你可能不知道，firewalld竟能给网络“踩刹车”！(图文)

firewalld 是什么？

在深入探讨 firewalld 是否具备限速功能之前，我们先来认识一下 firewalld 究竟是什么。firewalld 是 Linux 系统中一款重要的动态防火墙管理工具，在 CentOS 7 及更新版本中，它取代了传统的 iptables 防火墙，成为系统默认的防火墙管理解决方案 。
firewalld 的一大显著特点是支持动态更新防火墙规则，这意味着在对防火墙策略进行调整时，无需重启服务，极大地提高了操作的便捷性和系统的稳定性。在一个正在运行关键业务的服务器上，如果使用传统防火墙，每次修改规则可能都需要重启服务，这会导致业务短暂中断。而 firewalld 则可以实时更新规则，确保业务不受影响。
firewalld 引入了 “区域（Zone）” 的概念，它将网络环境划分为多个区域，每个区域都有一组预定义的规则，用于处理与该区域相关的网络流量。常见的区域包括 public（公共区域）、trusted（信任区域）、home（家庭区域）等。在 public 区域，默认情况下只允许与 ssh 或 dhcpv6 - client 预定义服务匹配的传入流量，其余均拒绝，这适用于连接到公共网络的场景，能有效保障系统安全；而在 trusted 区域，则允许所有的传入流量，一般用于信任的内部网络环境。
firewalld 还支持通过服务名称来管理防火墙规则，我们可以直接对诸如 HTTP、HTTPS、SSH 等服务进行允许或拒绝的设置，而无需深入了解它们所对应的具体端口号，这大大降低了管理的复杂性，使得防火墙的配置更加直观和便捷。

firewalld 可以限速吗？

答案是肯定的，firewalld 具备限速功能。它的限速原理基于与内核的 netfilter 紧密配合，通过配置一系列规则来实现对网络流量的精细化控制。当网络数据包流经系统时，firewalld 借助 netfilter 的框架，对数据包进行检查和匹配，依据预先设定的限速规则来决定如何处理这些数据包。
firewalld 的限速依赖于一些关键的内核模块和算法。它利用了 netfilter 中的 iptables 模块，通过 iptables 的规则来实现对数据包的速率限制。在实际操作中，我们可以使用 “limit” 模块来限制数据包的传输速率，“limit” 模块基于令牌桶算法，允许我们设置一个平均速率和突发速率。平均速率决定了在一段时间内允许通过的数据包数量，突发速率则规定了在短时间内可以允许的最大数据包突发量。假设我们设置平均速率为每秒 100 个数据包，突发速率为每秒 200 个数据包，那么系统在正常情况下每秒最多允许通过 100 个数据包，但在某些瞬间，如果有突发的流量需求，系统可以允许最多 200 个数据包通过，不过这种突发情况不能持续太久，否则会超出平均速率的限制，多余的数据包将被丢弃或按照其他规则处理。

如何使用 firewalld 进行限速

安装与启动 firewalld

在开始使用 firewalld 进行限速之前，首先需要确保系统中已经安装了 firewalld 并启动该服务。对于不同的 Linux 发行版，安装和启动 firewalld 的方式略有不同。在基于 Debian 或 Ubuntu 的系统中，可以通过以下命令进行安装和启动：

sudo apt update
sudo apt install firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld
上述命令中，apt update用于更新软件包列表，apt install firewalld则是安装 firewalld 软件包，systemctl start firewalld启动 firewalld 服务，而systemctl enable firewalld则设置 firewalld 在系统启动时自动启动 。
在基于 CentOS 或 Fedora 的系统中，安装和启动 firewalld 的命令如下：

sudo dnf install firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld
这里使用dnf install firewalld来安装 firewalld，后续启动和设置开机自启的命令与 Debian 系类似。

限速命令示例

接下来，我们通过具体的命令示例来了解如何使用 firewalld 进行限速。假设我们要限制某个特定 IP 地址（如 192.168.1.100）的入站流量速率，可以使用以下命令：

sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -s 192.168.1.100 -m limit --limit 500K/s --limit-burst 100 -j ACCEPT
在这个命令中，--direct表示直接操作底层规则，--add-rule用于添加规则，ipv4指定规则应用于 IPv4 协议，filter是规则表，INPUT表示入站流量。0是规则的优先级，数值越小优先级越高 。-s 192.168.1.100指定源 IP 地址为 192.168.1.100，也就是要限制的目标 IP。-m limit表示使用limit模块进行限速，--limit 500K/s设置速率限制为每秒 500KB，--limit-burst 100指定允许的突发流量为 100KB，即短时间内可以超过限速的最大流量 。最后，-j ACCEPT表示符合规则的数据包允许通过。
如果我们要限制某个特定端口（如 80 端口，通常用于 HTTP 服务）的出站流量速率，可以使用如下命令：

sudo firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -p tcp --dport 80 -m limit --limit 1M/s --limit-burst 200 -j ACCEPT
该命令中，OUTPUT表示出站流量，-p tcp指定协议为 TCP，--dport 80表示目标端口为 80，其他参数含义与前面限制 IP 地址流量的命令类似，这里将 80 端口的出站流量限制为每秒 1MB，突发流量为 200KB。

