Linux防火墙

一、安全技术和防火墙
1.1 安全技术
入侵检测系统：特点是不阻断网络访问，主要是提供报警和时候报警，不主动介入。

入侵防御系统：透明模式工作，对数据包、网络监控、服务攻击、木马蠕虫、系统漏洞等等进行准确的分析和判断。在判定为攻击行为后会立即阻断，主动防御。所有数据在进入本机之前，必须要通过的设备或软件。

防火墙：核心功能：隔离，工作在网络或者主机的边缘，一般在Internet和内网之间。对网络或者主机的数据包基于一定的规则进行检查，根据匹配到的规则放行或拒绝（丢弃数据包）。

只开放允许访问的策略。（白名单机制，拒绝所有，允许个别。）

防水墙：是一种防止内部信息泄露的产品。对外有防火墙的功能，对内是透明模式工作，类似于监控。

1.2 防火墙
iptables ：这个linux自带的防火墙，一般用于内部配置。对外一般不适用（对外都使用专业的）。

firewalld ：CentOS7以后默认的防火墙。功能和iptables大体一致。

ufw ：是ubantu自带的防火墙，ubantu也有iptables，功能也一致

iptables ufw 和 firewalld都是包过滤防火墙，对数据包进行控制。在网络层对数据包进行选择，选择的依据是防火墙设置的策略。

策略：IP地址，端口，协议。

优点：处理速度快，利于维护。

缺点：无法检查应用层数据，无法对病毒进行处理。

应用层防火墙：在应用层对数据进行检查，比较安全。
​ 优点：相对更安全，可以精准定位问题。

​ 缺点：所有数据都要检查，会增加防火墙的负载。

iptables防火墙
iptables防火墙工作在网络层，针对数据包实施过滤和限制，属于包过滤防火墙。

1.3 内核态和用户态
内核态

涉及到软件的底层代码或者是系统的基层逻辑，以及一些硬件的编码。相对比较复杂，开发人员更关注内核态。

如果数据是内核态处理的，处理速度相对较快。

iptables的过滤规则就是由内核来进行控制的。

用户态

应用层软件层面，多是人为控制的一系列操作，使用功能等。

运维人员一般只考虑用户态。

数据只通过用户态处理，速度相对较慢。

二、iptables防火墙
iptables的配置和策略

2.1 四表五链
iptables的四表：

Raw表 ：用于控制数据包的状态，可以跟踪数据包的状态

Mangle表 ：用于修改数据包的头部信息

Nat表 ：用于网络地址转换，可以改变数据包的源地址和目的地址

Filter表 ：也是iptables的默认表，不做声明时，默认就是filter表，过滤数据包的进出，以及接收和拒绝数据包

iptables的五链：

PREROUTING链 ：处理数据包进入本机之前的规则（路由前）（Nat表）

INPUT链 ：处理数据包进入本机的规则（Filter表，是否允许数据包进入）

OUTPUT链 ：处理本机发出的数据包的规则，或者是数据包离开本机的规则（Filter表，是否允许数据包发出，一般不做设置）

FORWARD链 ：处理数据包转发到其他主机的规则，或者是否允许本机进行数据包转发

POSTROUTING链 ：处理数据包离开本机之后的规则（路由后）（Nat表）

通俗的说法：表里面有链，链里面有规则。

四表的优先级：

Raw > Mangle > Nat > Filter，匹配规则由高到低。

2.2 数据流向
例：数据转发的过程
按优先级高低查四表里的链，并匹配链里的规则

查PREROUTING链和POSTROUTING链查看地址变换规则，

查FORWARD链是否允许转发，以及转发的具体规则。

例：请求响应的过程（http https服务等）
按优先级高低查四表里的链，并匹配链里的规则

请求：查INPUT链的规则：是否允许该地址或者端口访问web服务。若拒绝，数据包将直接丢弃

响应：查OUTPUT链的规则：是否允许响应，一般不做约束。如拒绝，响应的数据包也被丢弃

2.3 iptables命令
管理选项 ：在表的链中插入、增加、删除、查看规则。

匹配的条件 ：数据包的IP地址、端口、协议。

控制类型 ：允许，拒绝，丢弃，地址转换。

注意事项：

不指定表名的话，默认指的是filter表
不指定链名的话，默认指的是所有链（此乃禁止行为！）
除非设置了链的默认策略，否则必须指定匹配条件（一般都要指定匹配条件）
大部分选项、所有的链名和控制类型都是大写
2.3.1 控制类型
ACCEPT ：允许数据包通过

