Linux之防火墙

禁止小商小贩进入社区；
各种车辆在进入社区时都要登记。
这两条规定是用于社区正门的（流量必须经过的地方），而不是每家的防盗门。根据防火墙策略的匹配顺序，可能会存在多种情况。
如：来访人员是小商小贩，则会被保安拒之门外，也就无需再对车辆进行登记。若来访人员乘坐一辆汽车进入社区正门，则“禁止小商小贩进入社区”的第一条规则就没有被匹配到，因此按照顺序匹配第二条策略，即需要对车辆进行登记。如果是社区居民要进入正门，则这两条规定都不会匹配到，因此会执行默认的放行策略

iptables 流量处理动作

当规则链匹配后应采用以下几种动作来处理匹配流量

ACCEPT --- 允许流量通过

REJECT --- 拒绝流量通过，拒绝后回复拒绝信息

LOG --- 记录日志信息

DROP --- 拒绝流量通过，流量丢弃不响应

例：若某天您正在家里看电视，突然听到有人敲门，透过防盗门的猫眼一看是推销商品的，便会在不需要的情况下开门并拒绝他们（REJECT）。但如果您看到的是债主带了十几个小弟来讨债，此时不仅要拒绝开门，还要默不作声，伪装成自己不在家的样子（DROP）

iptables表

规则链容纳了各种流量匹配规则，规则表则存储了不同功能对应的规则链，总之表里有链，链里有规则

四种规则表

filter表 --- 用于对数据包过滤，根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG)，包含三个规则链，INPUT、 FORWARD、 OUTPUT，所谓的防火墙其实基本上是指这张表上的过滤规则，常用

nat表 --- network address translation，网络地址转换功能，主要用于修改数据包的源、目标IP地址、端口，包含三个规则链，OUTPUT、 PREROUTING、 POSTROUTING

mangle表 --- 拆解报文，做出修改，并重新封装，主要用于修改数据包的TOS(Type Of Service，服务类型)、TTL(Time To Live，生存周期)指以及为数据包设置Mark标记，由于需要相应的路由设备支持，因此应用并不广泛，包含全部五个规则链

raw表 --- 是自1.2.9以后版本的iptables新增的表，用于是否对该数据包进行状态跟踪，在匹配数据包时，raw表的规则要优先于其他表，包含两个规则链，OUTPUT、PREROUTING

注意：

最终定义的防火墙规则链，都会添加到这四张表中的其中一张表中

安装iptables

预处理

为了避免firewalld与iptables之间有冲突，如果需要使用 iptables 需要先停止firewalld再进行安装

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
[root@localhost ~]# yum list | grep iptables
[root@localhost ~]# yum install iptables-services  -y

管理命令

[root@localhost ~]# systemctl start iptables     # 启动
[root@localhost ~]# systemctl enable iptables    # 开机启动
[root@localhost ~]# systemctl status iptables    # 查看状态
[root@localhost ~]# service iptables save     # 保存设置，否则重启后会恢复默认设置

# 注意：不能使用systemctl保存设置

规则链存储文件

[root@localhost ~]# vim /etc/sysconfig/iptables

iptables 命令

原则

iptables 命令根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配，若匹配成，则iptables 会根据策略规则所预设的动作来处理这些流量，由于策略规则的匹配顺序是从上至下，则要把较为严格、优先级较高的策略规则放到前面，以免发生错误

格式：

iptables [-t 表名] 选项 [链名] [条件] [-j 控制动作]

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 控制动作

参数	作用
-t	对指定的表进行操作，table必须是raw，nat，filter，mangle中的一个，默认是filter
-p	指定要匹配的数据包协议类型
-s	匹配源地址IP/MASK，若有！表示取反
-d	匹配目的地址IP/MASK
-i 网卡名	匹配从这块网卡流入的数据
-o 网卡名	匹配从这块网卡流出的数据
-L	列出规则链上的所有规则，如果没有指定链，列出表上所有链的所有规则
-A	在规则链的末尾加入新规则
-I num	在规则链的头部加入新规则
-D num	删除指定规则
-R num	替换/修改第几条规则
-P	设置默认策略，
-F	清空所有规则(F:flush是“冲洗、冲掉”的意思)
-N	创建新规则链
-X	删除指定规则链，这个链必须没有被其它任何规则引用，而且这条链上必须没有任何规则。如果没有指定链名，则会删除该表中所有非内置的链
-E	用指定的新名字去重命名指定的链
-Z	把指定链，或者表中的所有链上的所有计数器清零
-j	满足某条件时该执行什么样的动作
-h	显示帮助信息

案例

案例1 -- 查看已有的防火墙规则链

[root@localhost ~]# iptables -nvxL --line

# -n:显示数据来源
# -v：详细信息
# -x：数据量单位转换（转为KB 、MB等）
# -L：列出所有规则
# --line：列出行号

显示内容：
        num --- 规则编号（行号）
        pkts --- 数据包的数量
        bytes --- 数据包的字节数
        target --- 动作（放行、拒绝）
        port --- 端口号

