文章目录
Firewalld,iptables概述
Firewalld了解
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4,IPv6防火墙设置以及以太网桥
拥有两种配置模式
支持服务或应用程序直接添加防火墙规则接口
- 运行时配置(一般测试的时候使用)
- 永久配置
iptables了解
c,真正实现防火墙功能的是Netfilter,我们配置类iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作
Firewalld和iptables的关系
netfilter
- 位于Linux内核中的包过滤功能体系
- 称为Linux防火墙的“内核态”
Firewalld、iptables
- CentOS 7默认的管理防火墙规则的工具(Firewalld)
- 称为Linux防火墙的“用户态”
netfilter和Firewalld,iptables三者之间的关系
Firewalld和iptables的区别
centos7有firewalld,iptables
centos6是iptables
| Firewalld | iptables | |
|---|---|---|
| 配置文件 | /usr/lib/firewalld,/etc/firewalld | /etc/sysconfig/iptables |
| 对规则的修改 | 不需要全部刷新策略,不丢失现行连接 | 需要全部刷新策略,丢失链接 |
| 防火墙类型 | 动态防火墙 | 静态防火墙 |
Firewall是不需要重启服务,iptables要重服务
Netfilter与iptables区别
Netfilter的模块越多,防火墙的功能也就越多,而且我们可以通过升级内核的方式来达到一起升级Netfilter的目的,iptables是Linux的防火墙管理工具而已,netfilter通过这些规则来进行防火墙过滤等操作
四表五链
iptables的表,链
规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机
默认包含5种规则链
- PREROUTING:在进行路由选择前处理数据包
- INPUT :进系统 处理入站数据包
- FORWARD: 处理转发数据包
- OUTPUT: 处理出站数据包
- POSTROUTING: 在进行路由选择后处理数据包
规则表
表的作用:容纳各种规则
表的划分依据:防火墙规则的作用形似
默认包括4个规则表
- Raw表:决定数据包是否被状态跟踪机制处理
- Mangle表:为数据包设置标记
- Nat表:修改数据包中的源,目标ip地址或端口
- filter表:确认是否放行该行数据包
数据包的过滤的匹配流程
规则表之间的顺序
当数据到达防火墙时按顺序进行对应的表:
raw》》》mangle》》》nat》》》filter
规则链之间的顺序
入站:PREROUTING》》》INPUT 来自外界的数据包到达防火墙,首先被PREROUTING链处理,那么内核将其传递给INPUT链进行处理(决定是否允许通过等)
出战:OUTPUT》》》POSTROUTING 防火墙本机向外部地址发送数据包(如在防火墙主机中测试公网DNS服务时),首先被OUTPUT链处理,然后进行路由选择,再交给POSTROUTING链进行处理(是否修改数据包的地址等)。
转发:PREROUTING》》》FORWARD》》》POSTROUTING 来自外界的数据包到达防火墙后,首先被PREROUTING链处理,然后在进行路由选择;如果数据包的目标地址是其他外部地址(如局域网用户通过网关访问QQ服务器),则内核将其传递给FORWARD链进行处理(允许转发或拦截、丢弃),最后交给POSTROUTING链进行处理(是否修改数据包的地址
PREROUTING》》》INPUT》》》FORWARN》》》OUTPUT》》》POSTROUTING
规则链的匹配顺序
按顺序依次排查,匹配即停止(LOG策略例外)
若找不到匹配规则,则按该链的默认策略处理
iptables语法格式与常用参数
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
如果不指定表名,则会默认指定filter表
不指定链名时,默认指表内所有链
选项,链名,控制类型使用大写字母,其他小写
iptables常用参数
-P 设置默认策略:iptables
-P INPUT(DROP|ACCEPT)
-L 查看规则链
-n 以数字形式显示地址,端口等信息
-v 以更详细的方式显示规则信息
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-F 清空规则链
-s 匹配来源地址IP/MASK,加感叹号“!”表示除了这个IP外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如tcp,udp,icmp
--dport num 匹配目标端口号
--sport num 匹配来源端口号
iptables命令使用总结
所有链名必须大写
INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTING
所有表名必须小写
filter/nat/mangle
所有动作必须大写
ACCEPT/DROP/SNAT/DNAT/MASQUERADE
所有匹配必须小写
-s/-d/-m <module_name>/-p
常用的显示匹配条件
[root@localhost~]# yum install httpd -y
[root@localhost~]# systemctl start httpd
[root@localhost~]# iptables -I INPUT -i ens33 -p tcp --dport 80 -s 192.168.197.141/24 -j ACCPET '在规则链头部加入规则,指定从ens33网卡流入的,匹配tcp协议,匹配80端口(httpd的端口号)匹配源ip地址(win10),指定控制类型为接受'
[root@localhost~]# iptables -L '查看策略是否设置成功'
Firewalld网络区域
区域介绍
| 区域 | 描述 |
|---|---|
| drop(丢弃) | 任何接收的网络数据包都会被丢弃,没有任何回复。仅能有发送出去的网络连接 |
| block(限制) | 任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝 |
| public(公共) | 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的链接 |
