第2篇:Linux防火墙-firewalld的rich规则配置

这是承接上一篇的内容

在某些情况下，我们可能需要创立更复杂的规则，而不仅仅是允许区域中的某些端口或者服务。例如，我们可能想要创立一条规则来阻止来自特定机器的某种类型的流量。这就是rich规则的意义所在。规则基本上由两部分组成：在第一部分中，我们指定要应用规则必需满足的条件，在第二部分中，指定要执行的操作:accept、drop或者reject

试验目的

在下面的试验拓网络拓扑中，防火墙的 ens33网卡是分配到external区域，ens34网卡分配的internal区域

我们的实现目的是防止特定外网(用192.168.168.0/24来模拟)的主机192.168.168.105访问我们防火墙的ssh服务

我们先来看看防火墙本身的少量以下是external区域的预配置

以下是internal区域的预配置

阻拦来自外部网路中IP为192.168.168.105主机的流量：我们将如何组成我们的规则,事实上,就是iptables规则的一种变相语法：

firewall-cmd --zone=external --add-rich-rule="rule \family="ipv4" \source address=192.168.168.105 \service name=ssh reject \"

rich规则详解

• –add-rich-rule选项，将该规则形容为其参数。规则以rule关键字开头。
  • family:我们指定该规则仅应用于IPv4数据包：假如未提供此关键字，则该规则将同时应用于IPv4和IPv6。
  • source address:我们提供数据包必需具备的源地址，才能使用源地址触发规则。
  • service，我们指定了规则的服务类型，在本例中为ssh。
  • reject/drop/accept，我们提供了数据包与规则匹配时要执行的操作，在本例中为reject.

当我们将上面的rich规则增加的external区域，我们192.168.168.105再也无法访问到防火墙的外部接口192.168.168.106了。这是rich规则的一个简单用法

上面的一个非常简单，但是规则可能变得非常复杂。您应该查看firewalld文档，以查看所有可用设置和选项的范围。

rich规则的其余命令行参数

可以查看如下表，里面列举了rich规则常用的方法

我这里没必要逐个列出示例,我们先将刚才增加的rich规则删掉

firewall-cmd --zone=external --remove-rich-rule=" \rule family="ipv4" \ source address="192.168.168.105" \service name="ssh"  \reject"

Rich规则的优先级

首先我们在解析这个问题，依然使用上面的例子,比方我们希望只有192.168.50.17的主机能够远程ssh到防火墙，而同一网络192.168.50.0/24的其余主机我们禁止其余访问。

在写rich规则时，往往会遇到两条冲突的规则。例如，为了只允许来自192.168.50.0/24网络的一台主机192.168.50.17允许通过ssh访问防火墙，显然下面的规则是不可取的

• 规则1：-拒绝来自192.168.50.0/24网络的所有主机(drop/reject)
• 规则2：-允许来自192.168.50.17的主机(accept)

因为192.168.50.17主机也属于192.168.50.0/24这个网络号，因而这两个规则都将应用于该主机,假如你对iptables规则熟习的话，可能会去如下这样了解防火墙匹配规则的行为。

1. 仅解决入站的数据包。
2. 数据包始终以从上到下的方向进行解决。
   • Step1:一旦数据包与规则匹配，将立即对该数据包执行关联操作(允许或者拒绝)。
   • Step2:数据包将不可用于进一步解决。

而后可能就许就这样定义防火墙的规则：

• 规则1：允许来自192.168.50.17的主机(accept)
• 规则2：拒绝来自192.168.50.0/24网络的所有主机(drop/reject)

规则准确度越高的放在规则列表的最前,逻辑上应该是先设定accept行为的规则，而后再设定drop/reject行为的规则，这样的逻辑在iptables是正确，甚至其余传统的防火墙也是这样行为逻辑的。但你要搞清楚，到了firewalld的rich规则就不适用了。为了证明这一说法，我么参考了firewalld.org的技术文档,请好好了解图中划黄线的一段话。

