǔ)言特性提供了一種不需要了解iptables 語(yǔ)法的通過(guò)高級(jí)語(yǔ)言配置復(fù)雜IPv4和IPv6防火墻規(guī)則的機(jī)制。Fedora 19提供了帶有D-Bus和命令行支持的富語(yǔ)言特性第2個(gè)里程碑版本。第3個(gè)里程碑版本也將提供對(duì)于圖形界面firewall-co nfig的支持。對(duì)于此特性的更多信息，請(qǐng)參閱：firewalld Rich Lan guage鎖

49、定鎖定特性為firewalld增加了鎖定本地應(yīng)用或者服務(wù)配置的簡(jiǎn)單配置方式。它是一種輕量級(jí)的應(yīng)用程序策略。Fedora 19提供了鎖定特性的第二個(gè)里程碑版本，帶有D-Bus和命令行支持。第3個(gè)里程碑版本也將提供圖形界面firewall-co nfig下的支持。更多信息請(qǐng)參閱：firewalld Lockdow n永久直接規(guī)則這項(xiàng)特性處于早期狀態(tài)。它將能夠提供保存直接規(guī)則和直接鏈的功能。通過(guò)規(guī)則不屬于該特性。更多關(guān)于直接規(guī)則的信息請(qǐng)參閱Direct optio ns。從ip*tables 和ebtables服務(wù)遷移這項(xiàng)特性處于早期狀態(tài)。它將盡可能提供由iptables,ip6tables 和eb

50、tables 服務(wù)配置轉(zhuǎn)換為永久直接規(guī)則的腳本。此特性在由firewalld提供的直接鏈集成方面可能存在局限性。此特性將需要大量復(fù)雜防火墻配置的遷移測(cè)試。計(jì)劃和提議功能防火墻抽象模型在ip*tables 和ebtables防火墻規(guī)則之上添加抽象層使添加規(guī)則更簡(jiǎn)單和直觀。要抽象層功能強(qiáng)大，但同時(shí)又不能復(fù)雜，并不是一項(xiàng)簡(jiǎn)單的任務(wù)。為此，不得不開(kāi)發(fā)一種防火墻語(yǔ)言。使防火墻規(guī)則擁有固定的位置，可以查詢端口的訪問(wèn)狀態(tài)、訪問(wèn)策略等普通信息和一些其他可能的防火墻特性。對(duì)于conn track 的支持要終止禁用特性已確立的連接需要conn track。不過(guò)，一些情況下終止連接可能是不好的，如：為建立有限時(shí)間內(nèi)

51、的連續(xù)性外部連接而啟用的防火墻服務(wù)。用戶交互模型這是防火墻中用戶或者管理員可以啟用的一種特殊模式。應(yīng)用程序所有要更改防火墻的請(qǐng)求將定向給用戶知曉，以便確認(rèn)和否認(rèn)。為一個(gè)連接的授權(quán)設(shè)置一個(gè)時(shí)間限制并限制其所連主 機(jī)、網(wǎng)絡(luò)或連接是可行的。配置可以保存以便將來(lái)不需通知便可應(yīng)用相同行為。該模式的另一個(gè)特性是管理和應(yīng)用程序發(fā)起的請(qǐng)求具有相同功能的預(yù)選服務(wù)和端口的外部鏈接嘗試。服務(wù)和端口的限制也會(huì)限制發(fā)送給用戶的請(qǐng)求數(shù)量。用戶策略支持管理員可以規(guī)定哪些用戶可以使用用戶交互模式和限制防火墻可用特性。端口元數(shù)據(jù)信息（由Lennart Poettering提議）擁有一個(gè)端口獨(dú)立的元數(shù)據(jù)信息是很好的。當(dāng)前對(duì)/et

52、c/services的端口和協(xié)議靜態(tài)分配模型不是個(gè)好的解決方案，也沒(méi)有反映當(dāng)前使用情況。應(yīng)用程序或服務(wù)的端口是動(dòng)態(tài)的，因而端口本身并不能描述使用情況。元數(shù)據(jù)信息可以用來(lái)為防火墻制定簡(jiǎn)單的規(guī)則。下面是一些例子： 允許外部訪問(wèn)文件共享應(yīng)用程序或服務(wù) 允許外部訪問(wèn)音樂(lè)共享應(yīng)用程序或服務(wù) 允許外部訪問(wèn)全部共享應(yīng)用程序或服務(wù)«允許外部訪問(wèn)torrent 文件共享應(yīng)用程序或服務(wù)* 允許外部訪問(wèn)http 網(wǎng)絡(luò)服務(wù)這里的元數(shù)據(jù)信息不只有特定應(yīng)用程序， 還可以是一組使用情況。例如：組“全部共享” 或者組“文件共享”可以對(duì)應(yīng)于全部共享或文件共享程序（如：torrent 文件共享）。這些只是例子，因而，可

53、能并沒(méi)有實(shí)際用處。這里是在防火墻中獲取元數(shù)據(jù)信息的兩種可能途徑：第一種是添加到netfilter （ 內(nèi)核空間）。好處是每個(gè)人都可以使用它，但也有一定使 用限制。還要考慮用戶或系統(tǒng)空間的具體信息，所有這些都需要在內(nèi)核層面實(shí)現(xiàn)。第二種是添加到firewall daemon中。這些抽象的規(guī)則可以和具體信息 （如：網(wǎng)絡(luò)連接 可信級(jí)、作為具體個(gè)人/主機(jī)要分享的用戶描述、 管理員禁止完全共享的應(yīng)歸則等 ）一起 使用。第二種解決方案的好處是不需要為有新的元數(shù)據(jù)組和納入改變（可信級(jí)、用戶偏好或管理員規(guī)則等等）重新編譯內(nèi)核。這些抽象規(guī)則的添加使得 firewall daemon 更加自由。 即使是新的安全級(jí)也不需要更新內(nèi)核即可輕松添加。sysctld現(xiàn)在仍有sysctl設(shè)置沒(méi)有正確應(yīng)用。一個(gè)例子是，在rc.sysinit正運(yùn)行時(shí)，而提供設(shè)置的模塊在啟動(dòng)