一、防火墻基礎
Linux防火墻主要作業在網路層,屬于典型的包過濾防火墻,
- redhat 6 使用的是iptables
- redhat 7 使用的是firewalld
iptables服務會把配置好的防火墻策略交由內核層面的 netfilter 網路過濾器來處理
firewalld服務則是把配置好的防火墻策略交由內核層面的 nftables 包過濾框架來處理
iptables和firewalld都是Linux配置內核防火墻的工具
二、iptables
iptables 是一款基于命令列的防火墻策略管理工具,具有大量引數,學習難度較大,好在對于日常的防火墻策略配置來講,大家對“四表五鏈”的理論概念了解即可,只需要掌握常用的引數并做到靈活搭配即可,這就足以應對日常作業了,
iptables命令可以根據流量的源地址、目的地址、傳輸協議、服務型別等資訊進行匹配,一旦匹配成功,iptables就會根據策略規則所預設的動作來處理這些流量,另外,再次提醒一下,防火墻策略規則的匹配順序是從上至下的,因此要把較為嚴格、優先級較高的策略規則放到前面,以免發生錯誤,下表總結歸納了常用的iptables命令引數,再次強調,我們無需死記硬背這些引數,只需借助下面的實驗來理解掌握即可,
Iptables采用了表和鏈的分層結構,每個規則表相當于內核空間的一個容器,根據規則集的不同用途劃分為默認的四個表,raw表,mangle表,nat表,filter表,每個表容器內包括不同的規則鏈,根據處理資料包的不同時機劃分為五種鏈,而決定是否過濾或處理資料包的各種規則,按先后順序存放在各規則鏈中,
規則表分為以下4種(了解)
- filter表:用來對資料包進行過濾,表內包含三個鏈,即:INPUT,FORWARD,OUTPUT
- Nat表:nat表主要用來修改資料包的ip地址、埠號等資訊,包含三個鏈,即PREROUTING,POSTROUTING,OUTPUT
- Mangle表:用來修改資料包的TOS、TTL,或者為資料包設定MARL標記,實作流量×××,策略路由等高級應用,包含五個鏈,PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD
- Raw表:用來決定是否對資料包進行狀態跟蹤,包含兩個鏈:即OUTPUT,PREROUTING
規則鏈分為以下5種(了解)
- INPUT鏈:當收到訪問防火墻本機地址的資料包(入站),應用此鏈中的規則,
- OUTPUT鏈:當防火墻本機向外發送資料包(出站)時,應用此鏈中的規則,
- FORWARD鏈:當收到需要通過防火墻中轉發送給其他地址的資料包(轉發)時,應用此鏈中的規則,
- PREROUTING鏈:在對資料包做路由選擇之前,應用此鏈中的規則,
- POSTROUTING鏈:在對資料包做路由選擇之后,應用此鏈中的規則,
防火墻策略規則是按照從上到下的順序匹配的,因此一定要把允許動作放到拒絕動作前面,否則所有的流量就將被拒絕掉,從而導致任何主機都無法訪問我們的服務,
防火墻策略
防火墻策略規則的設定有兩種:一種是“通”(即放行),一種是“堵”(即阻止),當防火墻的默認策略為拒絕時(堵),就要設定允許規則(通),否則誰都進不來;如果防火墻的默認策略為允許時,就要設定拒絕規則,否則誰都能進來,防火墻也就失去了防范的作用
- ACCEPT(允許流量通過)
- REJECT(拒絕流量通過)
- LOG(記錄日志資訊)
- DROP(拒絕流量通過)
REJECT 和 DROP 的不同點
DROP 來說,它是直接將流量丟棄而且不回應
REJECT 則會在拒絕流量后再回復一條“您的資訊已經收到,但是被扔掉了”資訊,從而讓流量發送方清晰地看到資料被拒絕的回應資訊,
iptables 命令格式:
iptables [-t 表] -命令 匹配 操作
iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> --sport 源埠 <-d 目標IP/目標子網> --dport 目標埠 -j 動作
| 引數 | 作用 |
|---|---|
| -P | 設定默認策略 |
| -F | 清空規則鏈 |
| -L | 查看規則鏈 |
| -A | 在規則鏈追加新規則 |
| -I | 在規則鏈插入新規則 |
| -R | 替換規則鏈中的相應規則 |
| -D | 洗掉某一條規則 |
| -Z | 清空規則鏈中的資料包計數器和位元組計數器 |
| -p<協議> | 匹配協議,如 TCP、UDP、ICMP |
| -s<源地址> | 指定要匹配的資料包的源IP地址 |
| –dport | 匹配目標埠號 |
| –sport | 匹配來源埠號 |
| -j | 指定要跳轉的目標(一般寫策略規則) |
案例:
查看開放的埠:
[root@linuxprobe ~]# cat /etc/sysconfig/iptables
[root@linuxprobe ~]# netstat -ntlp #列出所有埠
開啟埠(以80埠為例):
方法一:
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT #寫入修改
[root@linuxprobe ~]# service iptables save #保存修改
[root@linuxprobe ~]# service iptables restart 重啟防火墻,修改生效
方法二:
[root@linuxprobe ~]# vi /etc/sysconfig/iptables #打開組態檔加入如下陳述句:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