配置生效与检查

在使用 firewall - cmd 命令添加限速规则后，对于临时生效的规则，配置会立即生效；但如果添加规则时使用了--permanent选项，设置的是永久规则，则需要重新加载防火墙配置才能使规则生效，可以使用以下命令重新加载：

sudo firewall-cmd --reload
配置完成后，我们可以通过一些方法来检查限速规则是否生效。可以使用iftop、nethogs等工具来实时监控网络流量。以iftop为例，安装iftop后，直接在终端输入iftop命令，即可查看当前网络连接的流量情况，通过观察目标 IP 或端口的流量数据，判断限速是否生效。还可以通过一些网络测试工具，如iperf，进行网络带宽测试，来验证限速效果。使用iperf进行测试时，在服务端启动iperf服务，在客户端发起测试连接，根据测试结果来判断限速是否达到预期 。

注意事项与常见问题

配置注意事项

在使用 firewalld 进行限速配置时，有一些重要的注意事项需要牢记。限速规则中的参数设置至关重要，若设置不当，可能会导致网络通信异常。速率限制过低，可能会使正常的网络应用无法正常运行，如视频播放卡顿、文件下载缓慢等；而突发流量设置不合理，可能会在网络瞬间流量增大时，导致部分数据包被丢弃，影响网络的稳定性。在设置限速参数前，需要对网络流量进行充分的评估和测试，根据实际需求和网络状况来确定合适的速率和突发值。
还要注意规则的优先级和顺序。firewalld 中规则的执行顺序是按照添加的先后顺序进行的，先添加的规则会先被匹配和执行。因此，在添加限速规则时，要确保规则的顺序正确，避免出现规则冲突或覆盖的情况。如果同时存在针对不同 IP 地址或端口的限速规则，且这些规则的优先级设置不合理，可能会导致某些限速规则无法生效。

常见问题及解决方法

在使用 firewalld 限速的过程中，可能会遇到一些常见问题。限速规则配置后不生效是较为常见的情况。这可能是由于多种原因导致的，有可能是规则配置错误，如参数格式不正确、语法错误等。仔细检查配置命令的语法和参数设置，确保与 firewalld 的命令规范一致。也可能是因为没有正确加载规则，对于使用--permanent选项设置的永久规则，需要执行firewall-cmd --reload命令来重新加载防火墙配置，使规则生效。
网络异常也是一个可能出现的问题，在限速配置后，网络出现连接不稳定、频繁中断等异常情况。这可能是限速设置过于严格，超出了网络的实际承载能力。可以适当放宽限速参数，逐步调整到合适的速率。还有可能是防火墙规则与其他网络配置产生冲突，如与网络接口的配置、路由规则等。检查系统的其他网络配置，确保它们与 firewalld 的限速规则相互兼容，必要时调整其他网络配置以适应限速需求。

总结与展望

firewalld 作为一款功能强大的 Linux 防火墙管理工具，不仅具备基本的防火墙功能，还拥有出色的限速能力，能够满足用户在网络流量管理方面的多样化需求。通过与内核 netfilter 的紧密协作，利用令牌桶算法等机制，firewalld 实现了对网络流量的有效限速 。
在使用 firewalld 进行限速时，我们需要熟悉其安装、启动及配置方法，掌握通过命令行添加限速规则的技巧，并注意规则配置中的各种细节，如参数设置、规则优先级等，以确保限速功能的正常运行和网络的稳定。
随着网络技术的不断发展，网络流量的管理和控制变得愈发重要。firewalld 凭借其动态更新、区域管理等特性，在未来的网络管理中有着广阔的应用前景。无论是企业网络中对不同部门或用户的流量限制，还是服务器环境中对特定服务的带宽控制，firewalld 都能发挥重要作用。相信在不断的发展和完善中，firewalld 将为网络管理提供更加高效、便捷和智能的解决方案，助力构建更加稳定、安全和高效的网络环境。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。