Linux学习笔记--12(iptables与firewalld)
防火墻管理
在公網與企業內網之間充當保護屏障的防火墻,雖然有軟件或硬件之分,但主要功能都是依據策略對穿越防火墻自身的流量進行過濾。
防火墻策略可以基于流量的源目地址、端口號、協議、應用等信息來定制,然后防火墻使用預先定制的策略規則監控出入的流量,若流量與某一條策略規則相匹配,則執行相應的處理,反之則丟棄。這樣一來,就能夠保證僅有合法的流量在企業內網和外部公網之間流動了。
防火墻會按照從上到下的順序來讀取配置的策略規則,在找到匹配項后就立即結束匹配工作并去執行匹配項中定義的行為(即放行或阻止)。
如果在讀取完所有的策略規則之后沒有匹配項,就去執行默認的策略。
一般防火墻策略規則的設置有兩種:“通”(即放行)和“堵”(即阻止)。
當防火墻的默認策略為拒絕時(堵),就要設置允許規則(通),否則誰都進不來;如果防火墻的默認策略為允許,就要設置拒絕規則,否則誰都能進來,防火墻也就失去了防范的作用。
iptables
iptables服務會把配置好的防火墻策略交由內核層面的netfilter網絡過濾器來處理。
iptables服務把用于處理或過濾流量的策略條目稱之為規則,多條規則可以組成一個規則鏈,而規則鏈則依據數據包處理位置的不同進行分類,具體如下:
在進行路由選擇前處理數據包(PREROUTING);
處理流入的數據包(INPUT);
處理流出的數據包(OUTPUT);
處理轉發的數據包(FORWARD);
在進行路由選擇后處理數據包(POSTROUTING)
iptables服務的術語中分別是:
ACCEPT(允許流量通過)、REJECT(拒絕流量通過)、LOG(記錄日志信息)、DROP(拒絕流量通過)。“允許流量通過”和“記錄日志信息”都比較好理解,這里需要著重講解的是REJECT和DROP的不同點。就DROP來說,它是直接將流量丟棄而且不響應;REJECT則會在拒絕流量后再回復一條“信息已經收到,但是被扔掉了”信息,從而讓流量發送方清晰地看到數據被拒絕的響應信息。
如:默認的時候INPUT是 accept。可以ping通
我們改成默認的為drop,則ping不通
iptables 基本命令參數
iptables中常用的參數以及作用
如:查看,清空
防火墻策略規則的設置無非有兩種方式:“通”和“堵”。
當把INPUT鏈設置為默認拒絕后,就要往里面寫入允許策略了,否則所有流入的數據包都會被默認拒絕掉。
注意:規則鏈的默認策略拒絕動作只能是DROP,而不能是REJECT。
如:向INPUT鏈中添加允許ICMP流量進入的策略規則。
如:我們默認的INPUT是DROP,添加只允許指定網段的主機訪問本機的22端口
如:添加拒絕所有主機訪問本機1000~1024端口的策略規則
保存
firewalld
firewalld服務則是把配置好的防火墻策略交由內核層面的nftables包過濾框架來處理。
firewalld(Dynamic Firewall Manager of Linux systems,Linux系統的動態防火墻管理器)服務是默認的防火墻配置管理工具,它擁有基于CLI(命令行界面)和基于GUI(圖形用戶界面)的兩種管理方式。
firewalld支持動態更新技術并加入了區域(zone)的概念。簡單來說,區域就是firewalld預先準備了幾套防火墻策略集合(策略模板),用戶可以根據生產場景的不同而選擇合適的策略集合,從而實現防火墻策略之間的快速切換。
firewalld中常用的區域名稱及策略規則
trusted:是放行所有,再配置拒絕。drop:則是拒絕所有再配置放行。
firewall-cmd終端管理工具
firewall-cmd是firewalld防火墻配置管理工具的CLI(命令行界面)版本。它的參數一般都是以“長格式”來提供的。
RHEL8中可用Tab鍵自動補齊命令或文件名等內容之外,還可以用Tab鍵來補齊長格式參數。
firewall-cmd命令中使用的參數以及作用
