说起 Linux 防火墙，大家可能并不陌生，因为一般我们在安装完系统后，第一个动作往往就是执行 systemctl stop/disable firewalld 来彻底关闭它~

当然这种行为从安全角度看是“无法忍受”得啦，今天就来给大家来好好认识一下这个“Linux firewall”，看看它到底有何本事。

先闲聊概念

首先，还是从它和iptables的关系谈起吧，曾经有段时间很迷糊，这俩到底是不是一个玩意？？

那 iptables 是啥，咳咳，这里还是不说 iptables 了，还是来认识认识新的 nftables 吧，nftables是用于替换 iptables 的数据包过滤框架，就是新人，它的概念跟 iptables 一样，同样的“四表五链”的概念，通过链表来建立和控制数据包的转发规则，链表的机制这里不是重点就不多说了

网图参考

等等，上面说的那俩都是建规则，那实际上到底谁来落地干活呢，工程师在哪里？

而真正使用规则干活的是内核的 netfilter ，netfilter 是 Linux 内核中进行数据包过滤的主要实现框架，在网络协议栈处理数据包过程中埋了好多钩子（Hook）来对数据包进行处理，等一下，由于这个也不是本文的重点，也就不再多说了，汗~

来一个图来说明这三者说不清也道不明的关系吧！

好了，说了那么多废话，怎么来操作这个防火墙呢，有三种手段，包括图形界面（这里不讲）、Web控制台（这里也不讲，只给看）、命令行（只说这个），来点具体的吧！

先来个狠的，全给我断掉！

（在紧急情况下，如遇到系统攻击，可以禁用所有网络流量阻断攻击）

启动 panic 模式：

$ firewall-cmd --panic-on

启用 panic 模式即可停止所有网络流量，包括你自己的访问，断了之后就赶紧去机房或者找控制台console吧。

要关闭 panic 模式：

$ firewall-cmd --panic-off

我到底关没关/开没开？请使用：

$ firewall-cmd --query-panic

来点正常的吧

增加一个http服务的访问，永久：

$ firewall-cmd --zone=public --add-service=http --permanent

自定义一个service服务

$ firewall-cmd --zone=public --permanent --new-service="only--9527" --add-port=9527/tcp

存一下，看看样子

$ firewall-cmd --reload

来点特殊功能，ICMP Filter

$ firewall-cmd --permanent --zone=public --add-icmp-block=echo-request 
$ firewall-cmd --permanent --zone=public --add-icmp-block=echo-reply 
$ firewall-cmd --reload

然后就真被filter了

[[email protected] ~]# firewall-cmd --list-all  
public (active)
 target: default
 icmp-block-inversion: no
 interfaces: bond0 eno1 eno2 eno3
 sources: 
services: bgp cockpit dhcpv6-client etcd-server ssh
 ports: 
protocols: 
masquerade: no
 forward-ports: 
source-ports: 
icmp-blocks: echo-request echo-reply

[[email protected] ~]# ping 192.168.1.111
PING 192.168.1.111 (192.168.1.111) 56(84) bytes of data.
From 192.168.1.111 icmp_seq=1 Packet filtered
From 192.168.1.111 icmp_seq=2 Packet filtered

这种很明显，别人会知道你正在filter（阻止）它，要真正隐藏就要丢弃所有请求，然后再增加正常的访问请求策略（无奈，firewalld就是这个样子）。

$ firewall-cmd --permanent --set-target=DROP

增加正常的访问请求策略就看上下文吧，不多说了。

来个 rich 的

rich language 是一种表达性配置语言，就是很简单的去表达基本的允许/拒绝规则。

例如，拦截来自外部网路中 IP 为 192.168.1.254 的 BGP 流量（什么玩意，还想给主机发bgp信息？）：

$ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address=192.168.1.254 service name=bgp reject" 
$ firewall-cmd --reload
$ firewall-cmd --list-all
public (active)
  target: default
  ……
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.1.254" service name="bgp" reject

[[email protected] ~]# telnet 192.168.1.111 179
Trying 192.168.1.111...
telnet: connect to address 192.168.1.111: Connection refused

rich规则详解：

--add-rich-rule 使用选项，规则以 rule 关键字开头

family: 可指定该规则仅应用于IPv4数据包，如果未指定将同时应用于IPv4和IPv6

source address: 数据包的源地址

service： 规则的服务类型，在本例中为bgp

reject/drop/accept： 数据包与规则匹配时要执行的操作，在本例中为reject