防火墙管理
在公网与企业内网之间充当保护屏障的防火墙,虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。
防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就能够保证仅有合法的流量在企业内网和外部公网之间流动了。
防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。
如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。
一般防火墙策略规则的设置有两种:“通”(即放行)和“堵”(即阻止)。
当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
iptables
iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
在进行路由选择前处理数据包(PREROUTING);
处理流入的数据包(INPUT);
处理流出的数据包(OUTPUT);
处理转发的数据包(FORWARD);
在进行路由选择后处理数据包(POSTROUTING)
iptables服务的术语中分别是:
ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。“允许流量通过”和“记录日志信息”都比较好理解,这里需要着重讲解的是REJECT和DROP的不同点。就DROP来说,它是直接将流量丢弃而且不响应;REJECT则会在拒绝流量后再回复一条“信息已经收到,但是被扔掉了”信息,从而让流量发送方清晰地看到数据被拒绝的响应信息。
如:默认的时候INPUT是 accept。可以ping通
我们改成默认的为drop,则ping不通
iptables 基本命令参数
iptables中常用的参数以及作用
如:查看,清空
防火墙策略规则的设置无非有两种方式:“通”和“堵”。
当把INPUT链设置为默认拒绝后,就要往里面写入允许策略了,否则所有流入的数据包都会被默认拒绝掉。
注意:规则链的默认策略拒绝动作只能是DROP,而不能是REJECT。
如:向INPUT链中添加允许ICMP流量进入的策略规则。
如:我们默认的INPUT是DROP,添加只允许指定网段的主机访问本机的22端口
如:添加拒绝所有主机访问本机1000~1024端口的策略规则
保存
# iptables-save
# 注意5/6/7版本用下面的
# service iptables save
firewalld
firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。
firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。
firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。
firewalld中常用的区域名称及策略规则
trusted:是放行所有,再配置拒绝。drop:则是拒绝所有再配置放行。
firewall-cmd终端管理工具
firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。它的参数一般都是以“长格式”来提供的。
RHEL8中可用Tab键自动补齐命令或文件名等内容之外,还可以用Tab键来补齐长格式参数。
firewall-cmd命令中使用的参数以及作用
firewalld配置的有两种模式:
运行时(Runtime)模式,又称为当前生效模式,而且会随着系统的重启而失效,防火墙策略默认模式。
永久(Permanent)模式了,方法就是在用firewall-cmd命令正常设置防火墙策略时添加–permanent参数,这样配置的防火墙策略就可以永久生效了。但是永久模式需要重启才可以。如果想让配置的策略立即生效,需要手动执行firewall-cmd --reload命令。
注:
Runtime:当前立即生效,重启后失效。
Permanent:当前不生效,重启后生效。
如:查看默认区域和修改默认区域
紧急情况:使用–panic-on参数会立即切断一切网络连接,而使用–panic-off则会恢复网络连接。
查询,移除(拒绝),添加(放行)
把原本访问本机888端口的流量转发到22端口,要且求当前和长期均有效。
使用firewall-cmd命令实现端口转发的格式有点长:
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
富规则:
富规则也叫复规则,表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。
如:使其拒绝192.168.115.0/24网段的所有用户访问本机的ssh服务(22端口),之前的可以现在不行了。
firewall-config 图形管理工具
firewall-config是firewalld防火墙配置管理工具的GUI(图形用户界面),几乎可以实现所有以命令行来执行的操作。但在默认情况下系统并没有提供firewall-config命令,我们需要自行用dnf命令进行安装,所以需要先配置软件仓库。
安装成功后,firewall-config工具其功能具体如下:
1:选择运行时(Runtime)或永久(Permanent)模式的配置。
2:可选的策略集合区域列表。
3:常用的系统服务列表。
4:主机地址的黑白名单。
5:当前正在使用的区域。
6:管理当前被选中区域中的服务。
7:管理当前被选中区域中的端口。
8:设置允许被访问的协议。
9:设置允许被访问的端口。
10:开启或关闭SNAT(源网络地址转换)技术。
11:设置端口转发策略。
12:控制请求icmp服务的流量。
13:管理防火墙的富规则。
14:被选中区域的服务,若勾选了相应服务前面的复选框,则表示允许与之相关的流量。
15:firewall-config工具的运行状态。
使用firewall-config工具配置完防火墙策略之后,无须进行二次确认,因为只要有修改内容,它就自动进行保存。
先将当前区域中请求http服务的流量设置为允许放行,但仅限当前生效
尝试添加一条防火墙策略规则,使其放行访问8080~8088端口(TCP协议)的流量,并将其设置为永久生效,以达到系统重启后防火墙策略依然生效的目的
局域网中有多台PC,如果网关服务器没有应用SNAT技术,则互联网中的网站服务器在收到PC的请求数据包,并回送响应数据包时,将无法在网络中找到这个私有网络的IP地址,所以PC也就收不到响应数据包了。在局域网中,由于网关服务器应用了SNAT技术,所以互联网中的网站服务器会将响应数据包发给网关服务器,再由后者转发给局域网中的PC。
在firewall-config中用户只需选中Masquerade zone复选框,就自动开启了SNAT技术。
将本机888端口的流量转发到22端口,且要求当前和长期均有效
富规则配置:
照片见证
4303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