#重啟防火墻,修改完成
關閉埠:
方法一:
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 80 -j DROP #寫入修改
[root@linuxprobe ~]# service iptables save #保存修改
[root@linuxprobe ~]# service iptables restart #重啟防火墻,修改生效
方法二:
[root@linuxprobe ~]# vi /etc/sysconfig/iptables #打開組態檔加入如下陳述句:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j DROP
#重啟防火墻,修改完成
查看埠狀態:
[root@linuxprobe ~]# /etc/init.d/iptables status
將 INPUT 規則鏈設定為只允許指定網段的主機訪問本機的 22 埠,拒絕來自其他所有主機的流量:
[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
向 INPUT 規則鏈中添加拒絕所有人訪問本機 12345 埠的策略規則:
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT
向 INPUT 規則鏈中添加拒絕 192.168.10.5 主機訪問本機 80 埠(Web 服務)的策略規則:
[root@linuxprobe ~] # iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
向 INPUT 規則鏈中添加拒絕所有主機訪問本機 1000~1024 埠的策略規則:
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
查看已有的防火墻規則鏈:
[root@linuxprobe ~]# iptables -L
把 INPUT 規則鏈的默認策略設定為拒絕:
[root@linuxprobe ~]# iptables -P INPUT DROP
向防火墻的INPUT 規則鏈中添加一條允許 ICMP 流量進入的策略規則默認允許了這種 ping 命令檢測行為:
[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT
洗掉 INPUT 規則鏈中剛剛加入的那條策略(允許 ICMP 流量),并把默認策略設定為允許:
[root@linuxprobe ~]# iptables -D INPUT 1
[root@linuxprobe ~]# iptables -P INPUT ACCEPT
使用 iptables 命令配置的防火墻規則默認會在系統下一次重啟時失效,如果想讓配置的防火墻策略永久生效,還要執行保存命令:
[root@linuxprobe ~]# service iptables save
三、firewalld
相較于傳統的防火墻管理配置工具,firewalld 支持動態更新技術并加入了區域(zone)的概念,簡單來說,區域就是 firewalld 預先準備了幾套防火墻策略集合(策略模板),用戶可以根據生產場景的不同而選擇合適的策略集合,從而實作防火墻策略之間的快速切換,
firewalld跟iptables比起來至少有兩大好處:
- firewalld可以動態修改單條規則,而不需要像iptables那樣,在修改了規則后必須得全部重繪才可以生效;
- firewalld在使用上要比iptables人性化很多,即使不明白“五張表五條鏈”而且對TCP/IP協議也不理解也可以實作大部分功能,
注:firewalld自身并不具備防火墻的功能,而是和iptables一樣需要通過內核的netfilter來實作,也就是說firewalld和iptables一樣,他們的作用都是用于維護規則,而真正使用規則干活的是內核的netfilter,只不過firewalld和iptables的結構以及使用方法不一樣罷了,
一個重要的概念:區域管理
firewalld將網卡對應到不同的區域(zone),zone 默認共有9個:
block dmz drop external home internal public trusted work
都保存在“/usr/lib/firewalld/zones/”目錄下,
firewalld 中常用的區域名稱及測了規則
| 區域 | 默認規則 |
|---|---|
| 阻塞區域(block) | 任何傳入的網路資料包都將被阻止, |
| 作業區域(work) | 相信網路上的其他計算機,不會損害你的計算機, |
| 家庭區域(home) | 相信網路上的其他計算機,不會損害你的計算機, |
| 公共區域(public) | 不相信網路上的任何計算機,只有選擇接受傳入的網路連接, |
| 隔離區域(DMZ) | 隔離區域也稱為非軍事區域,內外網路之間增加的一層網路,起到緩沖作用,對于隔離區域,只有選擇接受傳入的網路連接, |
| 信任區域(trusted) | 所有的網路連接都可以接受, |
| 丟棄區域(drop) | 任何傳入的網路連接都被拒絕, |
| 內部區域(internal) | 信任網路上的其他計算機,不會損害你的計算機,只有選擇接受傳入的網路連接, |
| 外部區域(external) | 不相信網路上的其他計算機,不會損害你的計算機,只有選擇接受傳入的網路連接, |
終端管理工具 firewalld-cmd
firewall 可以看成整個防火墻服務,而 firewall-cmd 可以看成是其中的一個功能,可用來管理埠
