iptables&&firewall防火墙

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了iptables&&firewall防火墙相关的知识,希望对你有一定的参考价值。

配置iptables防火墙增强服务器安全
Centos7.X 开始,系统自带的防火墙是firewalld,但是也同样支持iptables,本即可,我们仍然可以用iptables来作为防火墙
1、 iptables概述:
1.1、 netfilter/iptables
netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成。
netfilter/iptables 关系:
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。
netfilter/iptables 后期简称为:iptables。 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle、raw四张表。所有规则配置后,立即生效,不需要重启服务
1.2、 四张表介绍:
filter负责过滤数据包,包括的规则链有,input,output和forward;
nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output;
mangle表则主要应用在修改数据包内容上,用来做流量整形的,给数据包打个标识,默认的规则链有:INPUT,OUTPUT、 forward,POSTROUTING,PREROUTING;
raw表主要用于异常处理,PREROUTING、OUTPUT
1.3、 五个链:
input匹配目标IP是本机的数据包,
output 出口数据包 , 一般不在此链上做配置
forward匹配流经本机的数据包,
prerouting用来修改目的地址,用来做DNAT 。如:把内网中的80端口映射到路由器外网端口上
postrouting用来修改源地址用来做SNAT。 如:内网通过路由器NAT转换功能实现内网PC机通过一个公网IP地址上网。
1.4、 ptables三个表,5个链接,结构图:
技术图片
1.4.1、 Raw [r?:]表:用于处理异常,包括的规则链有,prerouting,output; 一般使用不到。
例:查看raw表中的内容:
[root@firewall ~]# iptables -t raw -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

表->链->规则

1.4.2、 Iptables过滤封包流程
-->PREROUTING-->[ROUTE]-----FORWARD----->POSTROUTING-->
raw
mangle ^ mangle
mangle
filter nat
nat
v
                  INPUT                          OUTPUT
                    | mangle                         ^ mangle
                    | filter                            |  nat
                    v ---------------->local------------>| filter
简化过滤流程:
-->PREROUTING-->[ROUTE]-----FORWARD----->POSTROUTING-->
^
filter nat
nat
v
                  INPUT                          OUTPUT
                    |                                ^ 
                    | filter                            |  
                    v ---------------->local------------> | filter

1.4.3、 总结:
整体数据包分三类: 1、发给防火墙本身的数据包 ;2、需要经过防火墙转发的数据包;3、由运行在本机的程序封装的并发出去的数据包;
① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。
本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
技术图片
注意:规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。
2、 安装iptables
2.1、 关闭firewall:
[root@localhost ~]# systemctl stop firewalld.service #停止firewall
[root@localhost ~]# systemctl disable firewalld.service #禁止firewall开机启动
2.2、 安装安装iptables防火墙
[root@localhost ~]# yum install iptables-services
2.3、 配置文件位置:
[root@firewall ~]# ls /etc/sysconfig/iptables
/etc/sysconfig/iptables
2.4、 启动服务
[root@firewall ~]# systemctl start iptables.service
2.5、 配置开机启动
[root@firewall ~]# systemctl enable iptables.service
3、 Iptables语法命令
3.1、 语法格式
技术图片
3.2、 iptables语法总结:
技术图片
3.3、 iptables命令使用方法
iptables [-t 要操作的表]
<操作命令>
[要操作的链]
[规则号码]
[匹配条件]
[-j 匹配到以后的动作]

操作命令(-A、-I、-D、-P、-F)
查看命令(-[vnx]L)
3.3.1、 追加一条规则(放到最后)
-A <链名> APPEND,
iptables -t filter -A INPUT -j DROP #拒绝所有人访问服务器
在 filter 表的 INPUT 链里追加一条规则(作为最后一条规则)
匹配所有访问本机 IP 的数据包,匹配到的丢弃
3.3.2、 INSERT,插入一条规则
-I <链名> [规则号码]
iptables -I INPUT -j DROP
在 filter 表的 INPUT 链里插入一条规则(插入成第 1 条)
iptables -I INPUT 3 -j DROP
在 filter 表的 INPUT 链里插入一条规则(插入成第 3 条)
注意: 1、-t filter 可不写,不写则自动默认是 filter 表
2、-I 链名 [规则号码],如果不写规则号码,则默认是 1
3、确保规则号码 ≤ (已有规则数 + 1),否则报错
3.3.3、 DELETE,删除一条规则
-D <链名> <规则号码 | 具体规则内容>
[root@firewall ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere
iptables -D INPUT 1(按号码匹配)
删除 filter 表 INPUT 链中的第1条规则(不管它的内容是什么)
[root@firewall ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
iptables -D INPUT -s 192.168.0.1 -j DROP(按内容匹配)
删除 filter 表 INPUT 链中内容为“-s 192.168.0.1 -j DROP”的规则
(不管其位置在哪里)
注意:
1、若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条
2、按号码匹配删除时,确保规则号码 ≤ 已有规则数,否则报错
3、按内容匹配删除时,确保规则存在,否则报错
3.3.4、 POLICY,设置某个链的默认规则
-P <链名> <动作>
[root@firewall ~]# iptables -L #查看默认规则是ACCEPT [?k?sept]
Chain INPUT (policy ACCEPT)
target prot opt source destination
iptables -P INPUT DROP

