简介

在CentOS 8采用firewalld管理netfilter子系统，默认情况，firewall的后端是nftables，而非iptables，底层调用的是nft命令，而非iptables命令。

不同的防火墙软件相互间存在冲突，使用某个时应禁用其它的防火墙软件。

配置文件

firewalld的配置文件一般有两个存储位置：/etc/firewalld/ 和 /usr/lib/firewalld/。

手动配置的规则会存放到/etc/firewalld/这个目录中，如果这个目录中没有找到对应的配置文件，就会去/usr/lib/firewalld/这个默认路径下查找。因此需要手动恢复默认规则就要删除/etc/firewalld/下面对应的文件即可。

配置目录下的子目录

zones目录中存放zone配置文件，services目录中存放service配置文件，icmptypes目录中存放icmp类型相关的配置文件。

firewalld主配置文件/etc/firewalld/firewalld.conf

DefaultZone，默认使用的zone，默认值为public；

MinimalMark，标记的最小值，默认为100；

CleanupOnExit，退出后是否清除防火墙规则，默认为yes；

Lockdown，是否限制别的程序通过D-BUS接口直接操作firewalld，默认为no，当Lockdown设置为yes时，/etc/firewalld/lockdown-whitelist.xml规定哪些程序可以对firewalld进行操作；

IPv6_rpfilter，判断接收的包是否是伪造的，默认为yes。

firewalld提供了9个zone

drop

默认：丢弃所有进入的数据包，不做任何响应。仅允许传出连接

block

默认：拒绝所有进入的数据包，返回icmp-host-prohibited报文（ipv4）或icmp6-adm-prohibited报文（ipv6）。仅允许传出连接

public

默认：firewalld默认的zone。用于不受信任的公共场所，不信任网络中其它计算机，可以允许选定的传入连接

external

默认：用在路由器等启用伪装（NAT）的外部网络，仅允许选定的传入连接

internal

默认：用在（NAT）内部网络，网络中的其它系统通常是可信的，仅允许选定的传入连接

dmz

默认：允许非军事区（DMZ，内外网络之间增加的一层网络，起到缓冲作用）中的计算机有限的被外界网络访问，仅允许选定的传入连接

work

默认：用在工作网络，网络中的其它计算机通常是可信的，仅允许选定的传入连接

home

默认：用在家庭网络，网络中的其它计算机通常是可信的，仅允许选定的传入连接

trusted

默认：接受所有网络连接，信任网络中的所有计算机

zone的配置文件路径是在/etc/firewalld/zones/目录中

service（服务）

iptables使用端口号来匹配规则，但是如果某一个服务的端口号改变了，就要同时更改iptables规则，很不方便，同时也不方便阅读理解。

一个service中可以配置特定的端口（将端口和service的名字关联）。

zone中加入service规则就等效于直接加入了port规则，但是使用service更容易管理和理解。

service配置文件的命名为<service名称>.xml

zone文件中的过滤规则

zone文件中的过滤规则优先级：source（最高）-> interface（次之）-> firewalld.conf中配置的默认zone（最低）。

source：根据数据包源地址过滤，相同的source只能在一个zone中配置

interface：根据接收数据包的网卡过滤

service：根据服务名过滤（实际是查找服务关联的端口，根据端口过滤），一个service可以配置到多个zone中

port：根据端口过滤

icmp-block：icmp报文过滤，可按照icmp类型设置

masquerade：ip地址伪装，即将接收到的请求的源地址设置为转发请求网卡的地址（路由器的工作原理）

forward-port：端口转发

rule：自定义规则，与iptables配置接近。rule结合--timeout可以实现一些有用的功能，比如可以写个自动化脚本，发现异常连接时添加一条rule将相应地址drop掉，并使用--timeout设置时间段，过了之后再自动开放

数据包的处理流程

firewalld提供了9个zone，过滤规则优先级决定进来的数据包会由哪个zone来处理，处理进来数据包的流程如下：

1、如果进来的数据包的源地址被drop或block这两个zone的source规则匹配，那么这个数据包不会再去匹配interface规则。如果数据包的源地址没有被drop和block两个zone的source规则匹配，而是被其它zone的source规则匹配，那么数据包将会被该zone处理。

2、如果数据包通的接口被drop或block这两个zone的interface规则匹配，则不会交给默认zone处理。如果数据包通的接口没有被drop和block 两个zone的interface规则匹配，而是被其它zone的interface规则匹配，那么数据包将会被该zone处理。

3、如果数据包没有被source规则和interface规则匹配，将会被默认zone处理（由/etc/firewalld/firewalld.conf中的配置项DefaultZone设置）。