linux 配置防火墙 firewalld 屏蔽海外国外IP访问(服务器受到外网未知用户攻击,通过设置防火墙隔绝) 仅允许中国国内ip访问自己在公网上的服务器

Posted JUNCLING

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux 配置防火墙 firewalld 屏蔽海外国外IP访问(服务器受到外网未知用户攻击,通过设置防火墙隔绝) 仅允许中国国内ip访问自己在公网上的服务器相关的知识,希望对你有一定的参考价值。

需求:屏蔽海外国外IP访问
wget https://www.isres.com/china_ip_list.txt

确定防火墙状态开启

systemctl status firewalld

防火墙开启命令

systemctl start firewalld

确定防火墙状态开启

systemctl status firewalld
解决途径:
firewall-cmd --permanent --new-ipset=china_ip --type=hash:net

将刚刚下载china_ip_list.txt生成ipset

firewall-cmd --permanent --ipset=china_ip --add-entries-from-file=china_ip_list.txt

添加需要保留的规则(可选部分)
firewall-cmd --permanent --add-rich-rule ‘rule family=“ipv4” source ipset=“china_ip” port port=80 protocol=tcp accept’
firewall-cmd --permanent --add-rich-rule ‘rule family=“ipv4” source ipset=“china_ip” port port=8080 protocol=tcp accept’
firewall-cmd --permanent --add-rich-rule ‘rule family=“ipv4” source ipset=“china_ip” port port=443 protocol=tcp accept’
firewall-cmd --permanent --add-rich-rule ‘rule family=“ipv4” source ipset=“china_ip” port port=8443 protocol=tcp accept’
firewall-cmd --permanent --add-rich-rule ‘rule family=“ipv4” source ipset=“china_ip” port port=22 protocol=tcp accept’
firewall-cmd --remove-service=ssh --permanent
firewall-cmd --permanent --add-rich-rule ‘rule family=“ipv4” source ipset=“china_ip” port port=7000 protocol=tcp accept’
firewall-cmd --permanent --add-rich-rule ‘rule family=“ipv4” source ipset=“china_ip” port port=6000-6020 protocol=tcp accept’
firewall-cmd --reload
在这里插入图片描述

查看防火墙状态及过滤规则
firewall-cmd --list-all

到这就完成了,之后是我把自己的ports端口开放的关掉:
firewall-cmd --zone=public --remove-port=80/tcp --permanent
firewall-cmd --zone=public --remove-port=8080/tcp --permanent
firewall-cmd --zone=public --remove-port=6000-6021/tcp --permanent
firewall-cmd --reload

ps:下图是一些未知用户ip

设置完后就只有中国ip访问得了了

外网访问:

当关闭防火墙: 外网流量又进来了,证明设置隔绝外围IP访问成功

出现了新问题:防火墙关了重启不了。。。。。

解决办法:先终止启动失败的防火墙程序
pkill -f firewalld
firewall-cmd --state
systemctl start firewalld
firewall-cmd --state

感谢:
Linux系统firewalld防火墙的应用实操(禁止屏蔽海外国外IP访问)http://t.csdn.cn/hd0Sq
firewalld.service: Start operation timed out. Terminating http://t.csdn.cn/oGl8Q

番外:
屏蔽完后出现了一批国内ip恶意访问

2022/12/23 10:38:43 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [43.153.67.124:38036]
2022/12/23 10:39:08 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [118.212.146.42:49164]
2022/12/23 10:39:42 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [118.212.146.42:56496]
2022/12/23 10:40:14 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [118.212.146.42:35596]
2022/12/23 10:40:30 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [43.153.67.124:39092]
2022/12/23 10:40:54 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [118.212.146.42:42928]
2022/12/23 10:41:29 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [118.212.146.42:50260]
2022/12/23 10:42:01 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [118.212.146.42:57592]
2022/12/23 10:42:12 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [43.153.67.124:60158]
2022/12/23 10:42:36 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [118.212.146.42:36692]
2022/12/23 11:14:57 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [124.160.90.29:9225]
2022/12/23 11:15:18 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [124.160.90.29:17673]
2022/12/23 11:15:37 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [124.160.90.29:20182]
2022/12/23 11:15:56 [I] [proxy.go:162] [1301b7b684f870c3] [3090] get a user connection [124.160.90.29:2162]

保证Linux系统安全之firewalld防火墙配置地址伪装和端口转发详解

通过保证Linux系统安全之firewalld防火墙入门详解认识Linux系统firewalld防火墙,并可以编写一些相对简单一些的防火墙规则。Linux防火墙可以充当路由器(网关)。路由器上的NAT技术,同样可以通过Linux防火墙来实现。地址伪装和端口转发说白了就是路由器中的NAT技术。

一、地址伪装和端口转发简介

firewalld防火墙支持两种类型的NAT:

