CentOS7 SElinux和防火墙Firewall

## CentOS 7关闭selinux
#### 临时关闭
`getenforce` 获取当前selinux状态
Enforcing表示开启
`sudo setenforce 0`临时关闭selinux 重启失效
状态变为Disabled

#### 永久关闭
`sudo vim /etc/sysconfig/selinux`或`vi /etc/selinux/config`
将SELINUX=enforcing改为SELINUX=disabled
设置后需要重启才能生效
## CentOS 7防火墙Firewall
#### Firewall开放端口
CentOS升级到7之后使用firewalld代替了原来的iptables

开启tcp端口80
[root@centos7 ~]# `firewall-cmd --zone=public --add-port=80/tcp --permanent`

开启udp端口53
[root@centos7 ~]# `firewall-cmd --zone=public --add-port=53/udp --permanent`

批量添加区间端口`firewall-cmd --zone=public--add-port=4400-4600/udp --permanent`
#### Firewall关闭端口
`firewall-cmd --zone=public --remove-port=80/tcp --permanent`

#### Firewall查询和重启
查询端口号80 是否开启：
[root@centos7 ~]# `firewall-cmd --query-port=80/tcp`

重新载入防火墙配置：
[root@centos7 ~]# `firewall-cmd --reload`

查询有哪些端口是开启的:
[root@centos7 ~]# `firewall-cmd --list-port`

#### 命令含义：
--zone #作用域
--add-port=80/tcp #添加端口，格式为：端口/通讯协议
--permanent #永久生效，没有此参数重启后失效

**启停firewall**
#### 1、firewalld的基本使用

启动： `systemctl start firewalld`
关闭： `systemctl stop firewalld`
查看状态： `systemctl status firewalld`
开机禁用 ： `systemctl disable firewalld`
开机启用 ： `systemctl enable firewalld`

#### 2.systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。

- 启动一个服务：systemctl start firewalld.service
- 关闭一个服务：systemctl stop firewalld.service
- 重启一个服务：systemctl restart firewalld.service
- 显示一个服务的状态：systemctl status firewalld.service
- 在开机时启用一个服务：systemctl enable firewalld.service
- 在开机时禁用一个服务：systemctl disable firewalld.service
- **查看服务是否开机启动**：`systemctl is-enabled firewalld.service`
- 查看已启动的服务列表：systemctl list-unit-files|grep enabled
- 查看启动失败的服务列表：systemctl --failed

#### 3.配置firewalld-cmd

- 查看版本： firewall-cmd --version
- 查看帮助： firewall-cmd --help
- 显示状态： firewall-cmd --state
- 查看所有打开的端口： firewall-cmd --zone=public --list-ports
- 更新防火墙规则： firewall-cmd --reload
- 查看区域信息: firewall-cmd --get-active-zones
- 查看指定接口所属区域： firewall-cmd --get-zone-of-interface=eth0
- 拒绝所有包：firewall-cmd --panic-on
- 取消拒绝状态： firewall-cmd --panic-off
- 查看是否拒绝： firewall-cmd --query-panic