设置 filter 表 INPUT 链的默认规则是 DROP

[root@firewall ~]# iptables -L #查看已经变为DROP
Chain INPUT (policy DROP)
target prot opt source destination
注意:
当数据包没有被规则列表里的任何规则匹配到时,按此默认规则处理。动作前面不能加 –j,这也是唯一一种匹配动作前面不加 –j 的情况。
3.3.5、 FLUSH,清空规则
3.3.5.1、 清空规则
-F [链名]
添加规则:
[root@firewall ~]# iptables -t filter -A INPUT -j DROP
[root@firewall ~]# iptables -F INPUT #清除INPUT链上的规则
[root@firewall ~]# iptables -F #清除filter表中所有链上的规则

[root@firewall ~]# iptables -t nat -F #清空NAT表中 所有链上的规则
[root@firewall ~]# iptables -t nat -F PREROUTING #清空NAT表中 PREROUTING链上的规则
3.3.5.2、 注意:
1、-F 仅仅是清空链中规则,并不影响 -P 设置的默认规则。 需要手动改:
[root@firewall ~]# iptables -P INPUT ACCEPT
2、-P 设置了 DROP 后,使用 -F 一定要小心!!!
##在生产环境中,使用-P DROP 这条规则,一定要小心,设置之前最好配置下面两个任务计划,否则容易把自己drop掉,链接不上远程主机。
配置crontab :
/15 iptables -P INPUT ACCEPT
/15 iptables –F
3、如果不写链名,默认清空某表里所有链里的所有规则
3.3.6、 将封包计数器归零
-Z
iptables -Z INPUT
3.3.7、 LIST,列出规则
-L [链名]
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数
x:在 v 的基础上,禁止自动单位换算(K、M)
n:只显示 IP 地址和端口号码,不显示域名和服务名称
--line-number 可以查看到规则号
例如:
iptables -L
粗略列出 filter 表所有链及所有规则
iptables -t nat -vnL
用详细方式列出 nat 表所有链的所有规则,只显示 IP 地址和端口号
iptables -t nat -vxnL PREROUTING
用详细方式列出 nat 表 PREROUTING 链的所有规则以及详细数字,不反解
3.4、 匹配条件
流入、流出接口(-i、-o)
来源、目的地址(-s、-d)
协议类型 (-p)
来源、目的端口(--sport、--dport)
3.4.8、 按网络接口匹配
-i <匹配数据进入的网络接口> #此参数主要应用于nat表,例如目标地址转换
例如:
-i eth0
匹配是否从网络接口 eth0 进来
-i ppp0
匹配是否从网络接口 ppp0 进来
-o 匹配数据流出的网络接口
例如:
-o eth0
-o ppp0
3.4.9、 按来源目的地址匹配
-s <匹配来源地址>
可以是 IP、 网段、域名,也可空(任何地址)
例如:
-s 192.168.0.1 匹配来自 192.168.0.1 的数据包
-s 192.168.1.0/24 匹配来自 192.168.1.0/24 网络的数据包
-s 192.168.0.0/16 匹配来自 192.168.0.0/16 网络的数据包
-d <匹配目的地址>
可以是 IP、 网段、域名,也可以空
例如:
-d 202.106.0.20 匹配去往 202.106.0.20 的数据包
-d 202.106.0.0/16 匹配去往 202.106.0.0/16 网络的数据包
-d www.abc.com 匹配去往域名 www.abc.com 的数据包
3.4.10、 按协议类型匹配
-p <匹配协议类型>
可以是 TCP、UDP、ICMP 等,也可为空
例如:
-p tcp
-p udp
-p icmp --icmp-type 类型
ping: type 8 pong: type 0
3.4.11、 按来源目的端口匹配
--sport <匹配源端口>
可以是个别端口,可以是端口范围
例如:
--sport 1000 匹配源端口是 1000 的数据包
--sport 1000:3000 匹配源端口是 1000-3000 的数据包(含1000、3000)
--sport :3000 匹配源端口是 3000 以下的数据包(含 3000)
--sport 1000: 匹配源端口是 1000 以上的数据包(含 1000)
--dport <匹配目的端口>
可以是个别端口,可以是端口范围
例如:
--dport 80 匹配目的端口是 80 的数据包
--dport 6000:8000 匹配目的端口是 6000-8000 的数据包(含6000、8000)
--dport :3000 匹配目的端口是 3000 以下的数据包(含 3000)
--dport 1000: 匹配目的端口是 1000 以上的数据包(含 1000)
注意:--sport 和 --dport 必须配合 -p 参数使用
3.4.12、 匹配应用举例
1、端口匹配
-p udp --dport 53
匹配网络中目的端口是 53 的 UDP 协议数据包
2、地址匹配
-s 10.1.0.0/24 -d 172.17.0.0/16
匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包
3、端口和地址联合匹配
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
匹配来自 192.168.0.1,去往 www.abc.com 的 80 端口的 TCP 协议数据包

