防火墙 (iptables、firewalld)

时间  2021-08-12
标签 javascript css java linux nginx web sql apache vim 安全 栏目 系统网络 繁體版
原文   原文链接

1、iptables

1. iptables概述

Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。
主要工做在网络层,针对IP数据包。体如今对包内的IP地址、端口等信息的处理上。javascript

2. netfilter和iptables

(1)netfilter

netfilter属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系;
是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。css

(2)iptables

iptables属于“用户态”(User Space,又称为用户空间)的防火墙管理体系;
是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,一般位于/sbin/iptables目录下。java

(3)netfile/iptables

netfilter/iptables下文中统一简称为iptables。
iptables是基于内核的防火墙,其中内置了raw、mangle、nat和 filter四个规则表。
表中全部规则配置后,当即生效,不须要重启服务。linux

3. 四表五链

(1)四表

规则表的做用:容纳各类规则链,即表中有链。nginx

规则表 说明
raw表 肯定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING
mangle表 修改数据包内容,用来作流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
nat表 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。
filter表 负责过滤数据包,肯定是否放行该数据包(过滤)。包含三个规则链,INPUT、FORWARD、OUTPUT

注:在iptables的四个规则表中,mangle表和raw表的应用相对较少web

(2)五链

规则链的做用:容纳各类防火墙规则,即链中有规则。sql

规则链 说明
INPUT 处理入站数据包,匹配目标IP为本机的数据包
OUTPUT 处理出站数据包,通常不在此链上作配置
FORWARD 处理转发数据包,匹配流经本机的数据包
PREROUTING 在进行路由选择前处理数据包,用来修改目的地址,用来作DNAT。至关于把内网中的80端口映射到路由器外网端口上
POSTROUTING链 在进行路由选择后处理数据包,用来修改源地址,用来作SNAT。至关于内网经过路由器NAT转换功能实现内网主机经过一个公网IP地址上网

(3)规则表的匹配顺序

raw>>mangle>>nat>>filterapache

(4)规则链之间的匹配顺序

  1. 主机型防火墙
    1)入站数据(来自外界的数据包,且目标地址是防火墙本机)
    PREROUTING --> INPUT --> 本机的应用程序
    2)出站数据(从防火墙本机向外部地址发送的数据包)
    本机的应用程序 --> OUTPUT --> POSTROUTING
  2. 网络型防火墙
    转发数据(须要通过防火墙转发的数据包)
    PREROUTING --> FORWARD --> POSTROUTING
  3. 规则链内的匹配顺序
    1)自上向下按顺序依次进行检查,找到相匹配的规则即中止(LOG策略例外,表示记录相关日志)
    2)若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的情况下,默认策略为容许)

4. iptables的安装

CentOS 7默认使用firewalld防火墙,没有安装iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装iptablesvim

#关闭防火墙 [root@localhost ~]# systemctl stop firewalld.service [root@localhost ~]# systemctl disable firewalld.service #安装并开启iptables服务 [root@localhost ~]# yum -y install iptables iptables-services [root@localhost ~]# systemctl start iptables.service

5. iptables防火墙的配置

(1)命令行配置格式

(2)注意事项

  1. 不指定表名时,默认指filter表
  2. 不指定链名时,默认指表内的全部链
  3. 除非设置链的默认策略,不然必须指定匹配条件
  4. 选项、链名、控制类型使用大写字母,其他均为小写

(3)经常使用的控制类型

控制类型 做用
ACCEPT 容许数据包经过。DROP直接丢弃数据包,不给出任何回应信息
REJECT 拒绝数据包经过,会给数据发送端一个响应信息
SNAT 修改数据包的源地址
DNAT 修改数据包的目的地址
MASQUERADE 假装成一个非固定公网IP地址
LOG 在/var/log/messages文件中记录日志信息,而后将数据包传递给下一条规则。LOG只是一种辅助动做,并无真正处理数据包

(4)经常使用的管理选项

选项 说明
-A 在指定链的末尾追加(–append)一条新的规则
-I 在指定链的开头插入(–insert)一条新的规则,未指定序号时默认做为第一条规则
-R 修改、替换(–replace)指定链中的某一条规则,可指定规则序号或具体内容
-P 设置指定链的默认策略(–policy)
-D 删除(–delete)指定链中的某一条规则,可指定规则序号或具体内容
-F 清空(–flush)指定链中的全部规则,若未指定链名,则清空表中的全部链
-L 列出(–list)指定链中全部的规则,若未指定链名,则列出表中的全部链
-n 使用数字形式(–numeric)显示输出结果,如显示IP地址而不是主机名
-v 显示详细信息,包括每条规则的匹配包数量和匹配字节数
–line-numbers 查看规则时,显示规则的序号

