Linux网络——配置防火墙的相关命令
摘要:本文主要学习了如何在Linux系统中配置防火墙。
iptables命令
iptables准确来讲并不是防火墙,真正的防火墙是运行于系统内核中的netfilter,而iptables仅仅是操作netfilter的一个工具,其所负责的主要功能便是与用户交互,获取到用户的要求,并转化成netfilter可以接受的信息。
链的概念
当客户端访问服务器的WEB服务时,客户端是起点,WEB服务所监听的套接字(IP地址和端口)是终点。当WEB服务需要响应客户端请求时,WEB服务所监听的IP与端口变成了起点,客户端变成了终点。
如果想要防火墙能够达到防火的目的,就需要在内核中的netfilter框架里设置关卡,所有进出的报文都要通过这些关卡,经过检查后,符合放行条件的才能放行,符合阻拦条件的则需要被阻止,于是就出现了INPUT关卡和OUTPUT关卡。如果客户端发来的报文访问的目标地址不是本机,而是其他服务器,这个时候就会用到PREROUTING关卡、FORWARD关卡和POSTROUTING关卡。这些关卡在iptables中被称之为链。
简要说明:INPUT链、OUTPUT链主要用在“主机防火墙”中,即主要针对服务器本机惊醒保护的防火墙。FORWARD链、PREROUTING链、POSTROUTING链多用在“网络型防火墙”中,例如使用Linux防火墙作为网关服务器在公司与Inetnet之间进行安全控制。
链的详细说明:
INPUT链表示当收到访问防火墙本机地址的数据包(入站)时应用的规则。
OUTPUT链表示当防火墙本机向外发送数据包(出站)时应用的规则。
FORWARD链表示当接收到需要通过防火墙中转发送给其他地址的数据包(转发)时应用的规则。
PREROUTING链表示在对数据包做路由选择之前应用的规则。
POSTROUTING链表示在对数据包做路由选择之后应用的规则。
表的概念
每个经过这个关卡的报文,都要将这条链上的所有规则匹配一遍,如果有符合条件的规则,则执行规则对应的动作。但是每个链上的规则可能不止一个,所以把具有相同功能规则的集合叫做表,通过规则表管理规则。
默认的iptables规则表有:
filter表是iptables的默认表,用于过滤包,如果没有自定义表,那么就默认使用filter表。
nat表用于网络地址转换。
mangle表用于指定如何处理数据包,它能修改数据标记位。
raw表可以实现不追踪某些数据包,默认系统的数据包都会被追踪,用于处理异常。
security表用于强制访问控制(MAC)的网络规则,在CentOS中没有该表。
规则表应用优先级:security,raw,mangle,nat,filter。
各条规则的应用顺序:链内部的过滤遵循“匹配即停止”的原则,如果对比完整个链也没有找到和数据包匹配的规则,则会按照链的默认策略进行处理。
包过滤流程
安装
CentOS的版本7中,默认没有安装iptables工具,所以需要手动安装:
[root@localhost ~]# yum install -y iptables-services
...
=============================================================================================================================
Package 架构 版本 源 大小
=============================================================================================================================
正在安装:
iptables-services x86_64 1.4.-.el7 base k
为依赖而安装:
iptables x86_64 1.4.-.el7 base k
...
完毕!
[root@localhost ~]#
启动服务
使用管理服务的systemctl命令,启动并查看iptables服务:
[root@localhost ~]# systemctl status iptables
● iptables.service - IPv4 firewall with iptables
Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
Active: inactive (dead) 8月 :: localhost.localdomain systemd[]: Stopped IPv4 firewall with iptables.
8月 :: localhost.localdomain systemd[]: Stopped IPv4 firewall with iptables.
[root@localhost ~]# systemctl start iptables
[root@localhost ~]# systemctl status iptables
● iptables.service - IPv4 firewall with iptables
Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
Active: active (exited) since 五 -- :: CST; 2s ago
Process: ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=/SUCCESS)
Main PID: (code=exited, status=/SUCCESS) 8月 :: localhost.localdomain systemd[]: Starting IPv4 firewall with iptables...
8月 :: localhost.localdomain iptables.init[]: /usr/libexec/iptables/iptables.init:行22: /etc/init.d/func…或目录
8月 :: localhost.localdomain iptables.init[]: iptables: Applying firewall rules: /usr/libexec/iptables/i…到命令
8月 :: localhost.localdomain systemd[]: Started IPv4 firewall with iptables.