注意:
1、--sport、--dport 必须联合 -p 使用,必须指明协议类型是什么
2、条件写的越多,匹配越细致,匹配范围越小
3.5、 动作(处理方式)
ACCEPT
DROP
REJECT
SNAT
DNAT
MASQUERADE
3.5.13、 通过
-j ACCEPT
通过,允许数据包通过本链而不拦截它
例如:
iptables -A INPUT -j ACCEPT
允许所有访问本机 IP 的数据包通过

3.5.14、 丢弃
-j DROP
丢弃,阻止数据包通过本链而丢弃它
例如:
iptables -A FORWARD -s 192.168.80.39 -j DROP
阻止来源地址为 192.168.80.39 的数据包通过本机

3.5.15、 源地址转换
-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING 链)
源地址转换,SNAT 支持转换为单 IP,也支持转换到 IP 地址池(一组连续的 IP 地址
例如:
[root@firewall ~]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
#将内网 192.168.0.0/24 的原地址修改为 1.1.1.1,用于 NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
同上,只不过修改成一个地址池里的 IP
3.5.16、 目的地址转换
-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 链)
目的地址转换,DNAT 支持转换为单 IP,也支持转换到 IP 地址池
(一组连续的 IP 地址)
例如:

表达方式1:把从 eth0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1.
[root@firewall ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1
表达方式2:
[root@firewall ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81 -j DNAT --to 192.168.0.1:81
表达方式3:把从 eth0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1-192.169.1.10
[root@firewall ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.169.0.10
3.5.17、 伪装
-j MASQUERADE 伪装 [?m?sk??re?d]
动态源地址转换(动态 IP 的情况下使用)
例如:
[root@firewall ~]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
将源地址是 192.168.0.0/24 的数据包进行地址伪装,转换成eth0上的IP地址。eth0为路由器外网出口IP地址
3.6、 附加模块
按包状态匹配 (state)
按来源 MAC 匹配(mac)
按包速率匹配 (limit)
多端口匹配 (multiport)
3.6.18、 按包状态匹配(state)
-m state --state 状态
状态:NEW、RELATED、ESTABLISHED、INVALID
NEW:如果我们发送一个连接的初始化包,状态就会在OUTPUT链里被设置为NEW,当我们收到回应的包时,状态就会在PREROUTING链里被设置为ESTABLISHED。如果第一个包不是本地产生的,那就会在PREROUTING链里被设置为NEW状态。
ESTABLISHED:连接态
RELATED:衍生态,(如FTP的数据连接是与控制连接相关的,所以数据连接在规则链被设置为RELATED状态)
INVALID:不能被识别属于哪个连接或没有任何状态
例如:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
四个状态:

