Redhat防火墙

Redhat防火墙

什么防火墙

​ 防火墙：防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。

​ 防火墙又可以分为硬件防火墙与软件防火墙。硬件防火墙是由厂商设计好的主机硬件，这台硬件防火墙的操作系统主要以提供数据包数据的过滤机制为主，并将其他不必要的功能拿掉。软件防火墙就是保护系统网络安全的一套软件（或称为机制）

iptables与firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙管理工具
这些工具的作用

1. 拒绝让Internet的数据包进入主机的某些端口；

2. 拒绝让某些来源ip的数据包进入；

3. 拒绝让带有某些特殊标志（flag）的数据包进入，最常拒绝的就是带有SYN的主动连接的标志了；

4. 分析硬件地址（MAC）来决定连接与否。

5. 防火墙并不能有效阻挡病毒或木马程序。（假设主机开放了www服务，防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞，或者请求www服务的数据包本身就是病毒的一部分时，防火墙是阻止不了的）

6. 防火墙对于内部LAN的攻击无能为力（防火墙对于内部的规则设置通常比较少，所以就很容易造成内部员工对于网络无用或滥用的情况）

   ​

iptables

​ 防火墙会从以上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为（即放行或阻止）。如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略。一般而言，防火墙策略规则的设置有两种：一种是“通”（即放行），一种是“堵”（即阻止）。当防火墙的默认策略为拒绝时（堵），就要设置允许规则（通），否则谁都进不来；如果防火墙的默认策略为允许时，就要设置拒绝规则，否则谁都能进来，防火墙也就失去了防范的作用。

​ iptables服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下：

在进行路由选择前处理数据包，用于目标地址转换（PREROUTING）；

处理流入的数据包（INPUT）；

处理流出的数据包（OUTPUT）；

处理转发的数据包（FORWARD）；

在进行路由选择后处理数据包，用于源地址转换（POSTROUTING）。

安装iptables服务的包：（因为使用的Redhat8，8上默认没有这个包）

 yum install iptables-services.x86_64 -y

systemctl stop firewalld   #关闭Redhat8默认得防火墙

systemctl start iptables    #启动服务
iptables -F              #清空所有的规则表，清空之后客户端可以访问ssh和http服务

​ iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配，一旦匹配成功，iptables就会根据策略规则所预设的动作来处理这些流量。

​ 用法：iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

iptables的参数说明：

​ -t：对指定的表进行操作，table必须是raw，nat，filter，mangle中的一个。默认是filter表。

​ -p：指定要匹配的数据包协议类型；

​ -s, --source address[/mask][,…]：把指定的一个或者一组地址作为源地址，按此规则进行过滤。当后面没有mask 时，address 是一个地址，比如：192.168.1.1；当 mask 指定时，可以表示一组范围内的地址，比如：192.168.1.0/255.255.255.0。

-d, --destination address[/mask][,…]：地址格式同上，但这里指定地址为目的地址，按此进行过滤

​ -i, --in-interface name：指定数据包的来自来自网络接口，比如最常见的 eth0 。注意：它只对 INPUT，FORWARD，PREROUTING 这三个链起作用。如果没有指定此选项， 说明可以来自任何一个网络接口。同前面类似，"!" 表示取反。

-o, --out-interface name：指定数据包出去的网络接口。只对 OUTPUT，FORWARD，POSTROUTING 三个链起作用。

​ -L, --list [chain] 列出链 chain 上面的所有规则，如果没有指定链，列出表上所有链的所有规则。

​ -A, --append chain rule-specification：在指定链 chain 的末尾插入指定的规则，也就是说，这条规则会被放到最后，最后才会被执行。规则是由后面的匹配来指定。

​ -I, --insert chain [rulenum] rule-specification：在链 chain 中的指定位置插入一条或多条规则。如果指定的规则号是1，则在链的头部插入。这也是默认的情况，如果没有指定规则号。

​ -D, --delete chain rule-specification -D, --delete chain rulenum：在指定的链 chain 中删除一个或多个指定规则。

​ -R num：Replays替换/修改第几条规则。

​ -P, --policy chain target ：为指定的链 chain 设置策略 target。注意，只有内置的链才允许有策略，用户自定义的是不允许的。