案例2 --- 清空规则

[root@localhost ~]# iptables -F     # 清空规则
[root@localhost ~]# iptables -nvxL --line    # 查看

[root@localhost ~]# systemctl restart iptables    # 重启服务
[root@localhost ~]# iptables -nvxL --line    # 再次查看，发现恢复原样

注意：规则变动需要保存设置

[root@localhost ~]# iptables -F 
[root@localhost ~]# service iptables save      # 保存设置
[root@localhost ~]# systemctl restart iptables
[root@localhost ~]# iptables -nvxL --line

案例3 --- 搭建web服务器，设置任何人能通过80端口访问http

[root@localhost ~]# yum install httpd -y
[root@localhost ~]# mkdir  /sxhkt
[root@localhost ~]# cd /sxhkt
[root@localhost sxhkt]# vim index.html
Welcome to linux

[root@localhost sxhkt]# vim /etc/httpd/conf/httpd.conf    # 编辑配置文件，修改参数
DocumentRoot "/sxhkt"

<Directory "/sxhkt">

[root@localhost sxhkt]# systemctl start httpd

[root@localhost sxhkt]# iptables  -A  INPUT  -p  tcp  --dport  80  -j  ACCEPT
[root@localhost sxhkt]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
[root@localhost sxhkt]# systemctl restart iptables
[root@localhost sxhkt]# iptables -nvxL --line

案例4 --- 禁止所有人使用ssh进行远程登录

[root@localhost sxhkt]# iptables -A INPUT -p tcp --dport 22 -j REJECT 
[root@localhost sxhkt]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
[root@localhost sxhkt]# systemctl restart iptables.service 
[root@localhost sxhkt]# iptables -nL

firewalld

概述

定义

irewalld（Dynamic Firewall Manager of Linux systems，Linux 系统的动态防火墙管理器）服务是默认的防火墙配置管理工具，从RHEL 7开始，用firewalld服务替代了iptables服务

RHEL 9采用firewalld管理netfilter子系统，默认情况，firewalld则是交由内核层面的nftables包过滤框架来处理

firewalld特点

firewalld可以动态修改单条规则，不需要像iptables那样，修改规则后必须全部刷新才可生效

firewalld默认动作是拒绝，则每个服务都需要去设置才能放行，而iptables里默认是每个服务是允许，需要拒绝的才去限制

iptables防火墙类型为静态防火墙，firewalld 防火墙类型为动态防火墙

firewalld和iptables一样自身并不具备防火墙功能，它们的作用都是用于维护规则，而真正使用规则干活的是内核防火墙模块

firewalld 加入了区域（zone）概念

区域 zone

作用

firewalld防火墙为了简化管理，将所有网络流量分为多个区域(zone)，然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域，每个区域都定义了自己打开或者关闭的端口和服务列表

区域(zone)本质为firewalld 预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换

例：有一台笔记本电脑，每天都要在公司、咖啡厅和家里使用

        这三者的安全性按照由高到低的顺序是：家庭、公司办公室、咖啡厅。

        若希望指定如下防火墙策略规则：在家中允许访问所有服务；在公司办公室内仅允许访问文件共享服务；在咖啡厅仅允许上网浏览。

        以往，我们需要频繁地手动设置防火墙策略规则，而现在只需要预设好区域集合，然后只需轻点鼠标就可以自动切换了，从而极大地提升了防火墙策略的应用效率

分析

firewalld的一个zone就是一个可信等级，一个等级对应一套过滤规则（规则集合）

数据包必须要经过某个zone才能入站或出站

每个zone都有一个处理行为（default、ACCEPT、REJECT、DROP）

firewalld的zone根据信任级别分成9个默认zone：

区域	默认策略规则
trusted（信任区域）	允许所有的传入流量
home （家庭区域）	允许与SSH、MDNS（多播DNS）、IPP客户端、samba-客户端、DHCPv6客户端、cockpit（服务器管理工具）服务匹配的流量传入，其余拒绝
internal （内部区域）	默认值时与homel区域相同
work（工作区域）	允许与SSH、DHCPv6客户端、cockpit服务匹配的流量传入，其余拒绝、
public （公共区域）	允许与SSH或DHCPv6客户端、cockpit服务匹配的流量传入，其余拒绝（是默认区域）
external（外部区域）	允许与SSH服务匹配的流量传入，其余拒绝
dmz （隔离区域）	也称为非军事区域，内外网络之间增加的一层网络，起到缓冲作用，允许与SSH服务匹配的流量传入，其余拒绝
block (阻塞区域)	拒绝所有传入流量,返回icmp-host-prohibited消息
drop （丢去区域）	丢弃所有传入流量，且没有任何回复，类似DROP

firewalld的配置文件有两个主要的目录/usr/lib/firewalld/zones（系统配置文件，尽量不要修改）和/etc/firewalld/zones（用户配置文件，可以自行修改），每个zone单独对应一个xml配置文件，文件名为<zone名称>.xml

