在RHEL7里有几种防火墙共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。因为这几个daemon是冲突的建议禁用其他的几种服务:
systemctl mask iptables(ip6tables,ebtables)
在firewalld中使用了区域(zone)的概念,默认已经定义了几个zone:
zone的解释:
数据包要进入到内核必须要通过这些zone中的一个,而不同的zone里定义的规则不一样(即信任度不一样,过滤的强度也不一样)。可以根据网卡所连接的网络的安全性来判断,这张网卡的流量到底使用哪个zone,比如上图来自eth0的流量全部使用zone1的过滤规则,eth1的流量使用zone3。一张网卡同时只能绑定到一个zone。大家就可以把这些zone想象成进入火车站(地铁)的安检,不同的入口检测的严格度不一样。
默认的几个zone(由firewalld 提供的区域按照从不信任到信任的顺序排序):
drop
任何流入网络的包都被丢弃,不作出任何响应,只允许流出的网络连接。即使开放了某些服务(比如http),这些服务的数据也是不允许通过的。
block
任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。
public(默认)
用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机,只允许选中的服务通过。
external
用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机,只允许选中的服务通过。
dmz
用以允许隔离区(dmz)中的电脑有限地被外界网络访问,只允许选中的服务通过。
work
用在工作网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。
home
用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。
internal
用在内部网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。
trusted
允许所有网络连接,即使没有开放任何服务,那么使用此zone的流量照样通过(一路绿灯)。
查看当前的默认的区域:
设置默认的区域:
给某个区域开启某个服务
关闭某个服务:
如果没有指定zone的话,则是在默认的zone上操作。
查看某个zone上是否允许某个服务:
在firewalld里添加一个端口,这样就可以访问了:
查看开启了哪些端口:
查看某个接口是属于哪个zone的:
把接口加入到某个zone:
查看某个zone里开启了哪些服务、端口、接口:
现在默认的zone是trusted,虽然现在已经不允许http访问了,但是还能访问,为什么?
记住:因为trusted是最被信任的,即使没有设置任何的服务,那么也是被允许的,因为trusted是允许所有连接的。
有多个不同的zone,每个zone定义的规则是不一样的,因为所有的数据都是从网卡进入,到底使用哪个zone的规则,关键就在于这个网卡是在哪个区域的,比如下面的例子:
现在eth0是在public这个zone里的,此时public是允许http的:
但是默认的zone是external,且不允许http访问:
但是浏览器却能访问,证明了上面的说法。
如果改变eth0所在的zone,比如改到external:
则访问不了:
下面验证下源地址的意思:
网卡的source地址,也能决定可以使用哪个zone,新添加了一张网卡,此网卡开始默认不属于任何的zone:
此时通过访问eth1来访问web是访问不了的:
下面我们给public设置source,来自源192.168.30.0/24网段的都走public区:
通过验证,现在访问是成功的。
如果在external里面同时也加入192.168.30.0/24这个源呢?
显示为冲突,即一个源只能属于一个zone,不能同时属于多个zone。
以上是对tcp协议做的实验,下面对ICMP做一些演示:
首先获取firewalld所支持的ICMP类型:
记住:默认情况下是允许所有类型的ICMP通过。
下面阻断public的request的包:
这样凡是进来的是echo-request类型的包都会被拒绝,因为public是和eth0绑定在一块的,所以ping 192.168.2.130的时候是不通的:
删除此规则:
-端口的转发
意思是凡是来从external进来的22端口的数据包全部转发到192.168.30.254
验证:
更详细的写法,可以指定目标端口的:
查询:
删除:
未完待续…
141
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
