软路由防火墙规则最佳实践( 二 )

文章插图

iptables是基础，不过iptables只能管理ipv4，无法管理ipv6 。Ipv6需要使用ip6tables进行管理，所以如果是双栈网络就需要分别设置防火墙了。Firewalld的底层是netfilter，将ipv4和ipv6统一成了同一个框架，是同时支持v4和v6的防火墙。另外，几乎所有的iptables命令在firewalld中都可以使用direct参数进行兼容，并且firewalld还支持zoon等更高级的功能，也支持动态防火墙，使用起来比iptables更为方便。

文章插图
我们后面的命令几乎都使用firewalld命令进行讲解，如果希望能更早一步了解，可以去redhat的官方网站搜索到更详细更完整的教程。
这一期我们只介绍一些最简单的操作，比如开放端口让别人访问，关闭端口不让别人访问等。我们直接拿一个案例来进行说明。假设我们的NAS软路由一体机，有2张网卡。连接外网的网卡是pppoe-eno1，获取到了公网IP；连接内网的网卡是br-lan，在局域网中。服务器上开启了一些服务：http服务，对应80/tcp端口；transmission服务，管理页面对应9091/tcp端口，下载监听端口为51413/tcp和51413/udp端口；ssh服务对应22/tcp端口。外网和内网都是ipv4/ipv6双栈的。

文章插图

我们的要求是，ssh以及transmission的下载监听端口对内和对外同时开放，方便进行管理和远程访问以及下载加速；http和transmission的管理页面仅对内网用户开放，仅供内部人员使用。

文章插图

首先，我们使用ssh登陆服务器。我们可以先使用firewalld的zone的规则，将public zone设置为默认zone，命令为firewall-cmd --set-default-zOne=public 。这样所有的数据默认遵循public的规则。包括wan口和lan口。Public zone默认对于除了ssh/dhcpv6-client之外的数据都reject 。这样关于ssh的规则就设置好了。

文章插图

接下来，因为某些服务需要内网访问，所以我们将lan口网卡加入trusted zone，命令为firewall-cmd --zOne=trusted --change-zOne=br-lan 。Trusted zone当中所有的数据默认都是accept 。那么现在内网的用户都可以正常访问http，transmission等管理页面了。