linux系统防火墙

Posted 2021-03-25 wujizhang

防火墙的过滤机制：

1、Netfilter（数据包过滤）

　　将数据包的包头拆分来进行分析，判断哪些行为可以放通进行操作，哪些需要封堵或者拒绝。包括硬件地址、逻辑ip地址、TCP、UDP、ICMP等数据包。主要是ISO七层协议体系里的2、3、4层。

　　netfilter是Linux内核创建的机制，netfilter提供iptables软件进行数据包过滤，效率很高。

2、TCP Wrappers（程序管控）

　　该机制分析哪些用户需要对程序进行操作，tcp wrappers分析该程序能允许哪些用户操作。该功能只对程序进行管控，对程序开放的端口无关。比如ssh默认开放的端口是22，通过TCP Wrappers进行管控时，只对sshd这个名称进行限制，不论ssh开放的是22号端口还是12222端口，都会进行管控处理。

3、proxy（代理服务器）

　　代理服务器相当于一个中间人，代理用户的访问请求，向相关服务器获取应答，并返回给用户。示意图如下：

 A想要访问互联网上的C时，数据流程如下：

1、A向代理服务器B请求数据；

2、代理服务器B收到A的请求后，向C请求数据；

3、C返回数据给B；

4、B再返回数据给A

通过上面的大致流程可以发现，其实A并没有直接上网，所以上面的2、3、4、5对于A来说都不可见。主要A可以连接B就能正常上网。

 

本小节先讲简单的TCP Wrappers

TCP Wrappers的配置文件：/etc/hosts.allow和/etc/hosts.deny

支持该功能管理的程序：

• 有xinetd所管理的服务
• 有支持libwrap.so模块的服务

xinetd管理的服务有哪些呢？

yum install xinetd -y （未安装先安装）

[root@benxiaohai ~]# chkconfig --list
结果前部分省略

xinetd based services:                             这些服务是由xinetd管理的
chargen-dgram: off
chargen-stream: off
daytime-dgram: off
daytime-stream: off
discard-dgram: off
discard-stream: off
echo-dgram: off
echo-stream: off
tcpmux-server: off
time-dgram: off
time-stream: off

常见的sshd是否支持TCP Wrappers呢？

支持TCP Wrappers的服务必定包含libwrapper动态函数库。

ldd $(which sshd)，看到该服务包含libwrap这个动态函式库，所以支持。

 /etc/hosts.allow和/etc/hosts.deny的设置：

格式如下：

服务名（程序名）: IP

限制单个ip写法如下：

[root@benxiaohai ~]# cat /etc/hosts.allow
sshd:192.168.100.125        或者  sshd:192.168.100.125/255.255.255.255，或者sshd:192.168.100.125 192.168.100.126，多个ip用空格隔开，不支持sshd:192.168.100.1/32这种写法

[root@benxiaohai ~]# cat /etc/hosts.deny 

sshd:all

使用其他的ip进行登录，发现登录不上

这两个文件上有先后顺序：

1、先查看/etc/hosts.allow，符合的ip就允许

2、再查看/etc/hosts.deny，符合的ip就禁止

3、若都不在这两个文件里，即都不符合规则，最终是允许。