(5)匹配条件

匹配条件 说明
-p 指定要匹配的数据包的协议类型
-s 指定要匹配的数据包的源IP地址
-d 指定要匹配的数据包的目的IP地址
-i 指定数据包进入本机的网络接口
-o 指定数据包离开本机作使用的网络接口
–sport 指定源端口号
–dport 指定目的端口号

6. 匹配类型

①通用匹配

直接使用,不依赖于其余条件或扩展,包括网络协议、IP地址、网络接口等条件安全

协议匹配:-p 协议名 地址匹配:-s 源地址、-d 目的地址 #能够是IP、网段、域名、空(任何地址) 接口匹配:-i 入站网卡、-o 出站网卡 例: iptables -A FORWARD ! -p icmp -j ACCEPT iptables -A INPUT -s 192.168.80.11 -j DROP iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP
②隐含匹配

以特定的协议匹配做为前提,包括端口、TCP标记、ICMP类型等条件

  1. 端口匹配
--sport 源端口 --dport 目的端口 #能够是个别端口、端口范围 --sport 1000 匹配源端口是1000的数据包 --sport 1000:3000 匹配源端口是1000-3000的数据包 --sport :3000 匹配源端口是3000及如下的数据包 --sport 1000: 匹配源端口是1000及以上的数据包 注意:--sport --dport 必须配合 -p <协议类型> 使用 例: iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT iptables -I FORWARD -d 192.168.80.0/24 -p tcp --dport 24500:24600 -j DROP
  1. TCP标记匹配
--tcp-flags TCP标记 iptables -I INPUT -i ens33 -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT #丢弃SYN请求包,放行其余包
  1. ICMP类型匹配
--icmp-type ICMP类型 #能够是字符串、数字代码、、目标不可达 “Echo-Request”(代码为 8)表示 请求 “Echo-Reply”(代码为 0)表示 回显 “Destination-Unreachable”(代码为 3)表示 目标不可达 关于其它可用的 ICMP 协议类型,能够执行“iptables -p icmp -h”命令,查看帮助信息 例: iptables -A INPUT -p icmp --icmp-type 8 -j DROP #禁止其它主机ping 本机 iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT #容许本机ping其它主机 iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT #当本机ping不通其它主机时提示目标不可达 iptables -A INPUT -p icmp -j REJECT #此时其它主机须要配置关于icmp协议的控制类型为 REJECT
③显示匹配

要求以“-m 扩展模块”的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件

  1. 多端口匹配
-m multiport --sports 源端口列表 -m multiport --dports 目的端口列表 例: iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT
  1. IP范围匹配
-m iprange --src-range IP范围 iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP
  1. 状态匹配
-m state --state 链接状态 常见的链接状态: NEW :与任何链接无关的,还没开始链接 ESTABLISHED :响应请求或者已创建链接的,链接态 RELATED :与已有链接有相关性的(如FTP 主被动模式的数据链接),衍生态,通常与ESTABLISHED 配合使用 INVALID :不能被识别属于哪一个链接或没有任何状态 iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP #禁止转发与正常 TCP 链接无关的非--syn 请求数据包(如伪造的网络攻击数据包)

7. SNAT原理与应用

(1)应用环境

局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)。
一个IP地址作SNAT转换,通常可让内网 100到200 台主机实现上网。

(2)原理

修改数据包的源地址

(3)SNAT转换前提条件

局域网各主机已正确设置IP地址、子网掩码、默认网关地址
Linux网关开启IP路由转发

(4)路由转发开启方式

1.临时打开: echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 2.永久打开: vim /etc/sysctl.conf net.ipv4.ip_forward = 1 #将此行写入配置文件 3.sysctl -p #读取修改后的配置

(5)SNAT转换具体格式

  1. 固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 192.168.80.0/24(内网IP) -o(出站) ens33(外网网卡) -j SNAT --to 12.0.0.1(外网IP或地址池) iptables -t nat -A POSTROUTING -s 192.168.80.0/24(内网IP) -o(出站) ens33(外网网卡) -j SNAT --to-source 12.0.0.1-12.0.0.10(外网IP或地址池)
  1. 非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE

