Nine Iptables与Firewalld防火墙

Posted 2021-03-25 shrdbk

防火墙管理工具
　　防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制，然后防火墙使用预先定制的策略规则监控出入的流量，若流量与某一条策略规则相匹配，则执行相应的处理，反之则丢弃。这样一来，就可以保证仅有合法的流量在企业内网和外部公网之间流动了。

 

 

　　在RHEL 7系统中，firewalld防火墙取代了iptables防火墙。iptables与firewalld都不是真正的防火墙，它们都只是用来定义防火墙策略的防火墙管理工具而已，或者说，它们只是一种服务。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理，而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。换句话说，当前在Linux系统中其实存在多个防火墙管理工具，旨在方便运维人员管理Linux系统中的防火墙策略，我们只需要配置妥当其中的一个就足够了。
iptables
　　在早期的Linux系统中，默认使用的是iptables防火墙管理服务来配置防火墙。尽管新型的firewalld防火墙管理服务已经被投入使用多年，但是大量的企业在生产环境中依然出于各种原因而继续使用iptables。
　　各个防火墙管理工具的配置思路是一致的，在掌握了iptables后再学习其他防火墙管理工具时，也有借鉴意义。
策略与规则链
　　防火墙会从上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为（即放行或阻止）。如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略。一般而言，防火墙策略规则的设置有两种：一种是“通”（即放行），一种是“堵”（即阻止）。当防火墙的默认策略为拒绝时（堵），就要设置允许规则（通），否则谁都进不来；如果防火墙的默认策略为允许时，就要设置拒绝规则，否则谁都能进来，防火墙也就失去了防范的作用。
　　iptables服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下：
　　　　　　在进行路由选择前处理数据包（PREROUTING）；
　　　　　　处理流入的数据包（INPUT）；     　      　*外网-->内网
　　　　　　处理流出的数据包（OUTPUT）；  　   　  *外网<--内网
　　　　　　处理转发的数据包（FORWARD）；  　　  *通过第三方
　　　　　　在进行路由选择后处理数据包（POSTROUTING）。
匹配策略规则采取的动作：
　　　　ACCEPT（允许）：允许流量通过
　　　　LOG（登记）：允许流量通过，但记录日志信息
　　　　REJECT（拒绝）：拒绝流量通过且明确给予拒绝的响应（考试时务必用REJECT，让系统明确知道流量被拒绝）
　　　　DROP（丢弃）：拒绝流量通过但不响应

基本的命令参数
　　iptables是一款基于命令行的防火墙策略管理工具，具有大量参数。
　　iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配，一旦匹配成功，iptables就会根据策略规则所预设的动作来处理这些流量。另外，再次提醒一下，防火墙策略规则的匹配顺序是从上至下的，因此要把较为严格、优先级较高的策略规则放到前面，以免发生错误。
iptables中常用的参数以及作用
　　参数  　　　　　　　　  作用
　　-p  　　  　　　　　　设置默认策略
　　-F    　　　　　　　　清空规则链
　　-L    　　　　　　　　查看规则链
　　-A    　　　　　　　　在规则链的末尾加入新规则
　　-I num  　　 　　　 　在规则链的头部加入新规则
　　-D num   　　　　　　删除某一条规则
　　-s   　　　　　　　　 匹配来源地址IP/MASK,加叹号”!”表示除这个IP外
　　-d   　　　　　　　　 匹配目标地址
　　-i网卡名称 　　　　    匹配从这块网卡流入的数据
　　-o网卡名称 　　　  　 匹配从这块网卡流出的数据
　　-P   　　　　　　　    匹配协议，如TCP、UDP、 ICMP
　　--dport num  　　　 　匹配目标端口号
　　--sport num  　　　 　匹配来源端口号
　　-j    　　　　　　　 　采取的动作(ACCEPT、LOG、REJECT. DROP)

