8.3.2 圖形管理工具

在各種版本的Linux系統(tǒng)中，幾乎沒(méi)有能讓劉遄老師欣慰并推薦的圖形化工具，但是firewall-config做到了。它是firewalld防火墻配置管理工具的GUI（圖形用戶界面）版本，幾乎可以實(shí)現(xiàn)所有以命令行來(lái)執(zhí)行的操作。毫不夸張的說(shuō)，即使讀者沒(méi)有扎實(shí)的Linux命令基礎(chǔ)，也完全可以通過(guò)它來(lái)妥善配置RHEL 7中的防火墻策略。firewall-config的界面如圖8-2所示，其功能具體如下。

1：選擇運(yùn)行時(shí)（Runtime）模式或永久（Permanent）模式的配置。
2：可選的策略集合區(qū)域列表。
3：常用的系統(tǒng)服務(wù)列表。
4：當(dāng)前正在使用的區(qū)域。
5：管理當(dāng)前被選中區(qū)域中的服務(wù)。
6：管理當(dāng)前被選中區(qū)域中的端口。
7：開(kāi)啟或關(guān)閉SNAT（源地址轉(zhuǎn)換協(xié)議）技術(shù)。
8：設(shè)置端口轉(zhuǎn)發(fā)策略。
9：控制請(qǐng)求icmp服務(wù)的流量。
10：管理防火墻的富規(guī)則。
11：管理網(wǎng)卡設(shè)備。
12：被選中區(qū)域的服務(wù)，若勾選了相應(yīng)服務(wù)前面的復(fù)選框，則表示允許與之相關(guān)的流量。
13：firewall-config工具的運(yùn)行狀態(tài)。

圖8-2 firewall-config的界面

劉遄老師再啰嗦幾句。在使用firewall-config工具配置完防火墻策略之后，無(wú)須進(jìn)行二次確認(rèn)，因?yàn)橹灰行薷膬?nèi)容，它就自動(dòng)進(jìn)行保存。下面進(jìn)行動(dòng)手實(shí)踐環(huán)節(jié)。

我們先將當(dāng)前區(qū)域中請(qǐng)求http服務(wù)的流量設(shè)置為允許，但僅限當(dāng)前生效。具體配置如圖8-3所示。

圖8-3 放行請(qǐng)求http服務(wù)的流量

嘗試添加一條防火墻策略規(guī)則，使其放行訪問(wèn)8080～8088端口（TCP協(xié)議）的流量，并將其設(shè)置為永久生效，以達(dá)到系統(tǒng)重啟后防火墻策略依然生效的目的。在按照?qǐng)D8-4所示的界面配置完畢之后，還需要在Options菜單中單擊Reload Firewalld命令，讓配置的防火墻策略立即生效（見(jiàn)圖8-5）。這與在命令行中執(zhí)行--reload參數(shù)的效果一樣。

圖8-4 放行訪問(wèn)8080～8088端口的流量

圖8-5 讓配置的防火墻策略規(guī)則立即生效

前面在講解firewall-config工具的功能時(shí)，曾經(jīng)提到了SNAT（Source Network Address Translation，源網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。SNAT是一種為了解決IP地址匱乏而設(shè)計(jì)的技術(shù)，它可以使得多個(gè)內(nèi)網(wǎng)中的用戶通過(guò)同一個(gè)外網(wǎng)IP接入Internet。該技術(shù)的應(yīng)用非常廣泛，甚至可以說(shuō)我們每天都在使用，只不過(guò)沒(méi)有察覺(jué)到罷了。比如，當(dāng)我們通過(guò)家中的網(wǎng)關(guān)設(shè)備（比如無(wú)線路由器）訪問(wèn)本書配套站點(diǎn)www.linuxprobe.com時(shí)，就用到了SNAT技術(shù)。

大家可以看一下在網(wǎng)絡(luò)中不使用SNAT技術(shù)（見(jiàn)圖8-6）和使用SNAT技術(shù)（見(jiàn)圖8-7）時(shí)的情況。在圖8-6所示的局域網(wǎng)中有多臺(tái)PC，如果網(wǎng)關(guān)服務(wù)器沒(méi)有應(yīng)用SNAT技術(shù)，則互聯(lián)網(wǎng)中的網(wǎng)站服務(wù)器在收到PC的請(qǐng)求數(shù)據(jù)包，并回送響應(yīng)數(shù)據(jù)包時(shí)，將無(wú)法在網(wǎng)絡(luò)中找到這個(gè)私有網(wǎng)絡(luò)的IP地址，所以PC也就收不到響應(yīng)數(shù)據(jù)包了。在圖8-7所示的局域網(wǎng)中，由于網(wǎng)關(guān)服務(wù)器應(yīng)用了SNAT技術(shù)，所以互聯(lián)網(wǎng)中的網(wǎng)站服務(wù)器會(huì)將響應(yīng)數(shù)據(jù)包發(fā)給網(wǎng)關(guān)服務(wù)器，再由后者轉(zhuǎn)發(fā)給局域網(wǎng)中的PC。

圖8-6 沒(méi)有使用SNAT技術(shù)的網(wǎng)絡(luò)

圖8-7 使用SNAT技術(shù)處理過(guò)的網(wǎng)絡(luò)

使用iptables命令實(shí)現(xiàn)SNAT技術(shù)是一件很麻煩的事情，但是在firewall-config中卻是小菜一碟了。用戶只需按照?qǐng)D8-8進(jìn)行配置，并選中Masquerade zone復(fù)選框，就自動(dòng)開(kāi)啟了SNAT技術(shù)。

圖8-8 開(kāi)啟防火墻的SNAT技術(shù)

為了讓大家直觀查看不同工具在實(shí)現(xiàn)相同功能的區(qū)別，這里使用firewall-config工具重新演示了前面使用firewall-cmd來(lái)配置防火墻策略規(guī)則，將本機(jī)888端口的流量轉(zhuǎn)發(fā)到22端口，且要求當(dāng)前和長(zhǎng)期均有效，具體如圖8-9和圖8-10所示。

圖8-9 配置本地的端口轉(zhuǎn)發(fā)

圖8-10 讓防火墻效策略規(guī)則立即生效

配置富規(guī)則，讓192.168.10.20主機(jī)訪問(wèn)到本機(jī)的1234端口號(hào)，如圖8-11所示。

圖8-11 配置防火墻富規(guī)則策略

如果生產(chǎn)環(huán)境中的服務(wù)器有多塊網(wǎng)卡在同時(shí)提供服務(wù)（這種情況很常見(jiàn)），則對(duì)內(nèi)網(wǎng)和對(duì)外網(wǎng)提供服務(wù)的網(wǎng)卡要選擇的防火墻策略區(qū)域也是不一樣的。也就是說(shuō)，可以把網(wǎng)卡與防火墻策略區(qū)域進(jìn)行綁定（見(jiàn)圖8-12），這樣就可以使用不同的防火墻區(qū)域策略，對(duì)源自不同網(wǎng)卡的流量進(jìn)行針對(duì)性的監(jiān)控，效果會(huì)更好。

最后，劉遄老師想說(shuō)的是，firewall-config工具真的非常實(shí)用，很多原本復(fù)雜的長(zhǎng)命令被用圖形化按鈕替代，設(shè)置規(guī)則也簡(jiǎn)單明了，足以應(yīng)對(duì)日常工作。所以再次向大家強(qiáng)調(diào)配置防火墻策略的原則—只要能實(shí)現(xiàn)所需的功能，用什么工具請(qǐng)隨君便。

圖8-12 把網(wǎng)卡與防火墻策略區(qū)域進(jìn)行綁定