Hint: Some lines were ellipsized, use -l to show in full.
[root@localhost ~]#
基本语法
iptables [指定表] [选项] [条件] -j [策略]
指定表说明
-t 表名:用来指定操作的表,有filter、nat、mangle或raw,默认使用filter。
选项说明
查看的选项:
-L 链名:查看指定表指定链的规则,不指定链则查看指定表的所有规则。
-v:查看详细信息。
-n:以数字格式显示主机地址和端口号。
-x:显示计数器的精确值。
--line-numbers:查看规则时,显示其在链上的编号。
管理规则的选项:
-A 链名:添加新规则于指定链的尾部。
-I 链名 数字:添加新规则于指定链的指定位置,默认为首部。
-R 链名 数字:替换指定的规则为新的规则。
-D 链名 数字:根据规则编号删除规则。
管理链的选项:
-N 链名:新建一个自定义的规则链。
-X 链名:删除指定表指定自定义链的规则,不指定链则删除指定表的所有自定义链的规则。
-F 链名:清空指定表指定链的规则,不指定链则清空指定表的所有规则。
-E 原链名 新链名:重命名链。
-Z:清空链及链中默认规则的计数器。
-P 链名 策略, 设置链路的默认策略。
条件说明
-s IP地址:匹配源地址,这里不能指定主机名称,必须是IP。主要有3种,IP、IP/MASK、0.0.0.0/0.0.0.0。地址可以取反,加一个“!”表示除了哪个IP之外。
-d IP地址:匹配目标地址,规则同-s。
--sport 端口号-端口号:指定源端口,不能指定多个非连续端口,只能指定单个端口。
--dport 端口号-端口号:指定目标端口,规则同--sport。
-i 网卡:从指定网卡流入的数据,流入一般用在INPUT和PREROUTING上。
-o 网卡:从指定网卡流出的数据,流出一般在OUTPUT和POSTROUTING上。
-p 协议:匹配协议,这里的协议通常有3种,TCP、UDP、ICMP。
-m 端口号,端口号:表示启用多端口扩展。
策略说明
ACCEPT:接收数据包。
DROP:丢弃数据包。
REJECT:被拒绝时,提示被拒绝的原因。
REDIRECT:将数据包重新转向到本机或另一台主机的某一个端口,通常功能实现透明代理或对外开放内网的某些服务。
SNAT:源地址转换。
DNAT:目的地址转换。
MASQUERADE:IP伪装。
LOG:日志功能。
保存配置
[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ 确定 ]
[root@localhost ~]#
使用举例
查看规则:
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination
ACCEPT all -- * * 0.0.0.0/ 0.0.0.0/ state RELATED,ESTABLISHED
ACCEPT icmp -- * * 0.0.0.0/ 0.0.0.0/
ACCEPT all -- lo * 0.0.0.0/ 0.0.0.0/
ACCEPT tcp -- * * 0.0.0.0/ 0.0.0.0/ state NEW tcp dpt:
REJECT all -- * * 0.0.0.0/ 0.0.0.0/ reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination
REJECT all -- * * 0.0.0.0/ 0.0.0.0/ reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination
[root@localhost ~]#
添加规则:
[root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport -j ACCEPT
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination
ACCEPT all -- * * 0.0.0.0/ 0.0.0.0/ state RELATED,ESTABLISHED
ACCEPT icmp -- * * 0.0.0.0/ 0.0.0.0/
ACCEPT all -- lo * 0.0.0.0/ 0.0.0.0/
ACCEPT tcp -- * * 0.0.0.0/ 0.0.0.0/ state NEW tcp dpt:
REJECT all -- * * 0.0.0.0/ 0.0.0.0/ reject-with icmp-host-prohibited
ACCEPT tcp -- * * 0.0.0.0/ 0.0.0.0/ state NEW tcp dpt: Chain FORWARD (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination
REJECT all -- * * 0.0.0.0/ 0.0.0.0/ reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination
[root@localhost ~]#
删除规则:
[root@localhost ~]# iptables -D INPUT
[root@localhost ~]# iptables -t filter -nvL
Chain INPUT (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination
ACCEPT all -- * * 0.0.0.0/ 0.0.0.0/ state RELATED,ESTABLISHED