DROP ：直接丢弃数据包，且没有任何回应信息

REJECT ：拒绝数据包通过，数据包也会被丢弃，但是会有响应的信息

SNAT ：修改数据包的源地址(source)

DNAT ：修改数据包的目的地址(destination)

2.3.2 常用管理选项
-A ：在链中添加一条规则，在链尾添加。

-I ：指定位置插入一条规则。

-P ：默认指定规则，链的规则一般都是设置成拒绝（默认是允许）

-D ：删除规则

-R ：修改规则（慎用）

-vnL ：-v显示详细信息，-n数字形式展示内容，-L查看

--line-numbers ：显示规则的编号，一般和查看一起使用

-F ：清空链中的所有规则（慎用）

-X ：清除自定义链中的规则

2.3.3 常用匹配条件
-p ：指定协议类型

-s ：指定匹配的源IP地址

-d ：指定匹配的目的IP地址

-i ：指定数据包进入本机的网络设备（指定网卡设备，如ens33）

-o ：指定数据包离开本机的网络设备

--sport ：指定源端口

--dprot ：指定目的端口

-m ：使用扩展模块，扩展模块的使用方法在2.4内容中有介绍

2.3.4 iptables的命令格式

iptables [-t 表名] 管理选项 链名(大写) 匹配条件 [-j 控制类型] 

注意事项：

[-t 表名]不指定时默认指定filter表
[-j 控制类型]，所有控制都要在前面 -j
需要先安装iptables和iptables-services，安装完成后启动并enable服务iptables
命令立即生效，不需要重启服务，重启服务会恢复默认策略
2.3.5 iptables匹配原则
每个链中的规则都是从上到下的顺序依次匹配，匹配到之后就不再向下匹配。
如果链中没有规则，则执行链的默认策略进行处理。
2.4 iptables实例
例：插入规则

拒绝所有主机来ping本机

iptables -A INPUT -p icmp -j REJECT
#此时ping该主机屏不通

在上一行后再添加一行

iptables -A INPUT -p icmp -j ACCEPT
#发现依然不能ping通，因为匹配规则从上到下，执行到REJECT就停止了

在第一行插入规则

iptables -I INPUT 1 -p icmp -j ACCEPT
#发现此时可以ping通，因为第一行规则是ACCEPT

指定源IP地址20.0.0.20进行控制

iptables -F
iptables -A INPUT -s 20.0.0.20 -p icmp -j REJECT

对多个源IP地址时，用逗号隔开

iptables -A INPUT -s 20.0.0.20,20.0.0.30 -p icmp -j DROP
#控制类型为DROP时，被限制的主机ping该主机不会收到任何响应信息

指定端口，端口要写在协议后面

iptables -A INPUT -p tcp --dport 22 -j REJECT
#拒绝所有ssh服务接入（目的端口是本机的22端口）

例：拒绝指定IP20.0.0.20通过ssh服务远程登录主机，

iptables -A INPUT -s 20.0.0.20 -p tcp --dport 22 -j REJECT

拒绝指定IP20.0.0.20获取本机的web服务

iptables -A INPUT -s 20.0.0.20 -p tcp --dport 80 -j REJECT

例：删除规则

删除规则比较简单，可以指定序号进行删除

iptables -L --line-numbers
#查看带行号的匹配规则
iptables -D INPUT 1
#删除INPUT链内的第一条规则

例：修改规则（很少用，不如直接增、删）

#修改的格式
iptables -R [链 序号] 修改后的规则
iptables -R INPUT 2 -s 20.0.0.30 -p tcp --dport 443 -j ACCEPT
#即把filter表 INPUT链 的第二条规则改成后面的内容