8. DNAT原理与应用

(1)应用环境

在Internet中发布位于局域网内的服务器。
主机型防火墙:主要使用INPUT、OUTPUT链,设置规则时通常要详细的指定到端口。
网络型防火墙:主要使用FORWARD链,设置规则时不多去指定到端口,通常指定到IP地址或者到网段便可。

(2)原理

修改数据包的目的地址

(3)DNAT转换前提条件

局域网的服务器可以访问Internet
网关的外网地址有正确的DNS解析记录
Linux网关开启IP路由转发

(4)DNAT转换

使用DNAT时,同时配合SNAT使用,才能实现响应数据包的正确返回

  1. 发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11 iptables -t nat -A PREROUTING -i(入站) ens33(外网网卡) -d 12.0.0.1(外网IP) -p tcp --dport 80 -j DNAT --to 192.168.80.11(内网服务器Ip) iptables -t nat -A PREROUTING -i(入站) ens33(外网网卡) -d 12.0.0.1(外网IP) -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11(内网服务器IP) iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20(地址池)
  1. 发布时修改目标端口
#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行链接 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22 
ssh -p 250 root@12.0.0.1 #在外网环境中使用SSH测试 yum -y install net-tools #若没有 ifconfig 命令可提早使用 yum 进行安装 ifconfig ens33

9. 防火墙规则的备份和还原

(1)导出(备份)全部表的规则

iptables-save > /opt/ipt.txt

(2)导入(还原)规则

iptables-restore < /opt/ipt.txt 将iptables规则文件保存在 /etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则 iptables-save > /etc/sysconfig/iptables systemctl stop iptables #中止iptables服务会清空掉全部表的规则 systemctl start iptables #启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则

10. linux系统抓包

(1)格式

例:tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(2)选项

选项 说明
tcp ip icmp arp rarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据包的类型
-i ens33 只抓通过接口ens33的包
-t 不显示时间戳
-s 0 抓取数据包时默认抓取长度为68字节。加上-s 0后能够抓取完整的数据包
-c 100 只抓取100个数据包
dst port !22 不抓取目标端口是22的数据包
src net 192.168.1.0/24 数据包的源网络地址为192.168.1.0/24
-w ./target.cap 保存成cap文件,方便用ethereal(wireshark)分析

2、firewalld

1. firewalld防火墙简介

firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了以前的iptables防火墙,也是工做在网络层,属于包过滤防火墙
firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各类规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能
firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
它支持IPv四、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,好比云计算),而且拥有两种配置模式:运行时配置与永久配置

2. firewalld与iptables的区别

区别项 firewalld iptables
配置文件 /usr/lib/firewalld
/etc/firewalld		 /etc/sysconfig/iptables
对规则的修改 不须要所有刷新策略,不丢失现行链接 须要所有刷新策略,丢失链接
防火墙类型 动态防火墙 静态防火墙
  1. iptables主要是基于接口,来设置规则,从而判断网络的安全性;firewalld是基于区域,根据不一样的区域来设置不一样的规则,从而保证网络的安全。与硬件防火墙的设置相相似
  2. iptables在/etc/ sysconfig/iptables中储存配置;firewalld将配置储存在/etc/firewalld/(优先加载)和/usr/lib/ firewalld/ (默认的配置文件)中的各类XML文件里
  3. 使用iptables每个单独更改意味着清除全部旧有的规则和从/etc/sysconfig/iptables里读取全部新的规则;使用firewalld却不会再建立任何新的规则,仅仅运行规则中的不一样之处。所以firewalld能够在运行时间内,改变设置而不丢失现行链接
  4. iptables防火墙类型为静态防火墙;firewalld防火墙类型为动态防火墙

3. firewalld区域的概念

firewalld防火墙为了简化管理,将全部网络流量分为多个区(zone),而后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每一个区域都定义了本身打开或者关闭的端口和服务列表

(1)firewalld防火墙9个区域

区域 说明
trusted(信任区域) 容许全部的传入流量
public(公共区域) 容许与ssh或dhcpv6-client预约义服务匹配的传入流量,其他均拒绝。是新添加网络接口的默认区域
external(外部区域) 容许与 ssh 预约义服务匹配的传入流量,其他均拒绝。 默认将经过此区域转发的IPv4传出流量将进行地址假装,可用于为 路由器启用了假装功能的外部网络
home(家庭区域) 容许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预约义服务匹配的传入流量,其他均拒绝
internal(内部区域) 默认值时与home区域相同
work(工做区域) 容许与 ssh、ipp-client、dhcpv6-client 预约义服务匹配的传入流量,其他均拒绝
dmz(隔离区域也称为非军事区域) 容许与 ssh 预约义服务匹配的传入流量,其他均拒绝
block(限制区域) 拒绝全部传入流量
drop(丢弃区域) 丢弃全部传入流量,而且不产生包含ICMP的错误响应