​ -F, --flush [chain] 清空指定链 chain 上面的所有规则。如果没有指定链，清空该表上所有链的所有规则。

​ -N, --new-chain chain 用指定的名字创建一个新的链。

​ -X, --delete-chain [chain] ：删除指定的链，这个链必须没有被其它任何规则引用，而且这条上必须没有任何规则。如果没有指定链名，则会删除该表中所有非内置的链。

​ -j, --jump target <指定目标> ：即满足某条件时该执行什么样的动作。target 可以是内置的目标，比如 ACCEPT，也可以是用户自定义的链。

实验一：搭建web服务，设置任何人能够通过80端口访问。

 iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables  -L --line-numbers
 iptables -D INPUT 1
 #禁止某个IP访问web服务器
 iptables -I INPUT -p tcp --dport 80 -s 192.168.19.1 -j REJECT

测试：在Linux本机（测试的时候并未删除之前书写的规则）

在window下，在iptables中httpd服务是默认可以通过得，在firewalld中httpd服务默认不通过

实验二：禁止所有人ssh远程登录该服务器

 iptables -I INPUT -p tcp --dport 22 -j REJECT

#删除设置的拒绝ssh连接：

iptables -D INPUT 1

测试：在远程输入指令之后，我们得终端马上就掉线了

现在进入虚拟机中查看相应得防火墙规则

删除刚刚写的规则

再次尝试远程连接，连接成功

实验三：禁止某个主机地址ssh远程登录该服务器，允许该主机访问服务器的web服务。服务器地址为192.168.19.1

#拒绝192.168.19.1通过ssh远程连接服务器：

iptables -I INPUT -p tcp -s 192.168.19.1 --dport 22 -j REJECT

#允许192.168.19.1访问服务器的web服务：
 iptables -I INPUT -p tcp -s 192.168.19.1 --dport 80 -j ACCEPT 

firewalld

​ iptables service 的操作首先对旧的防火墙规则进行了清空，然后重新完整地加载所有新的防火墙规则，而如果配置了需要 reload 内核模块的话，过程背后还会包含卸载和重新加载内核模块的动作，而不幸的是，这个动作很可能对运行中的系统产生额外的不良影响，特别是在网络非常繁忙的系统中。

​ 如果我们把这种哪怕只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话，那么 firewalld 所提供的模式就可以叫做动态防火墙，它的出现就是为了解决这一问题，任何规则的变更都不需要对整个防火墙规则列表进行重新加载，只需要将变更部分保存并更新即可,它具备对 IPv4 和 IPv6 防火墙设置的支持。

​ 相比于传统的防火墙管理工具，firewalld支持动态更新技术并加入了区域的概念。区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以选择不同的集合，从而实现防火墙策略之间的快速切换。

firewalld中常见的区域名称（默认为public）以及相应的策略规则：

区域	默认规则策略
阻塞区域 （block）	拒绝流入的流量，除非与流出的流量相关
工作区域（work）	拒绝流入的流量，除非与流出的流量相关
家庭区域（home）	拒绝流入的流量，除非与流出的流量相关
公共区域（public）	不相信网络上的任何计算机，只有选择接受传入的网络连接
隔离区域（DMZ）	隔离区域也称为非军事区域，内外网络之间增加的一层网络，起到缓冲作用。对于隔离区域，只有选择接受传入的网络连接。
信任区域（trusted）	允许所有的数据包
丢弃区域（drop）	拒绝流入的流量，除非与流出的流量相关
内部区域（internal）	等同于home区域
外部区域（external）	拒绝流入的流量，除非与流出的流量有关；而如果流量与ssh服务相关，则允许流量

​ firewalld默认提供的九个zone配置文件都保存在“/usr/lib/firewalld/zones/”目录下，分别为：block.xml drop.xml home.xml public.xml work.xml dmz.xml external.xml internal.xml trusted.xml。

nm-shared.xml文件并不是firewalld自己提供的配置文件，是由NetworkManager提供的

​ 在RHEL7中，firewalld服务是默认的防火墙配置管理工具，他拥有基于CLI（命令行界面）和基于GUI（图形用户界面）的两种管理方式。firewall-config和firewall-cmd是直接编辑xml文件，其中firewall-config是图形化工具，firewall-cmd是命令行工具。