技术图片

3.6.19、 按来源 MAC 匹配(mac)
-m mac --mac-source MAC
匹配某个 MAC 地址
例如:
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
阻断来自某 MAC 地址的数据包,通过本机
注意:
报文经过路由后,数据包中原有的 mac 信息会被替换,所以在路由后的 iptables 中使用 mac 模块是没有意义的
3.6.20、 按包速率匹配 (limit)
-m limit --limit 匹配速率 [--burst 缓冲数量]
用一定速率去匹配数据包
例如:
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
注意:
limit 英语上看是限制的意思,但实际上只是按一定速率去匹配而已,50/s表示1秒中转发50个数据包,要想限制的话后面要再跟一条 DROP
3.6.21、 多端口匹配 (multiport)
-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]
一次性匹配多个端口,可以区分源端口,目的端口或不指定端口
例如:
iptables -A INPUT -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT
注意:
必须与 -p 参数一起使用

保存:service iptables save

4、 实战: 配置vsftp服务器主动模式iptables规则:
4.1、 iptables配置FTP的主动和被动模式
FTP协议有两种工作方式:
PORT方式和PASV方式,中文意思为主动式和被动式。
Port模式:ftp server:tcp 21 <------client:dynamic ;ftp server:tcp 20 ------>client:dynamic
Pasv模式:ftp server:tcp 21 <----client:dynamic; ftp server:tcp dynamic <----client:dynamic
PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求,建立一条数据链路来传送数据。
PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务器在命令链路上用PASV命令告诉客户端:“我打开了XXXX端口,你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求,建立一条数据链路来传送数据。
注意:关闭selinux
4.2、 开放21端口:
ftp数据连接的主动模式规则如下

iptables -F

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT #默认情况一般服务与本机通讯以127.0.0.1来通讯的。

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT #允许其他机器 ping 本机

iptables –A INPUT -j DROP

4.3、 被动模式
首先修改vsftpd.conf文件,指定被动模式的端口范围,在vsftpd.conf文件中添加如下两行配置项:
pasv_min_port=26500
pasv_max_port=26600
然后在iptables防火墙的filter表的input链中创建如下规则:

iptables -I INPUT -p tcp --dport 26500:26600 -j ACCEPT

加载模块

modprobe ip_conntrack //modprobe命令用于加载内核模块

modprobe ip_conntrack_ftp

最后,将配置好的规则保存到/etc/sysconfig/iptables规则文件中

iptables-save > /etc/sysconfig/iptables

4.4、 Iptables 指南 1.1.19
https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html#STATEMACHINEINTRODUCTION
4.5、 测试:

技术图片
4.6、 常用规则:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEP

5、 实战:使用iptables防火墙保护公司web服务器
5.1、 分析:
这允许单服务器的防护。
弄清对外服务对象
书写规则
网络接口 lo 的处理
协议 + 端口的处理
状态监测的处理
5.2、 具体配置如下:
web服务器端:firewall
客户端: client01
5.3、 拓扑图: 硬件防火墙
技术图片
5.4、 配置web服务器iptables防火墙:
配置之前,清空下已有的规则,防止规则冲突不生效
[root@firewall ~]#iptables -F
[root@firewall ~]# iptables -A INPUT -i lo -j ACCEPT #放行环回口所有数据
[root@firewall ~]# iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT
[root@firewall ~]# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#允许已经建立tcp连接的包以及该连接相关的包通过。状态防火墙能识别TCP或者UDP会话。非状态防火墙只能根据端口识别,不能识别会话
[root@firewall ~]# iptables -P INPUT DROP
注:一般iptables,OUTPUT出口一般都放行,不需要在出口上做限制。这样允许服务器主动访问外网
5.5、 启动web服务器:
[root@firewall ~]# systemctl start httpd
5.6、 安装ftp服务器并开起
[root@firewall ~]# yum install vsftpd -y #安装ftp服务器并开起
[root@firewall ~]# systemctl start vsftpd
Starting vsftpd for vsftpd: [ OK ]
5.7、 测试
5.7.1、 安装elinks测试
[root@client01 ~]# yum install elinks -y
测试web访问
[root@client01 ~]# elinks 192.168.1.63
在windows 测试访问http://192.168.1.63 可以访问
5.7.2、 测试FTP无法访问
5.7.3、 查看配置结果:
[root@firewall ~]# iptables -L -n
6、 实战:使用iptables搭建路由器,
通过SNAT功能,使内网PC机,可以上网。
6.1、 网络拓扑
技术图片