 

iptables实际应用

　　　　iptables -L                                                    　　　　　　　　　　    　　     #查看已有的防火墙规则链
　　　　iptables -F                                                    　　　　　　　　　　    　　     #清空已有的防火墙规则链
　　　　iptables -L                                                   　　　　　　　　　　　    　      #再次查看防火墙规则链，发现之前存在的规则链均已被删除
　　　　iptables -P INPUT DROP                                  　　　　　　　　                  #把INPUT规则链的默认策略设置为拒绝，规则链的默认拒绝动作只能是DROP，不能是REJECT
　　　　iptables -L                                                     　　　　　　　　　　　    　    #查看规则链，显示Chain INPUT (policy DROP)
　　　　iptables -I INPUT -p icmp -j ACCEPT            　　　　　　            　　          #向INPUT链头部中添加允许ICMP流量进入的策略规则
　　　　ping -c 4 192.168.10.10                                　　　　　　                             #此时可以ping通，但是其余的ssh什么的是不行的
　　　　iptables -D INPUT 1                                     　　　　　　 　　　　　           #删除INPUT规则链的第1条规则（即刚刚允许ICMP那条）
　　　　iptables -P INPUT ACCEPT                              　　　　　　　　                  #把INPUT规则链默认策略设置为允许
　　　　iptables -L                                                    　　　　　　　　　　　　   　   #查看规则链，显示Chain INPUT (policy ACCEPT),ping,ssh什么的都允许
　　　　iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT 　　　　   #将INPUT规则链设置为只允许指定网段的主机访问本机的22端口（必须先指明协议才能指明端口号）
　　　　iptables -A INPUT -p tcp --dport 22 -j REJECT                  　　　　　　 　    #向INPUT规则链尾部添加拒绝来自所有主机访问本机22端口的规则（结合上一条规则的效果就是只允许指定网段主机访问本机22端口，拒绝其他主机访问）
　　　　iptables -L                                                      　　　　　　　　　　  　　　  #查看已有规则链，此时应有2条，一条允许一条拒绝
　　　　iptables -I INPUT -p tcp --dport 12345 -j REJECT                　  　　　　　    #向INPUT规则链中添加拒绝所有人访问本机12345端口（tcp+udp）的策略规则
　　　　iptables -I INPUT -p udp --dport 12345 -j REJECT
　　　　iptables -L
　　　　iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT  　　　　       #向INPUT规则链中添加拒绝192.168.10.5主机访问本机80端口（Web服务）的策略规则
　　　　iptables -L
　　　　iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT               　　　　 　 #向INPUT规则链中添加拒绝所有主机访问本机1000～1024端口的策略规则
　　　　iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
　　　　iptables -L
　　　　service iptables save                                        　　　　　　　　　　　        #让配置的防火墙策略永久生效（防火墙规则默认会在系统下一次重启时失效）

Firewalld
　　RHEL 7系统中集成了多款防火墙管理工具，其中firewalld（Dynamic Firewall Manager of Linux systems，Linux系统的动态防火墙管理器）服务是默认的防火墙配置管理工具，它拥有基于CLI（命令行界面）和基于GUI（图形用户界面）的两种管理方式。
　　相较于传统的防火墙管理配置工具，firewalld支持动态更新技术并加入了区域（zone）的概念。简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。例如，我们有一台笔记本电脑，每天都要在办公室、咖啡厅和家里使用。按常理来讲，这三者的安全性按照由高到低的顺序来排列，应该是家庭、公司办公室、咖啡厅。当前，我们希望为这台笔记本电脑指定如下防火墙策略规则：在家中允许访问所有服务；在办公室内仅允许访问文件共享服务；在咖啡厅仅允许上网浏览。在以往，我们需要频繁地手动设置防火墙策略规则，而现在只需要预设好区域集合，然后只需轻点鼠标就可以自动切换了，从而极大地提升了防火墙策略的应用效率。firewalld中常见的区域名称（默认为public）以及相应的策略规则如表所示。