中文的翻译：

当前的rich规则的一个问题是，它们是基于规则操作来组织的。 日志规则始终在拒绝规则之前发生。 拒绝规则总是发生在允许规则之前。 这导致客户感到困惑，由于它隐式地对规则进行了重新排序。 这也使得不可能增加全面的rich规则来拒绝流量。

因而firewalld的rich规则执行逻辑如下：

1. 日志规则
2. drop/reject规则
3. accept规则

试验示例

目标：验证rich规则的潜在问题

• 我们允许192.168.50.0/24所有网络访问局域网的10.10.10.1上的远程桌面
• 允许192.168.50.17的主机通过ssh访问防火墙
• 拒绝192.168.50.0/24其余主机通过ssh访问防火墙
• 拒绝所有来自192.168.50.0/24对防火墙的ping请求

进行上面的拓扑试验前，我们检测一下防火墙的状态

在Linux管理配置防火墙时，先在文本编辑器将你的思路理顺了，而后一条条命令拷贝到shell中回车，是一种很好的习惯，这些命令能出错的话，我们部署到生产环境再写成shell或者python脚本程序。

rich规则有两种书写方法，你不得不吐嘈:”这些地球上最丑陋的命令形式,没有之一“,你不论使用那种形式，都很容易出错，所以建议你在文件编辑器修改到没有毛病才粘贴到shell终端窗口中。

• 不换行风格–add-rich-rule=之后的规则内容用单引号括起来，见下图第一个的命令

• 换行风格,需要理解少量shell解析器的基础，说明见下图第二个命令

  

允许192.168.50.0/24所有主机网络访问局域网的10.10.10.1上的远程桌面

firewall-cmd --zone=external --add-forward-port=\port=3389:proto=tcp:toport=3389:toaddr=10.10.10.1

允许192.168.50.17的主机通过ssh访问防火墙

firewall-cmd --zone=external --add-rich-rule="rule \family="ipv4" \source address="192.168.50.17" \service name="ssh" \log prefix=\"ssh connect from:\" \level="notice" \accept"

拒绝192.168.50.0/24的其余主机访问防火墙的ssh服务

firewall-cmd  --zone=external --add-rich-rule="rule \family="ipv4" \source address="192.168.50.0/24" \service name="ssh" \log prefix=\"ssh reject from:\" \level="notice" \drop"

拒绝所有来自192.168.50.0/24对防火墙的ping请求

firewall-cmd  --zone=external --add-rich-rule="rule \protocol value="icmp" \reject"

ok,整个过程没出错

我们使用以下命令查看，刚才在external区域配置的rich规则

firewall-cmd --zone=external --list-rich-rules

试验的重点:就是要验证第一条rich的规则能否会被优先执行，还是第二条drop规则会先于第一条accept规则执行？

我们在192.168.50.17的主机上测试一下是否ssh到防火墙？如下图ssh请求无响应且没有错误提醒返回，这里至少已经证明

• 即使在规则列表中accept规则位置先于drop规则，但是drop规则总是会优先于accept规则被匹配。
• 已经无法ping通防火墙,并且由防火墙返回错误信息。
  

防火墙的端口转发测试,192.168.50.17是一台Ubuntu主机，我们使用Remmina远程桌面软件连接到内网10.10.10.1的主机

OK，端口转发也是成功的

那么实现遗留的问题，就是rich规则如何能如我们所愿地定的规则顺序执行？这正是本文的重点

Rich规则的priority字段

新版的firewalld增加了新的priority字段。它可以是-32768到32767之间的任何数字，其中数字越小，优先级越高。此范围足够大，以允许从脚本或者其余实体自动生成规则。

那么就非常简单:只要在你想优先执行的rich规则中给priority字段定义一个足够小的负数，就能确保能优先于其余drop/reject规则被firewalld匹配。如下图所示

Ok,此时，accept的规则优先于其余drop/reject规则被匹配，这正是我们所希望的。

小结

目前，rich规则的定义，至少目前来说我算是全简书里解说地很清楚了。

参考文献

https://firewalld.org/2018/12/rich-rule-priorities