6.2、 需求:
使pc1可以通过firewall上网,即可以访问pc3提供的web服务。
6.3、 配置:firewall
6.3.2、 添加两个网卡,
两块网卡均桥接vmnet1
配置ens33(连接内网):ip地址192.168.12.21/24。
配置ens37(连接internet):ip地址192.168.23.23/24
6.3.3、 启用内核路由转发功能
6.3.3.2、 临时生效
[root@firewall ~]#echo "1" > /proc/sys/net/ipv4/ip_forward
6.3.3.3、 永久生效:
[root@firewall ~]# vim /etc/sysctl.conf
添加下面的内容:
net.ipv4.ip_forward = 1
改完使配置生效:
[root@firewall ~]# sysctl -p
6.3.4、 配置之前,把前面的规则去除了,
iptables –F
6.3.5、 配置SNAT:
[root@firewall ~]#iptables -t nat -A POSTROUTING -s 192.168.12.0/24 -j SNAT --to 192.168.23.23
或:
[root@firewall ~]#iptables -t nat -A POSTROUTING -s 192.168.12.0/24 -o ens37 -j MASQUERADE
#此条规则通常用于出口地址不是固定的情况下,比如ADSL拨号上网.
6.4、 配置客户端pc1:
修改pc1 网卡模式为vmnet1
配置IP地址,子网掩码,网关地址
6.5、 测试:
ping 192.168.12.21 //ping网关
6.6、 配置pc3(模拟的internet的web服务)
修改pc3网卡模式为vmnet1
配置ip地址,子网掩码。
安装httpd服务及启动httpd服务
Web服务器的防火墙清除所有规则或者创建针对于web服务的访问规则。
6.7验证:
在Pc1上通过浏览器访问http://192.168.23.32,正常的话是可以浏览网页内容的
在web服务器上查看访问日志文件,在访问日志中看到的源ip均是网关服务器的外接口的ip地址。
7、 实战:使用DNAT 功能,把内网web服务器端口映射到路由器外网
7.1、 拓扑:
rhel64(web服务器):IP:192.168.2.2/24,网关:192.168.2.1 网卡桥接:Vmnet1
RHEL63(网关): ens33 : IP:192.168.2.1/24;ens37:IP:192.168.1.63/24 两块网卡桥接:Vmnet1
用一台windows主机模拟internet的客户机,ip:192.168.1.1/24
技术图片
7.2、 需求:
把64的80端口映射到63的80端口,客户端访问192.168.1.63:80 即可访问192.168.2.2的web内容
7.3、 配置64即内网web服务器:
7.3.1、 配置httpd
开启动httpd服务,首页内容为: 192.168.2.2

yum install httpd -y

systemctl start httpd

7.3.2、 测试
在RHEL64 主机上通过elinks 访问192.168.2.2正常
注意:elinks命令由elinks软件包提供
7.4、 在63(网关)做DNAT端口映射:
7.4.3、 端口映射

iptables -F

#iptables -t nat -F

iptables -t nat -A PREROUTING -i ens37 -p tcp --dport 80 -j DNAT --to 192.168.2.2:80

或:

iptables -t nat -A PREROUTING -d 192.168.1.63 -p tcp --dport 80 -j DNAT --to 192.168.2.2:80

iptables-save > /etc/sysconfig/iptables

注意:开启路由转发功能
7.4.4、 测试:
在192.168.1.1上用浏览器访问:192.168.1.63 即可访问到64的内容
8、 iptables命令使用总则总结:
所有链名必须大写
INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTING
所有表名必须小写
filter/nat/mangle
所有动作必须大写
ACCEPT/DROP/SNAT/DNAT/MASQUERADE
所有匹配必须小写
-s/-d/-m <module_name>/-p