(2)区域介绍

  1. 最终一个区域的安全程度是取决于管理员在此区域中设置的规则
  2. 区域如同进入主机的安全门,每一个区域都具备不一样限制程度的规则,只会容许符合规则的流量传入
  3. 能够根据网络规模,使用一个或多个区域,可是任何一个 活跃区域 至少须要关联 源地址或接口
  4. 默认状况下,public区域是默认区域,包含全部接口(网卡)

4. firewalld数据处理流程

firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址

5. firewalld检查数据包的源地址规则

  1. 若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则
  2. 若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则
  3. 若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则

6. firewalld防火墙的配置方法

(1)使用firewall-cmd命令行工具

经常使用的firewall-cmd命令选项 说明
--get-default-zone 显示当前默认区域
--set-default-zone= 设置默认区域
--get-active-zones 显示当前正在使用的区域及其对应的网卡接口
--get-zones 显示全部可用的区域
--get-zone-of-interface= 显示指定接口绑定的区域
--zone= --add-interface= 为指定接口绑定区域
--zone= --change-interface= 为指定的区域更改绑定的网络接口
--zone= --remove-interface= 为指定的区域删除绑定的网络接口
--get-zone-of-source=[/] 显示指定源地址绑定的区域
--zone= --add-source=[/] 为指定源地址绑定区域
--zone= --change-source=[/] 为指定的区域更改绑定的源地址
--zone= --remove-source=[/] 为指定的区域删除绑定的源地址
--list-all-zones 显示全部区域及其规则
[--zone=] --list-all 显示全部指定区域的全部规则,省略--zone=时表示仅对默认区域操做
[--zone=] --list-services 显示指定区域内容许访问的全部服务
[--zone=] --add-service= 为指定区域设置容许访问的某项服务
[--zone=] --remove-service= 删除指定区域已设置的容许访问的某项服务
[--zone=] --list-ports 显示指定区域内容许访问的全部端口号
[--zone=] --add-port=[-]/ 为指定区域设置容许访问的某个/某段端口号(包括协议名)
[--zone=] --remove-port=[-]/ 删除指定区域已设置的容许访问的端口号(包括协议名)
[--zone=] --list-icmp-blocks 显示指定区域内拒绝访问的全部 ICMP 类型
[--zone=] --add-icmp-block= 为指定区域设置拒绝访问的某项 ICMP 类型
[--zone=] --remove-icmp-block= 删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes 显示全部 ICMP 类型

(2)使用firewall-config图形工具


(3)编写/etc/firewalld/中的配置文件

7. 区域管理

  1. 显示当前系统中的默认区域
    firewall-cmd --get-default-zone
  2. 显示默认区域的全部规则
    firewall-cmd --list-all
  3. 显示当前正在使用的区域及其对应的网卡接口
    firewall-cmd --get-active-zones
  4. 设置默认区域
    firewall-cmd --set-default-zone=home
    firewall-cmd --get-default-zone

8. 服务管理

  1. 查看默认区域内容许访问的全部服务
    firewall-cmd --list-service
  2. 添加httpd 服务到public 区域
    firewall-cmd --add-service=http --zone=public
  3. 查看public 区域已配置规则
    firewall-cmd --list-all --zone=public
  4. 删除public 区域的httpd 服务
    firewall-cmd --remove-service=http --zone=public
  5. 同时添加httpd、https 服务到默认区域,设置成永久生效
    firewall-cmd --add-service=http --add-service=https --permanent
    firewall-cmd --reload
    firewall-cmd --list-all
    注:
  6. 添加使用 --permanent选项表示设置成永久生效,须要从新启动firewalld服务或执行firewall-cmd --reload命令,从新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,可是这些规则在系统或firewalld服务重启、中止时配置将失效。
  7. --runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性配置

9. 端口管理

    1. 容许TCP的443端口到internal区域
      firewall-cmd --zone=internal --add-port=443/tcp
      firewall-cmd --list-all --zone=internal
    2. 从internal 区域将TCP的443端口移除
      firewall-cmd --zone=internal --remove-port=443/tcp
    3. 容许UDP的2048~2050端口到默认区域firewall-cmd --add-port=2048-2050/udpfirewall-cmd --list-all
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程