例：修改链的默认策略

修改filter表INPUT链的默认策略为DROP

iptables -P INPUT DROP

例：指定网络设备

拒绝客户机通过网卡ens33访问主机web服务

iptables -A INPUT -i ens33 -s 20.0.0.20 -p tcp --dport 80 -j REJECT

拒绝整个网段访问web服务

iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 80 -j REJECT

例：一次性对多个端口进行操作

端口号以冒号:隔开，端口号小的在前，大的在后，一次最多操作两个端口

iptables -A INPUT -p -tcp --dport 80:3306 -j REJECT

例：使用扩展模块

-m ：使用扩展模块，可以一次性对多端口进行操作，还可以匹配IP范围，还可以指定MAC地址

匹配多端口：-m multiport ，端口号以逗号,隔开

iptables -A INPUT -p tcp -m multiport --dport 80,22,21 -j REJECT
#拒绝端口80/22/21的tcp协议服务

匹配IP范围：-m iprange，

匹配源IP ：--src-range
匹配目的IP ：--dst-range

iptables -A INPUT -p tcp -m iprange --src-range 20.0.0.20-20.0.0.30 --dport -j REJECT
#拒绝源ip地址范围内的IP访问主机

匹配MAC地址：-m mac

匹配源MAC ：--mac-source

2.5 iptables的备份和保存
​ iptables 的配置文件保存在 /etc/sysconfig/iptables，每次重启服务都会重新读取配置文件里的规则

也可以通过iptables-save把当前防火墙配置保存在文件中，每次需要读取这个配置时通过iptables-restore命令获取配置，这个获取配置也是临时生效。可以配合脚本在系统启动时自动加载配置。

iptables-save > /opt/iptables.bak
#先把当前的防火墙配置存放到文件中
iptables-restore < /opt/iptables.bak
#从保存了配置的文件中加载防火墙配置

2.6 iptables自定义链
创建自定义链

iptables -N 自定义链名

修改自定义链名

iptables -E 旧名 新名

删除自定义链

iptables -X 链名
#注：删除链之前需要先清空链内的规则

2.7 地址转换
2.7.1 snat和dnat
snat ：源地址转换

内网—外网 ：内网IP转换成可以访问外网的IP

内网的多个主机可以只有一个有效的公网IP地址访问外部网络

dnat ：目的地址转换

外部用户，可以通过一个公网地址访问服务器内部的私网服务。

私网的IP和公网的IP做一个映射。

2.7.2 实验
test1 ：20.0.0.10 ，nginx服务

test2 ：两个网卡设备：

ens33：20.0.0.254（私网的网关）
ens36：12.0.0.254（用来模拟test3的地址是公网地址）
模拟test1的公网IP ：10.0.0.10（test1的地址转换成10.0.0.10和test3进行通信）
test3 ：12.0.0.10 ，nginx服务

要求：在test2上配置防火墙，使test1作为私网地址，test3作为公网地址，观察双方获取对方web服务时，/var/log/nginx/access.log中记录的访问主机地址，理解NAT的工作方式。

对test1，test2，test3的IP地址分别设置。其中test2两个网卡的IP地址分别作为test1和test3的网关地址。

对test2：

Linux 内核参数的配置文件/etc/sysctl.conf

vim /etc/sysctl.conf
#在配置文件中添加行
net.ipv4.ip_forward=1
#开启ipv4的转发功能
#保存退出
sysctl -p
#使内核参数的配置立刻生效