centos7 之 firewalld 详细介绍配置
1、 Firewalld概念
1.1、 FirewallD是什么?
FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。
1.2、 什么是动态防火墙?
我们首先需要弄明白的第一个问题是到底什么是动态防火墙。为了解答这个问题,我们先来回忆一下 iptables service 管理防火墙规则的模式:用户使用命令添加防火墙的规则,如果想让规则永久保存,还需要再执行命令 iptables-save>/etc/sysconfig/iptables使变更的规则保存到配置文件里。在这整个过程的背后,iptables service 会对防火墙的规则列表全部重读一次,加载到内核.
如果我们把这种哪怕只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话,那么 firewalld 所提供的模式就可以叫做动态防火墙,它的出现就是为了解决这一问题,任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新到运行中的 iptables 即可。
1.3、 firewalld 和 iptables 之间有什么关系?
firewalld 提供了一个 daemon 和 service,还有命令行和图形界面配置工具,它仅仅是替代了 iptables service 部分,其底层还是使用 iptables 作为防火墙规则管理入口。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。
1.4、 什么是区域(zone)?
过滤规则集合:zone
一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。不同zone中规则粒度粗细、安全强度都不尽相同。可以把zone看作是一个个出站或入站必须经过的安检门,有的严格、有的宽松、有的检查的细致、有的检查的粗略。
zone 默认共有9个,block ,dmz ,drop external, home, internal ,public , trusted , work.
不同的区域之间的差异是其对待数据包的默认行为不同,根据区域名字我们可以很直观的知道该区域的特征,在CentOS7系统中,默认区域被设置为public.
区域(zone)说明如下:
drop(丢弃)
如果使用丢弃区域,任何进入的数据包将被丢弃,没有任何回复。仅能有发送出去的网络连接。
block(限制)
任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息。
public(公共)
只接受那些被选中的连接,默认只允许 ssh 和 dhcpv6-client。这个 zone 是缺省 zone
external(外部)
这个区域相当于路由器的启用伪装(masquerade)选项。只有指定的连接会被接受。
dmz(非军事区)
用于您的非军事区内的电脑,如果想要只允许给部分服务能被外部访问,可以在DMZ区域中定义。仅仅接收经过选择的连接。
work(工作)
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
home(家庭)
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
internal(内部)
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。
trusted(信任)
可接受所有的网络连接。
信任区域允许所有网络通信通过。记住:因为trusted是最被信任的,即使没有设置任何的策略,那么也是被允许的,因为trusted是允许所有连接的
以上是系统定义的所有的 zone,但是这些 zone 并不是都在使用。只有活跃的 zone 才有实际操作意义。
简单来讲就是为用户预先准备了几套规则集合,我们可以根据场景的不同选择合适的规矩集合,而默认区域是public。
技术图片
数据包要进入到内核必须要通过这些zone中的一个,而不同的zone里定义的规则不一样(即信任度不一样,过滤的强度也不一样)。可以根据网卡所连接的网络的安全性来判断,这张网卡的流量到底使用哪个zone,比如上图来自ens33的流量全部使用zone1的过滤规则,ens37的流量使用zone2。一张网卡同时只能绑定到一个zone
Firewalld的原则:
如果一个客户端访问服务器,服务器根据以下原则决定使用哪个 zone 的策略去匹配
1.如果一个客户端数据包的源 IP 地址匹配 zone 的 sources,那么该 zone 的规则就适用这个客户端;一个源只能属于一个zone,不能同时属于多个zone。
2.如果一个客户端数据包进入服务器的某一个接口(如eth0)区配zone的interfaces,则么该 zone 的规则就适用这个客户端;一个接口只能属于一个zone,不能同时属于多个zone。
3.如果上述两个原则都不满足,那么缺省的 zone 将被应用。
1.5、 什么是服务?
服务是端口、协议的组合
在 /usr/lib/firewalld/services/ 目录中,还保存了另外一类配置文件,每个文件对应一项具体的网络服务,如 ssh 服务等.
与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口,在最新版本的 firewalld 中默认已经定义了 70多 种服务供我们使用.
当默认提供的服务不够用或者需要自定义某项服务的端口时,我们需要将 service 配置文件放置在 /etc/firewalld/services/ 目录中.
/etc/firewalld/ 存放修改过的配置(优先查找,找不到再找默认的配置)
/usr/lib/firewalld/ 默认的配置
修改配置的话只需要将/usr/lib/firewalld中的配置文件复制到/etc/firewalld中修改。恢复配置的话直接删除/etc/firewalld中的配置文件即可。
比如:ssh服务默认运行在22端口,如果你的ssh服务运行在220端口(不是默认),此时需要放行220端口,就需要把/usr/lib/firewalld/ssh.xml 文件拷贝到 /etc/firewalld/services/ 目录下,修改文件端口为220
重启firewalld服务或者重新加载设置,以激活这些设置。