firewalld-cmd 命令中使用的引數以及作用
| 引數 | 作用 |
|---|---|
| –get-default-zone | 查詢默認的區域名稱 |
| –set-default-zone=<區域名稱> | 設定默認的區域,使其永久生效 |
| –get-zones | 顯示可用的區域 |
| –get-services | 顯示預先定義的服務 |
| –get-active-zones | 顯示當前正在使用的區域與網卡名稱 |
| –add-source= | 將源自此 IP 或子網的流量導向指定的區域 |
| –remove-source= | 不再將源自此 IP 或子網的流量導向某個指定區域 |
| –add-interface=<網卡名稱> | 將源自該網卡的所有流量都導向某個指定區域 |
| –change-interface=<網卡名稱> | 將某個網卡與區域進行關聯 |
| –list-all | 顯示當前區域的網卡配置引數、資源、埠以及服務等資訊 |
| –list-all-zones | 顯示所有區域的網卡配置引數、資源、埠以及服務等資訊 |
| –add-service=<服務名> | 設定默認區域允許該服務的流量 |
| –add-port=<埠號/協議> | 設定默認區域允許該埠的流量 |
| –remove-service=<服務名> | 設定默認區域不再允許該服務的流量 |
| –remove-port=<埠號/協議> | 設定默認區域不再允許該埠的流量 |
| –reload | 讓“永久生效”的配置規則立即生效,并覆寫當前的配置規則 |
| –panic-on | 開啟應急狀況模式 |
| –panic-off | 關閉應急狀況模式 |
案例:
查看 firewall 防火墻程式是否正在運行:
[root@linuxprobe ~]# firewall-cmd --state
查看已打開的所有埠:
[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports
開啟指定埠:
[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent
(--permanent 永久生效,沒有此引數重啟后失效)
重新加載 firewall,修改配置后,必須重新加載才能生效:
firewall-cmd --reload
關閉指定埠:
[root@linuxprobe ~]# ffirewall-cmd --zone=public --remove-port=8080/tcp --permanent
(--permanent 表示永久生效,沒有此引數重啟后失效)
重新加載 firewall,修改配置后,必須重新加載才能生效:
firewall-cmd --reload
firewall-cmd對埠的操作,如開放埠等資訊,都放在"/etc/firewall/zones/public.xml"中記錄,所以直接修改此檔案也是可以的
四、linux防火墻狀態命令
- iptables防火墻
| 目的 | 命令 |
|---|---|
| 查看防火墻狀態 | service iptables status |
| 停止防火墻 | service iptables stop |
| 啟動防火墻 | service iptables start |
| 重啟防火墻 | service iptables restart |
| 永久關閉防火墻 | chkconfig iptables off |
| 永久關閉后重啟 | chkconfig iptables on |
開啟80埠
vim /etc/sysconfig/iptables
加入如下代碼
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
保存退出后重啟防火墻
service iptables restart
- firewall防火墻
| 目的 | 命令 |
|---|---|
| 查看firewall服務狀態 | systemctl status firewalld |
| 查看firewall的狀態 | firewall-cmd --state |
| 開啟防火墻,啟動 firewall 服務 | systemctl start firewalld |
| 重啟防火墻,重啟 firewall 服務 | systemctl restart firewalld |
| 關閉防火墻,停止 firewall 服務 | systemctl stop firewalld |
| 開機自動啟動服務 | systemctl enable firewalld.service |
| 查看防火墻規則 | firewall-cmd --list-all |
| 查詢埠是否開放 | firewall-cmd --query-port=8080/tcp |
| 開放80埠 | firewall-cmd --permanent --add-port=80/tcp |
| 移除埠 | firewall-cmd --permanent --remove-port=8080/tcp |
| 重啟防火墻(修改配置后要重啟防火墻) | firewall-cmd --reload |
引數解釋
1、firwall-cmd:是Linux提供的操作firewall的一個工具;
2、–permanent:表示設定為持久;
3、–add-port:標識添加的埠;
轉載請註明出處,本文鏈接:https://www.uj5u.com/qianduan/104562.html
標籤:其他