源地址转换：

iptables -t nat -A POSTROUTING -s 20.0.0.0/24 -o ens36 -j SNAT --to 10.0.0.10

-t nat ：指定表为nat表
-A POSTROUTING ：添加规则到链
-s 20.0.0.0/24 ：指定网段
-o ：指定输出设备
-j SNAT ：指定控制参数SNAT
--to 10.0.0.10 ：20.0.0.0/24网段的源地址转换为10.0.0.10这个公网IP地址
目的地址转换：

iptables -t nat -A PREROUTING -d 10.0.0.10 -i ens36 -p tcp --dport 80 -j DNAT --to 20.0.0.10:80

-d 10.0.0.10 ：指定作为目的地址转换的IP地址
-i ：从指定设备进入本机
-p ：指定协议
--dport ：指定端口
-j DNAT ：使用目的地址转换
--to 20.0.0.10:80 ：外网想要访问内网的20.0.0.10:80（端口号80也可以不加）的web服务，只需要访问公网的10.0.0.10这个IP地址。
2.7.3 tcpdump抓包工具
tcpdump是Linux系统自带的抓包工具。

固定抓包：

tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w /opt/target.cap

tcp ：指定抓包的协议，这个位置是第一个参数，也可以不指定
-i ：只抓经过指定设备的包
-t ：不显示时间戳（可以不加）
-s0 ：抓取完整的数据包
-c 10 ：抓几个数据包（10就是抓10个包）
dst port ：指定抓包的目的端口
src net ：指定抓包的IP网段，如果要指定主机把net改成host
-w ：保存结果到指定文件
动态抓包：

tcpdump -i ens33 

一般把抓包的记录保存在.cap文件，导出到Windows系统用wireshark之类的抓包软件分析。需要注意的是，使用wireshark分析，需要tcpdump指定选项-s0获取抓包的完整格式。

三、firewalld防火墙
firewalld是CentOS7自带的防火墙，也是默认的防火墙。7以前默认是iptables。

ufw是ubantu自带的防火墙，ubantu也有iptables，功能也一致

#ubantu开启和关闭防火墙
ufw disable
ufw enable

firewalld是根据区域进行划分的，也是包过滤防火墙（ip/端口/协议）

firewall-config
#打开图形化界面

3.1 firewalld的区域
public ：公共区域，默认配置了ssh以及dhcpv6预定服务是放空的，其他全部都是拒绝。public是默认区域。

trust ：信任区域，允许所有数据包放空。

block ：限制区域，拒绝所有。

drop ：丢弃区域，丢弃所有数据包，没有回应。

其他区域都是默认放空ssh和dhcpv6。

dmz ：非军事区域，默认只允许ssh通过。

home ：家庭区域，默认只允许ssh通过。

internal ：内部区域，和home很像。

external ：外部区域，默认只允许ssh通过。

work ：工作区域，默认放空ssh。

3.2 命令行工具：firewall-cmd
#查看当前系统的默认区域

firewall-cmd --get-default-zone

#查看当前区域设置的规则

firewall-cmd --list-all

#切换当前系统的默认区域

firewall-cmd --set-default-zone=block
firewall-cmd --set-default-zone=drop

#查看区域内允许访问的服务

firewall-cmd --list-service
firewall-cmd --list-services
#两个都行，效果一样

#修改区域默认使用的网络设备

firewall-cmd --zone=public --change-interface=ens36
firewall-cmd --zone=home --remove-interface=ens36

#添加服务到默认域中

firewall-cmd --add-service=http --zone=public

#多个服务，永久添加

firewall-cmd --add-service={ftp,nfs,http} --zone=public --permanent
#--permanent 永久添加

#删除服务

firewall-cmd --remove-service=http --zone=public

#重新加载

firewall-cmd --reload

#添加端口到默认域中

firewall-cmd --zone=public --add-port=80/tcp

#添加端口并指定协议，端口在前协议在后，用 / 分割

firewall-cmd --zone=public --add-port={80,21,3306,22}/tcp

#删除端口

firewall-cmd --zone=public --remove-port=80/tcp

#添加源IP

firewall-cmd --zone=block --add-source=192.168.233.20
firewall-cmd --get-active-zone