ACCEPT icmp -- * * 0.0.0.0/ 0.0.0.0/
ACCEPT all -- lo * 0.0.0.0/ 0.0.0.0/
ACCEPT tcp -- * * 0.0.0.0/ 0.0.0.0/ state NEW tcp dpt:
REJECT all -- * * 0.0.0.0/ 0.0.0.0/ reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination
REJECT all -- * * 0.0.0.0/ 0.0.0.0/ reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT packets, bytes)
pkts bytes target prot opt in out source destination
[root@localhost ~]#
firewalld命令
在CentOS系统的版本7中,firewalld防火墙取代了iptables防火墙,作为系统中netfilter内核模块的管理工具。firewalld使用了daemon和service替代了iptables的service部分,其底层还是使用iptables的command作为防火墙规则管理入口。
同iptables比较
firewalld跟iptables比起来至少有两大好处:
1)firewalld支持动态更新规则。使用iptables时,每一个单独的更改都需要清空旧的规则并重新读取所有规则,这种方式被称为静态防火墙件。而使用firewalld修改规则后,不需要重新加载所有规则,只需要将变更部分保存并更新到运行中的iptables即可,这种方式被称为动态防火墙。
2)firewalld使用区域和服务而不是链式规则。即使不明白“五张表五条链”,而且对TCP/IP协议也不理解也可以实现大部分功能,在使用上要比iptables人性化很多。
配置方式
firewalld的配置方法主要有三种:图形化工具、命令行工具、配置文件。
配置文件
firewalld的配置文件有两个存储位置:
/etc/firewalld/:用于用户创建和自定义配置文件,覆盖默认配置。
/usr/lib/firewalld/:用于默认和备用配置。
firewalld的配置文件结构非常简单,主要包含两个文件和三个目录:
文件firewalld.conf是主配置文件,只有5个配置项:
)DefaultZone表示使用的zone。默认值为public。
)MinimalMark表示标记的最小值。默认值为100。
)CleanupOnExit表示当退出firewalld后是否清除防火墙规则。默认值为yes。
)Lockdown表示是否可以通过lockdown-whitelist.xml文件操作firewalld。默认值为no。
)IPv6_rpfilter用来判断所接受到的包是否是伪造的。默认值为yes。
文件lockdown-whitelist.xml规定了当Lockdown为yes的时候,哪些程序可以对firewalld进行操作。
文件direct.xml使用类似iptables的语法来进行规则的增删,如果用到direct就会有这个文件。
目录zones用来保存zone配置文件。
目录services用来保存service配置文件。
目录icmptypes用来保存和icmp类型相关的配置文件。
区域(zone)说明
所谓的区域就是一个信赖等级,某一等级下对应有一套规则集。划分方法包括:网络接口、IP地址、端口号等等。
一般情况下,会有如下的这些默认区域:
drop:丢弃所有进入的数据包。
block:拒绝所有进入的数据包。
public:只接受部分选定的数据包。
external:应用在NAT设定时的对外网络。
dmz:非军事区。
work:使用在公司环境。
home:使用在家庭环境。
internal:应用在NAT设定时的对内网络。
trusted:接受所有的数据包。
查看用户配置目录里的zone配置文件:
[root@localhost ~]# ls /etc/firewalld/zones
public.xml
[root@localhost ~]#
查看public.xml配置文件的内容:
[root@localhost ~]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
</zone>
[root@localhost ~]#
可以看到配置文件中仅开放了 dhcpv6-client 服务和 ssh 服务。
服务(service)说明
iptables时代习惯使用端口号来匹配规则,但是如果某一个服务的端口号改变了,那就要同时更改iptables的规则,十分不方便,同时也不方便阅读理解。
service配置文件使用服务名来命名,比如ssh的配置文件是ssh.xml,可以通过修改配置文件的内容来实现对规则的修改。
查看ssh.xml配置文件的内容:
[root@localhost ~]# cat /usr/lib/firewalld/services/ssh.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>SSH</short>
<description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
<port protocol="tcp" port=""/>
</service>
[root@localhost ~]#
名词解释