| external(外部) | 特别是为路由器启动了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信他们不会对您的计算机造成危害,只能接收经过选择的连接 |
| dmz(非军事区) | 用于您的非军事区内的电脑,此区域内可公开访问,可以有限的进入您的内部网络,仅仅接收经过选择的连接 |
| work(工作) | 用于工作区,您可以基本相信网络内的其他电脑不会危害您的电脑,仅仅接收经过选择的连接 |
| home(家庭) | 用于家庭网络,您可以基本信任网络内的其他计算器不会危害您的计算机,仅仅接收经过选择的连接 |
| internal(内部) | 用于内部网络,您可以基本上信任网络内的其他计算机不会威胁您的计算机,仅仅接受经过选择的连接 |
| trusted(信任) | 可接收所有的网络连接 |
- 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
- 可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
- 默认情况下,public区域是默认区域,包含所有接口(网卡)
- iptables没有区域的概念
- 外部流量通过规则进入相应的区域接口(网卡)
irewalld数据处理流程
- 检查数据来源的源地址
- 若源地址关联到特定的区域,则执行该区域所指定的规则
- 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
- 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
Firewalld防火墙的配置方法
- 运行时配置
- 实时生效,并持续至firewalld重新启动或重新加载配置
- 不中断现有连接
- 不能修改服务配置
- 永久配置
- 不立即生效,除非firewalld重新启动和重新加载配置
- 中断现有连接
- 可以修改服务配置
- firewall-config图形工具(用的少)
- firewall-cmd命令行工具(用的多)
- /etc/firewalld/中的配置文件
- firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/bin/firewalld/中的配置
- /etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
- /usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可以直接删除/etc/firewalld/中的配置
Firewall-config图形工具
包含运行时配置/永久配置
重新加载防火墙
- 更改永久配置并生效
关联网卡到指定区域
修改默认区域
服务端口
| 端口号 | 端口说明 | 服务 |
|---|---|---|
| 21/20 | ftp文件传输协议 | ftp 20数据端口、21监听端口 |
| 22 | SSH远程连接 | SSH |
| 23 | Telnet远程连接 | 爆破、嗅探、弱口令 |
| 53 | DNS域名系统 | 允许区域传送、DNS挟持、欺骗 |
| 67/68 | DHCP服务 | 挟持、欺骗 |
| 80 | 常见web端口 | http |
| 443 | 常见web加密端口 | https |
| 445 | SMB服务 | SMB |
| 3389 | 远程桌面连接 | Windows远程桌面服务 |
区域”选项卡
block :堵塞区域
dmz:非军事化区域
drop :丢失区域
external :外部区域
home :家
internal :内部区域
public:公共区域
trusted :信任区域
work :工作区域
- 服务”子选项卡
- “端口”子选项卡
- “协议”子选项卡
- “源端口”子选项卡
- “伪装”子选项卡
- “端口转发”子选项卡
- “ICMP过滤器”子选项卡
区域”选项卡
block :堵塞区域
dmz:非军事化区域
drop :丢失区域
external :外部区域
home :家
internal :内部区域
public:公共区域
trusted :信任区域
work :工作区域
SNAT和DNAT策略及应用
NAT(网络地址转换协议)
是将局域网里的内部地址(如192.168.0.x)转换成公网(Internet)上合法的IP地址(如202.202.12.11),以使内部地址能像有公网地址的主机一样上网。这个优于代理服务器,能做直接访问外部IP地址
实现方式
AT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。
SNAT
源地址转换即内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的[主机]访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。
A公司拥有多个[公网IP](60.191.82.105-107),A公司希望内部用户(IP为192.168.1.50)使用某个特定的IP(60.191.82.107)访问互联网,则需在出口路由设备上需要配置源地址转换。
DNAT策略的概述
就是指数据包从网卡发送出去的时候,修改数据包中的目的IP,表现为如果你想访问A,可是因为网关做了DNAT,把所有访问A的数据包的目的IP全部修改为B,那么,你实际上访问的是B
(3)SNAT策略的应用
打开网关的路由转发
[root@promote ~]# vi /etc/sysctl.conf
net.ipv4.ip_forward=1
[root@promote ~]# sysctl -p
net.ipv4.ip_forward = 1
设置SNAT策略
[root@promote ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to-source 218.29.30.31
(4)DNAT策略的应用
设置DNAT策略
[root@promote ~]# iptables -t nat -A PREROUTING -i ens33 -d 218.29.30.31 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6
【6】规则的导入和导出
(1)规则的备份iptables-save命令
[root@promote ~]# iptables-save > /opt/iprules.bak
(2)规则的还原iptables-restore命令
[root@promote ~]# iptables-restore < /opt/iprules.bak