图形化测试

yum -y install firewall-config
firewall-config

firewall-cmd命令的参数说明如下：

参数	作用
–get-default-zone	查询默认的区域名称
–set-default-zone=<区域名称>	设置默认的区域，使其永久生效
–get-zones	显示可用的区域
–get-services	显示预先定义的服务
–get-active-zones	显示当前正在使用的区域与网卡名称
–add-source=	将源自此IP或子网的流量导向指定的区域
–remove-source=	不再将源自此IP或子网的流量导向某个指定区域
–add-interface=<网卡名称>	将源自该网卡的所有流量都导向某个指定区域
–change-interface=<网卡名称>	将某个网卡与区域进行关联
–list-all	显示当前区域的网卡配置参数、资源、端口以及服务等信息
–list-all-zones	显示所有区域的网卡配置参数、资源、端口以及服务等信息
–add-service=<服务名>	设置默认区域允许该服务的流量
–add-port=<端口号/协议>	设置默认区域允许该端口的流量
–remove-service=<服务名>	设置默认区域不再允许该服务的流量
–remove-port=<端口号/协议>	设置默认区域不再允许该端口的流量
–reload	让“永久生效”的配置规则立即生效，并覆盖当前的配置规则
–panic-on	开启应急状况模式
–panic-off	关闭应急状况模式

示例：

 firewall-cmd --version   #查看版本
 firewall-cmd --help 		#查看帮助
 firewall-cmd --state		#显示状态
 firewall-cmd --panic-on	#启用紧急模式，所有的规则出入都拒绝
 firewall-cmd --panic-off	#关闭紧急模式
 firewall-cmd --query-panic	#查询紧急模式状态
 firewall-cmd --get-zone-of-interface=ens160  # 根据接口查询区域
 firewall-cmd --reload	#重载查看才有该服务
#使用firewalld配置的防火墙策略默认为当前生效，会随着系统的重启而失效。如果想让策略一直存在，
#就需要使用永久模式了，即在使用firewall-cmd命令设置防火墙策略时添加--permanent参数，这样配置的防火墙策略就可以永久生效了，
#最后想要使用这种方式设置的策略生效，只能重启或者输入命令：firewall-cmd --reload。
 systemctl restart firewalld

#任何人可以访问该服务器的web服务：
firewall-cmd --add-port=80/tcp
#或者
firewall-cmd --add-service=http #（临时生效，重启失效）

#添加富规则

firewall-cmd --permanent --add-service=ssh  #先添加服务，默认已添加

firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="172.24.8.0/24" service name="ssh" reject'  #禁止172.24.8.0网段的地址进行ssh访问
 firewall-cmd --reload	#重载之后当前会话不会断开，新连接的被拒绝

 firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="172.24.8.0/24" service name="ssh" reject' #删除富规则
#端口转发
#配置端口转发（在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口）
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="172.24.8.0/24" forward-port port="5423" protocol="tcp" to-port="80"'

 #此规则将本机80端口转发到192.168.1.1的8080端口上：

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1 --permanent

防火墙常用的指令：
 firewall-cmd --get-services		#查看命令支持的服务
 firewall-cmd --list-all		#查看所有的规则
 firewall-cmd --get-default-zone  #查看当前区域
 firewall-cmd --permanent --add-service=服务名   #添加区域默认服务
 firewall-cmd --get-zones		#查看所有支持的区域
 firewall-cmd --set-default-zone=trusted  #设置trusted区域为当前区域

samba服务对应应该在防火墙添加的服务为：samba

nfs服务对应应该在防火墙添加的服务为：nfs，rpc-bind，mountd

iscsi服务对应应该在防火墙添加的服务为：iscsi-target

ll-cmd --permanent --add-service=服务名 #添加区域默认服务
firewall-cmd --get-zones #查看所有支持的区域
firewall-cmd --set-default-zone=trusted #设置trusted区域为当前区域

samba服务对应应该在防火墙添加的服务为：samba

nfs服务对应应该在防火墙添加的服务为：nfs，rpc-bind，mountd

iscsi服务对应应该在防火墙添加的服务为：iscsi-target