target:策略,当区域在处理包的时候,如果没有显式指明策略,则使用区域的target表示的策略。有四个可选值:default(不处理并返回上一级)、ACCEPT(通过)、%%REJECT%%(拒绝并回复)、DROP(丢弃不回复),默认为default。
service:服务。
port:端口,使用port可以不通过service而直接对端口进行设置。
interface:接口,可以理解为网卡。
source:源地址,可以是ip地址也可以是ip地址段。
icmp-block:icmp报文阻塞,可以按照icmp类型进行设置。
masquerade:ip地址伪装,也就是按照源网卡地址进行NAT转发。
forward-port:端口转发。
rule:自定义规则。
匹配zone
对于一个接受到的请求具体使用哪个zone,firewalld是通过三种方法来判断的:
1)source,请求报文的源地址。
2)interface,接收请求的网卡。
3)firewalld.conf中配置的默认zone。
基本语法
firewall-cmd [--zone=区域] [--permanent] [选项]
可选配置说明
--zone:指定区域,不指定则使用默认区域。
--permanent:是否将改动写入到区域配置文件中。
选项说明
查看和更改状态:
--state:查看防火墙的状态。
--reload:重新加载防火墙,中断用户的连接,将临时配置清掉,加载配置文件中的永久配置。
--complete-reload:重新加载防火墙,不中断用户的连接(防火墙出严重故障时使用)。
使用应急模式:
--panic-on:开启紧急模式,强制关闭所有网络连接。
--panic-off:关闭紧急模式。
--query-panic:查看是否为应急模式。
查看和操作区域:
--get-zones:查看所有区域。
--get-default-zone:查看默认的区域。
--set-default-zone=区域:更改默认的区域。
--get-active-zones:查看正在使用的区域。
查看区域配置:
--list-all:查看区域的所有配置,类似于iptables -nL。
--list-all-zones:查看所有区域的所有配置。
反向查询区域:
firewall-cmd --get-zone-of-interface=接口:根据接口查询区域。
firewall-cmd --get-zone-of-source=IP地址/子网掩码:根据地址查询区域。
操作区域绑定的地址:
--list-sources:查看区域绑定的地址。
--add-source=IP地址/子网掩码:添加地址绑定的区域,地址绑定过则报错。
--remove-source=IP地址/子网掩码:删除地址绑定的区域。
--change-source=IP地址/子网掩码:更新地址绑定的区域,地址没有绑定则添加。
--query-source=IP地址/子网掩码:查询地址和区域是否绑定。
操作区域开放的接口:
--list-interfaces:查看区域开放的接口。
--add-interface=接口:添加区域开放的接口。
--remove-interface=接口:删除区域开放的接口。
--change-interface=接口:更新区域开放的接口。
--query-interface=接口:查询区域是否开放接口。
配置区域的策略:
--get-target:查询区域的策略。--permanent是必选的。
--set-target=策略:设置区域的策略。--permanent是必选的。
配置区域的服务:
--list-services:查看区域启用的服务。
--add-service=服务:在区域启用服务。
--remove-service=服务:在区域禁用服务。
--query-service=服务:查看区域是否启用服务。
配置区域的端口:
--list-ports:查看区域启用的端口。
--add-port=端口号/协议:在区域启用端口。
--remove-port=端口号/协议:在区域禁用端口。
--query-port=端口号/协议:查看区域是否启用端口。
配置区域的端口转发:
--list-forward-ports:查看区域的端口转发。
--add-forward-port=port=本地端口号:proto=协议:toport=目标端口号:toaddr=目标IP/子网掩码:添加区域的端口转发。
--remove-forward-port=port=本地端口号:proto=协议:toport=目标端口号:toaddr=目标IP/子网掩码:删除区域的端口转发。
--query-forward-port=port=本地端口号:proto=协议:toport=目标端口号:toaddr=目标IP/子网掩码:查询区域是否有端口转发。
配置区域按照icmp类型进行阻塞:
--list-icmp-blocks:查看区域阻塞的icmp类型。
--add-icmp-blocks=icmptype:添加区域阻塞的icmp类型。
--remove-icmp-blocks=icmptype:删除区域阻塞的icmp类型。
--query-icmp-blocks=icmptype:查询icmp类型是否在区域阻塞。
配置地址转换:
--add-masquerade:开启SNAT(源地址转换)。
--remove-masquerade:关闭SNAT(源地址转换)。
--query-masquerade:查询SNAT(源地址转换)是否开启。
通过rich规则配置区域:
--list-rich-rules:查看rich规则。
--add-rich-rule='rich规则':添加rich规则。
--remove-rich-rule='rich规则':删除rich规则。
--query-rich-rule='rich规则':查询查看单条rich规则。