(1)地址伪装

地址伪装:基于源地址进行转换,通过地址伪装,NAT设备将经过设备的数据包转发到指定接收方,同时将通过的数据包的源地址更改为其本身的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个IP地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持IPV4,不支持IPV6。

(2)端口转发

端口转发:基于目标地址进行转换,也称为目的地址转换或端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上的不同端口。或不同计算机上的端口,企业内部的服务器一般使用私网地址,可以通过端口转发将使用私网地址的服务器发布到公网上,供互联网用户进行访问。类似于NAT技术中的静态NAT。

二、firewall-cmd高级配置

(1)firewalld中的直接规则

直接规则特性:

  • 允许管理员手动编写的iptables、ip6tables和ebtables 规则插入到Firewalld管理的区域中;
  • 通过firewall-cmd命令中的--direct选项实现;
  • 除显示插入方式之外,优先匹配直接规则;
[root@localhost ~]# firewall-cmd --direct --add-chain ipv4 raw blacklist
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw PREROUTING 0 -s 192.168.0.0/24 -j blacklist
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j LOG --log-prefix "blacklisted"
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw blacklist 1 -j DROP
success

这些仅是把192.168.0.0网段的地址添加到黑名单(使用直接规则)!太麻烦!

(2)使用富语言

富语言特性:

  • 表达性配置语言,无需了解iptables语法;
  • 用于表达基本的允许/拒绝规则、配置记录(面向syslog和auditd)、端口转发、伪装和速率限制;

富语言语法格式

rule [family="<rule family>"]
    [ source address="<address>" [invert="True"] ]
    [ destination address="<address>" [invert="True"] ]
    [ <element> ]
    [ log [prefix="<prefix text>"] [level="<log level>"] [limit value="rate/duration"] ]
    [ audit ]
    [ accept|reject|drop ]

富语言规则各常用选项:
技术图片

富语言规则各语法解释:
技术图片

富语言规则配置示例:

  • [root@localhost ~]# firewall-cmd --add-rich-rule=‘rule protocol value=ah accept‘
    success
    //为认证包头协议AH使用IPV4和IPV6连接
  • [root@localhost ~]# firewall-cmd --add-rich-rule=‘rule service name=ftp log limit value=1/m audit accept‘
    success
    //允许新的IPV4和IPV6连接FTP,并使用审核每分钟记录一次
  • [root@localhost ~]# firewall-cmd --add-rich-rule=‘rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept‘
    success
    //允许来自192.168.0.0/24地址的TFTP协议的IPV4连接,并且使用系统日志每分钟记录一次
  • [root@localhost ~]# firewall-cmd --add-rich-rule=‘rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject‘
    success
    [root@localhost ~]# firewall-cmd --add-rich-rule=‘rule family="ipv6" service name="radius" accept‘
    success
    //为RADIUS协议拒绝所有来自1:2:3:4:6::的新ipv6连接,日志前缀为“dns”,级别为“info”,并每分钟最多记录3次。接受来自其他发起端新的ipv6连接
  • [root@localhost ~]# firewall-cmd --add-rich-rule=‘rule family="ipv4" source address="192.168.2.2" accept‘
    success
    //将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接
  • [root@localhost ~]# firewall-cmd --zone=public --add-rich-rule=‘rule family=ipv4 source address=192.168.0.11/32 reject‘
    success
    //拒绝来自public区域中IP地址192.168.0.11的所有流量
  • [root@localhost ~]# firewall-cmd --add-rich-rule=‘rule protocol value="esp" drop‘
    success
    //丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包
  • [root@localhost ~]# firewall-cmd --zone=dmz --add-rich-rule=‘rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept‘
    success
    //在192.168.1.0/24子网的DMZ区域中,接收端口7900~7905的所有TCP包
  • [root@localhost ~]# firewall-cmd --zone=work --add-rich-rule=‘rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept‘
    success
    //接收从work区域到SSH的新连接,以notice级别且每分钟最多三条消息的方式将新连接记录到syslog
  • [root@localhost ~]# firewall-cmd --add-rich-rule=‘rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject‘ --timeout=300
    success
    //在接下来的5min内(通过--timeout=300配置项实现),拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接,并且拒绝的连接将记录到audit系统,且每小时最多一条消息

在实际环境中如何配置请参考保证Linux系统安全之配置firewalld防火墙的地址伪装及端口转发实例,可跟做!!!

以上是关于linux 配置防火墙 firewalld 屏蔽海外国外IP访问(服务器受到外网未知用户攻击,通过设置防火墙隔绝) 仅允许中国国内ip访问自己在公网上的服务器的主要内容,如果未能解决你的问题,请参考以下文章

linux下防火墙的配置:firewalld的管理

LInux防火墙Firewalld基础详细解读

保证Linux系统安全之firewalld防火墙配置地址伪装和端口转发详解

Linux防火墙基础(Firewalld命令的使用)

Linux 服务器 Firewalld 防火墙配置端口转发

Linux 服务器 Firewalld 防火墙配置端口转发