firewalld配置的有兩種模式:
運行時(Runtime)模式,又稱為當前生效模式,而且會隨著系統的重啟而失效,防火墻策略默認模式。
永久(Permanent)模式了,方法就是在用firewall-cmd命令正常設置防火墻策略時添加–permanent參數,這樣配置的防火墻策略就可以永久生效了。但是永久模式需要重啟才可以。如果想讓配置的策略立即生效,需要手動執行firewall-cmd --reload命令。
注:
Runtime:當前立即生效,重啟后失效。
Permanent:當前不生效,重啟后生效。
如:查看默認區域和修改默認區域
緊急情況:使用–panic-on參數會立即切斷一切網絡連接,而使用–panic-off則會恢復網絡連接。
查詢,移除(拒絕),添加(放行)
把原本訪問本機888端口的流量轉發到22端口,要且求當前和長期均有效。
使用firewall-cmd命令實現端口轉發的格式有點長:
firewall-cmd --permanent --zone=<區域> --add-forward-port=port=<源端口號>:proto=<協議>:toport=<目標端口號>:toaddr=<目標IP地址>
富規則:
富規則也叫復規則,表示更細致、更詳細的防火墻策略配置,它可以針對系統服務、端口號、源地址和目標地址等諸多信息進行更有針對性的策略配置。它的優先級在所有的防火墻策略中也是最高的。
如:使其拒絕192.168.115.0/24網段的所有用戶訪問本機的ssh服務(22端口),之前的可以現在不行了。
firewall-config 圖形管理工具
firewall-config是firewalld防火墻配置管理工具的GUI(圖形用戶界面),幾乎可以實現所有以命令行來執行的操作。但在默認情況下系統并沒有提供firewall-config命令,我們需要自行用dnf命令進行安裝,所以需要先配置軟件倉庫。
安裝成功后,firewall-config工具其功能具體如下:
1:選擇運行時(Runtime)或永久(Permanent)模式的配置。
2:可選的策略集合區域列表。
3:常用的系統服務列表。
4:主機地址的黑白名單。
5:當前正在使用的區域。
6:管理當前被選中區域中的服務。
7:管理當前被選中區域中的端口。
8:設置允許被訪問的協議。
9:設置允許被訪問的端口。
10:開啟或關閉SNAT(源網絡地址轉換)技術。
11:設置端口轉發策略。
12:控制請求icmp服務的流量。
13:管理防火墻的富規則。
14:被選中區域的服務,若勾選了相應服務前面的復選框,則表示允許與之相關的流量。
15:firewall-config工具的運行狀態。
使用firewall-config工具配置完防火墻策略之后,無須進行二次確認,因為只要有修改內容,它就自動進行保存。
先將當前區域中請求http服務的流量設置為允許放行,但僅限當前生效
嘗試添加一條防火墻策略規則,使其放行訪問8080~8088端口(TCP協議)的流量,并將其設置為永久生效,以達到系統重啟后防火墻策略依然生效的目的
局域網中有多臺PC,如果網關服務器沒有應用SNAT技術,則互聯網中的網站服務器在收到PC的請求數據包,并回送響應數據包時,將無法在網絡中找到這個私有網絡的IP地址,所以PC也就收不到響應數據包了。在局域網中,由于網關服務器應用了SNAT技術,所以互聯網中的網站服務器會將響應數據包發給網關服務器,再由后者轉發給局域網中的PC。
在firewall-config中用戶只需選中Masquerade zone復選框,就自動開啟了SNAT技術。
將本機888端口的流量轉發到22端口,且要求當前和長期均有效
富規則配置:
照片見證
總結
以上是生活随笔為你收集整理的Linux学习笔记--12(iptables与firewalld)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 红蓝军对抗
- 下一篇: linux常用的引导管理器,多重引导管理