　　　　　区域 　　　　 默认规则策略
　　　　trusted 　　  允许所有的数据包
　　　　home  　　   拒绝流入的流量，除非与流出的流量相关;而如果流量与ssh. mdns. ipp-client. amba-client与dhcpv6-client服务相关， 则允许流量
　　　　internal 　　 等同于home区域
　　　　work 　　     拒绝流入的流量，除非与流出的流量相关;而如果流量与ssh. ipp-client与dhcpv6-client服务相关， 则允许流量
　　　　public 　　   拒绝流入的流量，除非与流出的流量相关:而如果流量与ssh, dhcpv6-client服务相关， 则允许流量
　　　　external 　　拒绝流入的流量，除非与流出的流量相关;而如果流量与ssh服务相关，则允许流量
　　　　dmz 　　      拒绝流入的流量，除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
　　　　block 　    　 拒绝流入的流量，除非与流出的流量相关
　　　　drop 　　      拒绝流入的流量，除非与流出的流量相关

终端管理工具
　　命令行终端是一种极富效率的工作方式，firewall-cmd是firewalld防火墙配置管理工具的CLI（命令行界面）版本。它的参数一般都是以“长格式”来提供的，因为RHEL 7系统支持部分命令的参数补齐，其中就包含这条命令。也就是说，现在除了能用Tab键自动补齐命令或文件名等内容之外，还可以用Tab键来补齐表中所示的长格式参数了。

　　　　　　参数     　　　　　　　　　　　　　　　　作用
　　　　--get-default-zone 　　　　　　　　　　  查询默认的区域名称
　　　　--set-default-zone= <区域名称> 　　　　  设置默认的区域，使其永久生效
　　　　--get-zones    　　　　　　　　　　　  　显示可用的区域
　　　　--get-services  　　　　　　　　　　　    显示预先定义的服务
　　　　--get-active-zones  　　　　　　　　　　 显示当前正在使用的区域与网卡名称
　　　　--add-source=    　　　　　　　　　 　 　将源自此IP或子网的流量导向指定的区域
　　　　--remove-source=   　　　　　　　　　　不再将源自此IP或子网的流量导向某个指定区域
　　　　--add-interface=<网卡名称> 　　　　　　 将源自该网卡的所有流量都导向某个指定区域
　　　　--change interface= <网卡名称>　　　 　  将某个网卡与区域进行关联
　　　　-ist-all    　　　　　　　　　　　　　　    显示当前区域的网卡配置参数、资源、端口以及服务等信息
　　　　-lit-all zones   　　　　　　　　　　　  　 显示所有区域的网卡配置参数.资源端口以及服务等信息
　　　　--add-service= <服务名>   　　　　　　 　设置默认区域允许该服务的流量
　　　　--add-port= <端口号/协议>  　　　　　   　设置默认区域允许该端口的流量
　　　　--remove-service= <服务名>  　　　　　　设置默认区域不再允许该服务的流量
　　　　--remove-port= <端口号/协议>  　　　　　设置默认区域不再允许该端口的流量
　　　　--reload    　　　　　　　　　　　　　　 让“永久生效”的配置规则立即生效，并覆盖当前的配置规则
　　　　--panic-on    　　　　　　　　　　　　　 开启应急状况模式
　　　　--panic-off    　　　　　　　　　　　　 　关闭应急状况模式

使用firewalld配置的防火墙策略有两个模式：
 　　运行时（Runtime）模式：默认的firewall防火墙策略模式，又称为当前生效模式，策略会随着系统的重启会失效。
　　 永久（Permanent）模式：在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数，配置的防火墙策略就可以永久生效。但是，使用永久生效模式设置的策略只有在系统重启之后才能自动生效。如果想让永久模式下配置的策略立即生效，需要手动执行firewall-cmd --reload命令。