firewall-cmd –reload

service 配置的好处显而易见:
第一,通过服务名字来管理规则更加人性化,
第二,通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
每加载一项 service 配置就意味着开放了对应的端口访问,使用下面的命令分别列出所有支持的 service 和查看当前 zone 种加载的 service:
[root@test ~]# firewall-cmd --get-services #列出所有支持的 service
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp open*** pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
[root@test ~]# firewall-cmd --list-services #查看当前 zone 种加载的 service
dhcpv6-client ssh
2、 firewalld命令
你可以使用任何一种 firewalld 配置工具来配置或者增加区域,以及修改配置。工具有例如firewall-config 这样的图形界面工具, firewall-cmd 这样的命令行工具。
2.1.1、 firewalld常用命令
安装# yum install firewalld
启动:# systemctl start firewalld
查看状态:# systemctl status firewalld 或者 firewall-cmd --state
停止:# systemctl stop firewalld
禁用:# systemctl disable firewalld
2.1.2、 配置firewalld命令
查看版本:# firewall-cmd --version
查看帮助:# firewall-cmd --help
获取firewalld状态:# firewall-cmd --state
查看区域信息: # firewall-cmd --get-active-zones
查看指定接口所属区域:# firewall-cmd --get-zone-of-interface=ens33
获取支持的区域列表:firewall-cmd –get-zones
获取所有支持的服务:firewall-cmd –get-services
获取所有支持的ICMP类型:firewall-cmd –get-icmptypes
…………
2.1.3、 更新防火墙规则:

firewall-cmd --reload //在不改变当前连接状态的条件下重新加载防火墙

firewall-cmd --complete-reload //当前连接的状态信息将会丢失

两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务
2.1.4、 列出所有支持的 zone 和查看当前的默认 zone
[root@test ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
[root@test ~]# firewall-cmd --get-default-zone
Public
2.1.5、 设置默认接口区域

firewall-cmd --set-default-zone=public

立即生效无需重启
2.1.6、 将接口添加到区域,默认接口都在public

firewall-cmd --zone=public --add-interface=ens33

永久生效再加上 --permanent 然后reload防火墙
2.1.7、 打开端口
查看所有打开的端口:

firewall-cmd --zone=public --list-ports

加入一个端口到区域:

firewall-cmd --zone=public --add-port=8080/tcp

若要永久生效方法同上
2.1.8、 打开一个服务
服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹

firewall-cmd --zone=work --add-service=smtp

2.1.9、 移除服务

firewall-cmd --zone=work --remove-service=smtp

2.1.10、 输出区域

输出区域 <zone> 全部启用的特性。如果省略区域,将显示默认区域的信息。

firewall-cmd [–zone=<zone>] –list-all
[root@test zones]# firewall-cmd --list-all
public (default, active)
interfaces: eno16777736
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[root@test zones]# firewall-cmd --zone=work --list-all
work
interfaces:
sources:
services: dhcpv6-client ipp-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
2.1.11、 获取活动的区域
[root@test zones]# firewall-cmd --get-active-zones
work
interfaces: eno16777736
2.1.12、 根据接口获取区域
firewall-cmd –get-zone-of-interface=<interface>
[root@test zones]# firewall-cmd --get-zone-of-interface=eno16777736
public

以下关于区域和接口的操作,就不一一举例了,可以根据实际情况修改.

2.1.13、 # 将接口增加到区域
firewall-cmd [--zone=<zone>] --add-interface=<interface>

如果接口不属于区域,接口将被增加到区域。如果区域被省略了,将使用默认区域。接口在重新加载后将重新应用。

2.1.14、 # 修改接口所属区域
firewall-cmd [--zone=<zone>] --change-interface=<interface>

这个选项与 –add-interface 选项相似,但是当接口已经存在于另一个区域的时候,该接口将被添加到新的区域。

2.1.15、 # 从区域中删除一个接口
firewall-cmd [--zone=<zone>] --remove-interface=<interface>
2.1.16、 # 查询区域中是否包含某接口
firewall-cmd [--zone=<zone>] --query-interface=<interface>