富规则实例
```
`firewalld`是CentOS 7及许多其他现代Linux发行版中使用的防火墙管理工具。`firewall-cmd`是`firewalld`的命令行界面，用于管理防火墙规则和设置。以下是`firewall-cmd`的一些常见用法及其含义：

1. **`firewall-cmd --list-all`**:
   - 这个命令用于列出所有区域（zone）的防火墙规则和设置。
   - 它会显示当前活动区域的规则、服务、端口、富规则（rich rules）等信息。
   - 这个命令提供了一个快速的概览，让你了解当前防火墙的配置状态。

2. **`firewall-cmd --direct --get-all-rules`**:
   - 这个命令用于获取直接（direct）规则，这些规则是直接在内核层面上应用的，不通过`firewalld`的区域（zone）配置。
   - 直接规则通常用于更复杂的场景，比如需要精确控制包过滤的行为，或者需要绕过`firewalld`的某些限制。
   - `--get-all-rules`选项用于获取所有直接规则的列表，包括永久规则和当前活动的规则。

简单来说，`--list-all`提供了通过`firewalld`配置的防火墙规则的概览，而`--direct --get-all-rules`则提供了直接在内核中设置的规则的列表，这些规则可能不会被`--list-all`命令显示。

查询
[root@localhost ~]# firewall-cmd --direct --get-all-rules
ipv4 filter FORWARD 80000 -p tcp --dport 443 -d 10.1.2.3 -m comment --comment 'permit abc123' -j ACCEPT
ipv4 filter FORWARD 80100 -p tcp -s 192.168.10.3 -d 10.10.10.10 --dport 3389 -m comment --comment 'permit3389' -j ACCEPT
ipv4 filter FORWARD 80200 -p tcp -d 192.168.10.80 --dport 8080 -m comment --comment 'permit webserver' -j ACCEPT
ipv4 filter FORWARD 80300 -p udp -s 192.168.10.2 -d 192.168.200.108 --dport 58880:58889 -m comment --comment 'permit a to b' -j ACCEPT
ipv4 filter FORWARD 90000 -p tcp -s 192.168.30.2 -d 10.1.3.0/24 --dport 22 -m comment --comment 'permit22' -j ACCEPT
ipv4 filter FORWARD 90200 -p tcp -s 192.168.20.2 -d 10.1.2.0/24 -m comment --comment 'permit all' -j ACCEPT

添加
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 78800 -p tcp -s 192.168.10.2 -d 10.2.2.0/24 -m comment --comment 'permit222' -j ACCEPT

删除
firewall-cmd --permanent --direct --remove-rule ipv4 filter FORWARD 69500 -p udp -s 192.168.10.1 -d 10.2.3.4 --dport 58880:58889 -m comment --comment 'permit234' -j ACCEPT
```

使用实例
```
添加，放通tcp的80端口
firewall-cmd --zone=public --add-port=80/tcp --permanent

移除
firewall-cmd --zone=public--remove-port=80/tcp --permanent

添加，对192.168.1.0/24网段放通tcp的443端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="443" accept"

移除
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="443" accept"

firewall-cmd --reload
firewall-cmd --list-all

拒绝特定 MAC 地址的所有流量
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source mac xx:xx:xx:xx:xx:xx drop'

仅拒绝特定 MAC 地址访问 TCP 443 端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source mac xx:xx:xx:xx:xx:xx port protocol="tcp" port="443" drop'

查询现在放通的端口
[root@local~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources:
  services: dhcpv6-client
  ports: 8080/tcp 8090/tcp   ## 普通放通端口，这里显示
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="192.168.1.0/24" port port="443" protocol="tcp" accept  ## 复杂规则，这里显示

```

## firewalld

如果您的系统使用的是 `firewalld` 作为防火墙服务，您可以使用以下命令来查看和管理防火墙规则：

1. **查看所有活动的防火墙规则**:
   ```shell
   sudo firewall-cmd --list-all
   ```

2. **查看所有已定义的区域及其默认规则**:
   ```shell
   sudo firewall-cmd --get-active-zones
   ```

3. **查看指定区域的规则**:
   ```shell
   sudo firewall-cmd --zone=public --list-all
   ```
   将 `public` 替换为您想要查看的区域名称。

4. **查看永久配置的防火墙规则**（那些重启后仍然有效的规则）:
   ```shell
   sudo firewall-cmd --permanent --list-all
   ```

5. **查看服务列表**:
   - 查看所有已定义的服务：
     ```shell
     sudo firewall-cmd --get-services
     ```
   - 查看某个服务的规则：
     ```shell
     sudo firewall-cmd --service=ssh --list-all
     ```

6. **查看端口列表**:
   - 查看所有放行的端口：
     ```shell
     sudo firewall-cmd --get-zone-of-interface=eth0
     ```
     其中 `eth0` 是您想要查询的网络接口名称。

7. **查看指定端口的规则**:
   ```shell
   sudo firewall-cmd --permanent --zone=public --query-port=80/tcp
   ```
   这将查询永久配置中是否放行了 TCP 端口 80。

