一：firewalld  高级配置

1.1:关于iptables的知识

IP 数据包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做数据包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的数据包过滤表中，而这些表集成在Linux内核中。在数据包过滤表中，规则被分组放在我们所谓的链(chain) 中。

虽然 netfilter/iptables IP 数据包过滤系统被称为单个实体，但它实际上由两个组件 netfilter 和 iptables 组成。

(1).netfilter 组件也称为内核空间(kernelspace),是内核的一部分，由一些数据包过滤 表组成，这些表包含内核用来控制数据包过滤处理的规则集。

(2).iptables 组件是一种工具，也称为用户空间 (userspace),      它使插入、修改和除去数 据包过滤表中的规则变得容易。iptables包含4个表，5个链。其中表是按照对数据包的操作区分的，链是按照不同的 Hook(挂钩)点来区分的，表和链实际上是 netfilter 的两个维度。

firewalld   中理解直接规则

将 iptables的规则插入到firewalld的管理区域中，这种方式写的规则叫直接规则。

将某个IP范围列入黑名单

在这个例子中首先自定义了一个叫blacklist的链，然后将所有来自192.168.10.0/24的数据包 都指向了这个链，最后定义了这个链的规则：首先进行记录，然后drop, 记录的方法是使 用“blacklisted:” 前缀并且限制1分钟记录一次。

(1)创建一个黑名单，并为这个黑名单创建一个链，链名为 blacklist

[root@localhost ~]#firewall-cmd --direct --permanent --add-chain ipv4 raw blacklist

(2)将来自192.168.10.0/24的数据包指向这个链

[root@localhost     ~]#firewall-cmd     --direct     -permanent      --add-rule     ipv4      raw     PREROUTING     0-s 192.168.10.0/24-jblacklist

(3)每分钟记录一次日志(-m limit --limit 1/min   每分钟记录一次日志)

[root@localhost ~]#firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist O-m limit --limit 1/min -jLOG --log-prefix "blacklisted"

(4)设置这个链的规则为 DROP

[root@localhost~]#firewall-cmd--direct--permanent --add-rule ipv4 raw blacklist 1-jDROP

(5)重启 firewalld(重启或重载后生效)

[root@localhost~]#systemctl restart firewalld

(6)查看直接规则

[root@localhost ~]#cat /etc/firewalld/direct.xml

使用富语言

1: 什么是富语言

不需要使用iptables语法，而是使用高级语言配置防火墙规则的机制成为富语言。

规则排序

测试和调试

3: 理解富规则命令

4: 规则配置举例

(1)为认证报头协议AH 使用新的IPv4和 IPv6 连接

[root@localhost~]#firewall-cmd --add-rich-rule='rule protocol value=ah accept'

(2)允许新的IPv4 和 IPv6  连接http, 并使用审核每分钟记录一次

[root@localhost ~]#firewall-cmd --add-rich-rule='rule service name=http log prefix=httpaccess limit value=1/m audit accept'

注意：

开启日志记录后

[root@localhost~]#cat /var/log/messages

Jan     1411:27:29192     kernel:'httpaccess'IN=ens330UT=

MAC=00:0c:29:85:a0:bd:00:0c:29:5e:d3:72:08:00 SRC=192.168.10.102 DST=192.168.10.101

LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=60222 DF PROTO=TCP SPT=53168 DPT=80

WINDOW=29200 RES=0x00SYN URGP=0

(3)允许来自192.168.0.0/24地址的TFTP 协议的IPv4连接，并且使用系统日志每分钟记录一次

[root@localhost ~]#firewall-cmd --add-rich='rule family="ipv4"source address="192.168.0.0/24" service  name="tftp"log  prefix="tftp"level="info"limit  value="1/m"accept'

(4)为RADIUS协议拒绝所有来自1:2:3:4:6::的新的IPv6 连接，日志前缀为 “dns”,  级别为 info,  并每分钟最多记录3次。接受来自其他发起段新的IPv6 连接

[root@localhost    ~]#firewall-cmd    --add-rich-rule='rule     family="ipv6"source    address="1:2:3:6::" service  name="raduis"log  prefix="dns"level="info"limit  value="3/m"reject'

(5) 将源192.168.2.2地址加入白名单，以允许来自这个源地址的所有连接

[root@localhost ~]# firewall-cmd   --add-rich-rule='rule   family="ipv4"  source address="192.168.2.2"accept'

(6) 拒绝(删除)来自 public 区域中 IP 地址为192.168.0.11的所有流量

[root@localhost  ~]#firewall-cmd  --zone=public  --add-rich-rule='rule  family=ipv4  source address=192.168.10.202/32 reject'

[root@localhost ~]#firewall-cmd --zone=public --remove-rich-rule='rule family=ipv4 source address=192.168.10.202/32 reject'

(7)丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包

[root@localhost~]#firewall-cmd --add-rich-rule='rule protocol value="esp"drop'

(8)在192.168.1.0/24子网的dmz 区域中，接收端口7900--1905的所有TCP 包

[root@localhost   ~]#firewall-cmd   --zone=dmz   --add-rich-rule='rule  family=ipv4   source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'

(9)接受从work 区域到ssh 的新连接，以notice级别且每分钟最多三条信息的方式将新连接记录到syslog

[root@localhost ~]#firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh"level="notice"limit value="3/m"accept'

(10)在接下来的5min 内，拒绝从默认区域中的子网192.168.2.0/24到DNS 的新连接，并且拒绝的连接将记录到audit 系统，且每小时最多一条消息

[root@localhost~]#firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h"reject'--timeout=300