[root@localhost ~]# cd /usr/lib/firewalld/zones/
[root@localhost zones]# ls

[root@localhost zones]# cd /etc/firewalld/zones/
[root@localhost zones]# ls

用法 --- 把可信任的IP地址添加到trusted区域，把不可信任的IP地址添加到block区域，把要公开的网络服务添加到public区域，所以常用区域为：trusted、block、public

zone文件中的过滤规则

过滤规则优先级：

source（最高）

interface（次之）

默认zone（最低）

规则：

规则	作用
scource	源IP地址过滤（常用）
interface	网卡过滤
service	服务名（实际是关联端口）过滤
port	端口过滤
icmp-block	ICMP报文过滤
masquerade	IP地址伪装
forward-port	端口转发过滤
rule	自定义规则

firewall-cmd可视化界面工具

安装

[root@localhost ~]# systemctl start firewalld.service     # 启用
[root@localhost ~]# systemctl enable firewalld.service     # 开机启动

[root@localhost ~]# yum install firewall-config -y     # 安装图形化界面

使用

# 虚拟机中执行，不要在xshell执行

[redhat@localhost ~]$ firewall-config

firewall-cmd命令行工具

firewalld命令生效模式

runtime模式 --- 运行时模式，立即生效，重启失效

permanent模式 --- 永久模式，重启生效

管理命令

[redhat@localhost ~]# systemctl  start    firewalld
[redhat@localhost ~]# systemctl  enable   firewalld
[redhat@localhost ~]# systemctl  status   firewalld
[redhat@localhost ~]# systemctl  stop     firewalld
[redhat@localhost ~]# systemctl  disable  firewalld

设置命令：firewall-cmd 参数

参数	作用
--get-default-zone	查询默认的区域名称
--set-default-zone=<区域名称>	设置默认的区域，使其永久生效
--get-zones	显示可用的区域
--get-services	显示预先定义的服务
--get-active-zones	显示当前正在使用的区域与网卡名称
--add-source=	将源自此 IP 或子网的流量导向指定的区域
--remove-source=	不再将源自此 IP 或子网的流量导向某个指定区域
--add-interface=<网卡名称>	将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>	将某个网卡与区域进行关联
--list-all	显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones	显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>	设置默认区域允许该服务的流量
--add-port=<端口号/协议>	设置默认区域允许该端口的流量
--remove-service=<服务名>	设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>	设置默认区域不再

案例

案例1 -- 基本命令

[root@localhost ~]# firewall-cmd --version 
[root@localhost ~]# firewall-cmd --help 
[root@localhost ~]# firewall-cmd --get-services     # 查询支持的协议及服务
[root@localhost ~]# firewall-cmd --list-all    # 查看防火墙中规则

案例2 --- zone区域设置

[root@localhost ~]# firewall-cmd --get-zones # 查看可用的区域 

[root@localhost ~]# firewall-cmd --get-default-zone # 查看当前默认区域

[root@localhost ~]# firewall-cmd --set-default-zone=trusted # 设置默认区域为信任区域

[root@localhost ~]# firewall-cmd --get-default-zone 

[root@localhost ~]# firewall-cmd --set-default-zone=public  设置为public区域

[root@localhost ~]# firewall-cmd --get-default-zone

案例3 --- 区域中添加规则，放行http

[root@localhost ~]# systemctl start httpd
[root@localhost ~]# firewall-cmd --get-default-zone  # 查看工作的区域
[root@localhost ~]# firewall-cmd --list-all # 查看防火墙规则
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=http # 添加放行服务
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-port=80/tcp # 添加放行端口
success
[root@localhost ~]# firewall-cmd --reload # 重置
success
[root@localhost ~]# firewall-cmd --list-all


# --permanent表示永久生效，重启后不会失效
# 语法：
    firewall-cmd  --permanent --zone=public  --add-service=服务名

    firewall-cmd  --permanent --zone=public  --add-port=端口号/传输协议

例4 --- 禁止192.168.48.130 网段的地址进行ping

firewalld 富规则 --- 用于更细致、更详细的防火墙策略配置，它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有正对性的策略配置

注意：

富规则优先级最高

#整体格式
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rich rule'

如：
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="源IP" service name="http"   reject'

注意：

书写时很容易出错，所以建议在文件编辑器修改好之后再粘贴到shell终端窗口中

可以通过输入 \ 换行书写

[root@localhost ~]# firewall-cmd  --permanent --add-rich-rule='rule family="ipv4"  source  address="192.168.149.130"  protocol  value="icmp"  reject'

[root@localhost ~]# firewall-cmd --reload
success
[root@localhost ~]# firewall-cmd --list-all

测试

White乄joker

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
打赏
0
评论
Linux之防火墙

irewalld（Dynamic Firewall Manager of Linux systems，Linux 系统的动态防火墙管理器）服务是默认的防火墙配置管理工具，从RHEL 7开始，用firewalld服务替代了iptables服务RHEL 9采用firewalld管理netfilter子系统，默认情况，firewalld则是交由内核层面的nftables包过滤框架来处理firewalld特点firewalld可以动态修改单条规则。
复制链接

扫一扫