8. **查看防火墙的状态** (是否正在运行):
   ```shell
   sudo systemctl status firewalld
   ```

9. **查看防火墙的日志**:
   ```shell
   sudo journalctl -u firewalld
   ```

10. **查看防火墙的版本**:
    ```shell
    sudo firewall-cmd --version
    ```

### rich rule 富规则
在使用 `firewalld` 作为防火墙管理工具的Linux系统中，"rich rules" 是一种复杂的规则，它们可以匹配更具体的条件，例如接口名称、源或目的地址、服务类型、端口等。这些规则提供了比传统规则更细粒度的控制。

要查看 `firewalld` 中的 rich rules，您可以使用以下命令：

```shell
sudo firewall-cmd --permanent --list-rich-rules
```

这个命令将列出所有在永久配置中设置的 rich rules。如果您只想查看当前活动配置中的 rich rules，可以将 `--permanent` 替换为 `--runtime`：

```shell
sudo firewall-cmd --runtime --list-rich-rules
```

Rich rules 的例子可能包括：

- 允许特定 IP 地址或地址范围的流量。
- 拒绝来自特定国家或地区的所有流量。
- 允许特定服务在特定时间段运行。
- 根据 MAC 地址、接口或协议类型等条件允许或拒绝流量。

例如，以下是一个 rich rule 的示例，它允许从特定 IP 地址到特定端口的流量：

```shell
rule family="ipv4" source address="192.168.1.100" port port="8080" protocol="tcp" accept
```

要在 `firewalld` 中添加 rich rules，您可以使用 `--add-rich-rule` 选项，并提供规则的定义。例如：

```shell
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="http" accept'
```

```shell
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="http" accept'
```

上面的命令将添加一条永久规则，允许从 IP 地址 `192.168.1.100` 到 `http` 服务（通常监听端口 80）的 TCP 流量。

**示例：允许特定源网段和源端口到特定目的端口的流量**
假设您想要允许从网段 192.168.1.0/24 来的、源端口为 8080 的流量，并且这些流量的目标端口是 80（HTTP服务的默认端口），您可以使用以下命令：

```
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" source port="8080" port="80" protocol="tcp" accept'
```
这条规则将允许来自 192.168.1.0/24 网段的、源端口为 8080 的 TCP 流量到达任何允许 80 端口的目的地。

**示例：拒绝特定源网段和源端口到特定目的端口的流量**
如果您想要拒绝同样的流量，可以使用 drop 操作：

```
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" source port="8080" port="80" protocol="tcp" drop'
```
这条规则将拒绝所有来自 192.168.1.0/24 网段的、源端口为 8080 的 TCP 流量到达任何 80 端口的目的地。

#### 删除rich rule
1. **查询**
```
firewall-cmd --list-all
```
2. **删除**
```
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="443" accept"
```

3. **重载 `firewalld` 配置** 以应用更改：
   ```shell
   sudo firewall-cmd --reload
   ```

4. **验证规则是否已被删除**：
   重新运行查看 rich rules 的命令来确保规则已经被删除：
   ```shell
   sudo firewall-cmd --permanent --list-rich-rules
   
   ```

5. **如果您想删除临时规则**（非永久性规则）：
   您可以使用 `--runtime` 选项代替 `--permanent` 选项，例如：
   ```shell
   sudo firewall-cmd --runtime --remove-rich-rule='0'
   ```

请注意，删除规则时需要具有相应的权限，因此您可能需要在命令前加上 `sudo`。另外，删除规则可能会影响系统的安全性和网络连接，请在删除前确保理解规则的目的和影响。

如果您不确定要删除哪条规则，或者想要根据特定条件（如源地址、端口等）删除规则，您可以使用 `grep` 来过滤出特定的规则索引号，例如：

```shell
sudo firewall-cmd --permanent --list-rich-rules | grep -n -e '源地址条件'
```

这将显示所有包含特定文本的规则及其索引号，您可以根据这些信息来确定要删除的规则。