注意:返回接口是否存在于该区域。没有输出。

2.1.17、 # 列举区域中启用的服务
firewall-cmd [ --zone=<zone> ] --list-services
2.1.18、 # 启用应急模式阻断所有网络连接,以防出现紧急状况
firewall-cmd --panic-off
2.1.19、 # 查询应急模式
firewall-cmd --query-panic
提示:firewall-cmd --panic-on //关闭应急模式
firewall-cmd --panic-off和firewall-cmd --panic-on实际就是断网和连网
3、 通过配置文件来使用Firewalld的方法
系统本身已经内置了一些常用服务的防火墙规则,存放在/usr/lib/firewalld/services/
注意:
请勿编辑/usr/lib/firewalld/services/ ,只有 /etc/firewalld/services 的文件可以被编辑。
3.1、 查看配置文件
[root@test ~]# ls /usr/lib/firewalld/services/
amanda-client.xml dhcpv6.xml high-availability.xml ipp-client.xml kpasswd.xml libvirt.xml mysql.xml pmcd.xml pop3s.xml RH-Satellite-6.xml smtp.xml tftp.xml
bacula-client.xml dhcp.xml https.xml ipp.xml ldaps.xml mdns.xml nfs.xml pmproxy.xml postgresql.xml rpc-bind.xml ssh.xml transmission-client.xml
bacula.xml dns.xml http.xml ipsec.xml ldap.xml mountd.xml ntp.xml pmwebapis.xml proxy-dhcp.xml samba-client.xml telnet.xml vnc-server.xml
dhcpv6-client.xml ftp.xml imaps.xml kerberos.xml libvirt-tls.xml ms-wbt.xml open***.xml pmwebapi.xml radius.xml samba.xml tftp-client.xml wbem-https.xml
3.2、 动态添加一条防火墙规则如下:
以下例子均以系统自带的public zone 为例子.
假设自定义的 ssh 端口号为 12222,使用下面的命令来添加新端口的防火墙规则:
如果需要使规则保存到 zone 配置文件,则需要加参数 –permanent
举例如下:
[root@test zones]# firewall-cmd --add-port=12222/tcp
success
[root@test zones]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
</zone>
发现没有写到配置文件里

[root@test zones]# firewall-cmd --add-port=12222/tcp --permanent
success
[root@test zones]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<port protocol="tcp" port="12222"/>
</zone>
已经写到配置文件里

注意:防火墙配置文件也可以手动修改,修改后记得重载(firewall-cmd --reload)

3.3、 开放80端口供外网访问http服务
3.3.2、 将 http.xml复制到/etc/firewalld/services/下面,以服务形式管理防火墙,

这个cp命令其实是可以省略的,系统会优先去读取 /etc/firewalld 里面的文件,找不到则会去/usr/lib/firewalld/services/读取.为了方便修改和管理,建议复制到/etc/firewalld

[root@test ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/
[root@test ~]# ls /etc/firewalld/services/
http.xml
[root@test ~]# ls /etc/firewalld/zones/
public.xml public.xml.old
3.3.3、 修改public.xml,加入http服务
cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<service name="http"/> # 这行是后加的,要匹配 /etc/firewalld/services/文件夹下的文件名
</zone>
3.3.4、 重新载入 两条命令都可以的
以 root 身份输入以下命令,重新加载防火墙,并不中断用户连接,即不丢失状态信息:
[root@test ~]# firewall-cmd --reload
Success
3.4、 修改防火墙ssh的端口方法
3.4.5、 复制ssh.xml文件到/etc/firewalld/services/
[root@test ~]# cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
3.4.6、 修改ssh.xml文件 12222为ssh端口
[root@test ~]# cat /etc/firewalld/services/ssh.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>SSH</short>
<description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
<port protocol="tcp" port="12222"/>
</service>
3.4.7、 重新载入 两条命令都可以的
以 root 身份输入以下命令,重新加载防火墙,并不中断用户连接,即不丢失状态信息:
[root@test ~]# firewall-cmd --reload
Success
3.5、 指定ip访问ssh端口
修改/etc/firewalld/zones/

rule字段内为要限制的ip和使用的服务

[root@test ~]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<rule family="ipv4">
<source address="192.168.23.1"/>
<service name="ssh"/>
<accept/>
</rule>
</zone>
[root@test ~]# firewall-cmd --reload
Success
3.6、 添加自定义服务
举例,添加8080端口为新的Service
3.6.8、 添加新文件 8080.xml
cat /etc/firewalld/services/8080.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>8080 Test</short>
<description>此处为文字说明</description>
<port protocol="tcp" port="8080"/>
</service>
3.6.9、 编辑public.xml 文件,加入相应的Server
cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<service name="8080"/> # 这行是后加的,要匹配 /etc/firewalld/services/8080.xml 文件名
</zone>
3.6.10、 重新载入
[root@test ~]# firewall-cmd --reload
Success
Direct Rules:
3.7、 SNAT
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 你的公网ip
3.7.11、 DNAT
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A PREROUTING -d 173.16.16.1 -p tcp--dport 2346 -j DNAT --to-destination 192.168.10.2:22

以上是关于iptables&&firewall防火墙的主要内容,如果未能解决你的问题,请参考以下文章

iptables和firewalled的区别

centos7 关闭firewall安装iptables并配置

Linux防火墙Firewall和Iptables的使用

如何将centos7自带的firewall防火墙更换为iptables防火墙

centos7 关闭firewall安装iptables并配置

Linux学习之八--关闭Firewall安装Iptables并配置