firewall防火墙常用配置
　　firewall-cmd --get-default-zone                                        　　　　　　　　  　　　  #查看firewalld服务当前所使用的区域（默认应该是public）
　　firewall-cmd --get-zone-of-interface=eno16777728                        　　　　  　　　 #查询eno16777728网卡当前在firewalld服务中的区域（默认也应该是public）
　　firewall-cmd --permanent --zone=external --change-interface=eno16777728  　 　  #把firewalld服务中eno16777728网卡的默认区域修改为external，并在系统重启后永久生效。
　　firewall-cmd --get-zone-of-interface=eno16777728                       　　　　　　　     #查看eno16777728网卡在当前的区域（应该仍为public）
　　firewall-cmd --permanent --get-zone-of-interface=eno16777728             　　　　     #查看eno16777728网卡在永久模式下的区域（应该为external）
　　firewall-cmd --set-default-zone=public                                  　　　　　　　　　　   #把firewalld服务的当前默认区域设置为public
　　firewall-cmd --get-default-zone                                      　　　　　　　　　　　       #查看firewall当前默认区域
　　firewall-cmd --panic-on                                                  　　　　　　　　　　　　   #启动firewalld防火墙服务的应急状况模式，阻断一切网络连接（当远程控制服务器时请慎用）
　　firewall-cmd --panic-off                                                 　　　　　　　　　　　  　  #关闭firewall防火墙服务的应急状况模式
　　firewall-cmd --zone=public --query-service=ssh                            　　　　　　　　 #查询public区域当前是否允许SSH服务的流量（查到为yes）    
　　firewall-cmd --zone=public --query-service=https                          　　　　　　　　 #查询public区域当前是否允许HTTPS服务的流量（查到为no）
　　firewall-cmd --zone=public --add-service=https                           　　　　　　　　   #设置public区域当前允许请求HTTPS服务的流量通过
　　firewall-cmd --permanent --zone=public --add-service=https              　　　　　　   #设置piblic区域允许请求HTTPS服务的流量通过，永久生效
　　firewall-cmd --reload                                                     　　　　　　　　　　　　　 #让firewall服务永久模式下的策略设置立即生效
　　firewall-cmd --permanent --zone=public --remove-service=http            　　　  　　   #设置public区域禁止HTTP服务的流量通过，永久生效
　　firewall-cmd --reload                                                     
　　firewall-cmd --zone=public --add-port=8080-8081/tcp                      　　　　　　 　  #设置public区域当前访问8080-8081端口的流量策略设置为允许
　　firewall-cmd --zone=public --list-ports                                   　　　　　　　　　   　 #查看public区域当前允许通过的端口

流量转发命令格式：
　　firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

　　firewall-cmd --permanent --zone=public --add-forward-port=port=8080:proto=tcp:toport=22:toaddr=192.168.10.20

富规则:
　　拒绝来自public区域中ip地址为192.168.10.1的ssh服务
　　　　firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.1/24" service name="ssh" reject"

图形管理工具
　　在各种版本的Linux系统中，几乎没有能让刘遄老师欣慰并推荐的图形化工具，但是firewall-config做到了。它是firewalld防火墙配置管理工具的GUI（图形用户界面）版本，几乎可以实现所有以命令行来执行的操作。
功能具体如下：

 

 

　　　　1：选择运行时（Runtime）模式或永久（Permanent）模式的配置。
　　　　2：可选的策略集合区域列表。
　　　　3：常用的系统服务列表。
　　　　4：当前正在使用的区域。
　　　　5：管理当前被选中区域中的服务。
　　　　6：管理当前被选中区域中的端口。
　　　　7：开启或关闭SNAT（源地址转换协议）技术。
　　　　8：设置端口转发策略。
　　　　9：控制请求icmp服务的流量。
　　　　10：管理防火墙的富规则。
　　　　11：管理网卡设备。
　　　　12：被选中区域的服务，若勾选了相应服务前面的复选框，则表示允许与之相关的流量。
　　　　13：firewall-config工具的运行状态。

　　SNAT是一种为了解决IP地址匮乏而设计的技术，它可以使得多个内网中的用户通过同一个外网IP接入Internet。该技术的应用非常广泛，甚至可以说我们每天都在使用，只不过没有察觉到罢了。比如，当我们通过家中的网关设备（比如无线路由器）访问本书配套站点www.linuxprobe.com时，就用到了SNAT技术。
　　在下图1的局域网中有多台PC，如果网关服务器没有应用SNAT技术，则互联网中的网站服务器在收到PC的请求数据包，并回送响应数据包时，将无法在网络中找到这个私有网络的IP地址，所以PC也就收不到响应数据包了。在下图2所示的局域网中，由于网关服务器应用了SNAT技术，所以互联网中的网站服务器会将响应数据包发给网关服务器，再由后者转发给局域网中的PC。

图1

 

 

图2

 

 

iptables命令：很麻烦。在图形界面Masquerading页签中勾选Masquerade zone复选框即可。