Linux网络——配置防火墙的相关命令
摘要:本文主要学习了如何在Linux系统中配置防火墙。
iptables命令
iptables准确来讲并不是防火墙,真正的防火墙是运行于系统内核中的netfilter,而iptables仅仅是操作netfilter的一个工具,其所负责的主要功能便是与用户交互,获取到用户的要求,并转化成netfilter可以接受的信息。
链的概念
当客户端访问服务器的WEB服务时,客户端是起点,WEB服务所监听的套接字(IP地址和端口)是终点。当WEB服务需要响应客户端请求时,WEB服务所监听的IP与端口变成了起点,客户端变成了终点。
如果想要防火墙能够达到防火的目的,就需要在内核中的netfilter框架里设置关卡,所有进出的报文都要通过这些关卡,经过检查后,符合放行条件的才能放行,符合阻拦条件的则需要被阻止,于是就出现了INPUT关卡和OUTPUT关卡。如果客户端发来的报文访问的目标地址不是本机,而是其他服务器,这个时候就会用到PREROUTING关卡、FORWARD关卡和POSTROUTING关卡。这些关卡在iptables中被称之为链。
简要说明:INPUT链、OUTPUT链主要用在“主机防火墙”中,即主要针对服务器本机惊醒保护的防火墙。FORWARD链、PREROUTING链、POSTROUTING链多用在“网络型防火墙”中,例如使用Linux防火墙作为网关服务器在公司与Inetnet之间进行安全控制。
链的详细说明:
1 INPUT链表示当收到访问防火墙本机地址的数据包(入站)时应用的规则。 2 OUTPUT链表示当防火墙本机向外发送数据包(出站)时应用的规则。 3 FORWARD链表示当接收到需要通过防火墙中转发送给其他地址的数据包(转发)时应用的规则。 4 PREROUTING链表示在对数据包做路由选择之前应用的规则。 5 POSTROUTING链表示在对数据包做路由选择之后应用的规则。
表的概念
每个经过这个关卡的报文,都要将这条链上的所有规则匹配一遍,如果有符合条件的规则,则执行规则对应的动作。但是每个链上的规则可能不止一个,所以把具有相同功能规则的集合叫做表,通过规则表管理规则。
默认的iptables规则表有:
1 filter表是iptables的默认表,用于过滤包,如果没有自定义表,那么就默认使用filter表。 2 nat表用于网络地址转换。 3 mangle表用于指定如何处理数据包,它能修改数据标记位。 4 raw表可以实现不追踪某些数据包,默认系统的数据包都会被追踪,用于处理异常。 5 security表用于强制访问控制(MAC)的网络规则,在CentOS中没有该表。
规则表应用优先级:security,raw,mangle,nat,filter。
各条规则的应用顺序:链内部的过滤遵循“匹配即停止”的原则,如果对比完整个链也没有找到和数据包匹配的规则,则会按照链的默认策略进行处理。
包过滤流程
安装
CentOS的版本7中,默认没有安装iptables工具,所以需要手动安装:
1 [root@localhost ~]# yum install -y iptables-services 2 ... 3 ============================================================================================================================= 4 Package 架构 版本 源 大小 5 ============================================================================================================================= 6 正在安装: 7 iptables-services x86_64 1.4.21-28.el7 base 52 k 8 为依赖而安装: 9 iptables x86_64 1.4.21-28.el7 base 433 k 10 ... 11 完毕! 12 [root@localhost ~]#
启动服务
使用管理服务的systemctl命令,启动并查看iptables服务:
1 [root@localhost ~]# systemctl status iptables 2 ● iptables.service - IPv4 firewall with iptables 3 Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled) 4 Active: inactive (dead) 5 6 8月 16 10:38:38 localhost.localdomain systemd[1]: Stopped IPv4 firewall with iptables. 7 8月 16 10:39:29 localhost.localdomain systemd[1]: Stopped IPv4 firewall with iptables. 8 [root@localhost ~]# systemctl start iptables 9 [root@localhost ~]# systemctl status iptables 10 ● iptables.service - IPv4 firewall with iptables 11 Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled) 12 Active: active (exited) since 五 2019-08-16 10:41:24 CST; 2s ago 13 Process: 1582 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS) 14 Main PID: 1582 (code=exited, status=0/SUCCESS) 15 16 8月 16 10:41:24 localhost.localdomain systemd[1]: Starting IPv4 firewall with iptables... 17 8月 16 10:41:24 localhost.localdomain iptables.init[1582]: /usr/libexec/iptables/iptables.init:行22: /etc/init.d/func…或目录 18 8月 16 10:41:24 localhost.localdomain iptables.init[1582]: iptables: Applying firewall rules: /usr/libexec/iptables/i…到命令 19 8月 16 10:41:24 localhost.localdomain systemd[1]: Started IPv4 firewall with iptables. 20 Hint: Some lines were ellipsized, use -l to show in full. 21 [root@localhost ~]#
基本语法
1 iptables [指定表] [选项] [条件] -j [策略]
指定表说明
1 -t 表名:用来指定操作的表,有filter、nat、mangle或raw,默认使用filter。
选项说明
查看的选项:
1 -L 链名:查看指定表指定链的规则,不指定链则查看指定表的所有规则。 2 -v:查看详细信息。 3 -n:以数字格式显示主机地址和端口号。 4 -x:显示计数器的精确值。 5 --line-numbers:查看规则时,显示其在链上的编号。
管理规则的选项:
1 -A 链名:添加新规则于指定链的尾部。 2 -I 链名 数字:添加新规则于指定链的指定位置,默认为首部。 3 -R 链名 数字:替换指定的规则为新的规则。 4 -D 链名 数字:根据规则编号删除规则。
管理链的选项:
1 -N 链名:新建一个自定义的规则链。 2 -X 链名:删除指定表指定自定义链的规则,不指定链则删除指定表的所有自定义链的规则。 3 -F 链名:清空指定表指定链的规则,不指定链则清空指定表的所有规则。 4 -E 原链名 新链名:重命名链。 5 -Z:清空链及链中默认规则的计数器。 6 -P 链名 策略, 设置链路的默认策略。
条件说明
1 -s IP地址:匹配源地址,这里不能指定主机名称,必须是IP。主要有3种,IP、IP/MASK、0.0.0.0/0.0.0.0。地址可以取反,加一个“!”表示除了哪个IP之外。 2 -d IP地址:匹配目标地址,规则同-s。 3 --sport 端口号-端口号:指定源端口,不能指定多个非连续端口,只能指定单个端口。 4 --dport 端口号-端口号:指定目标端口,规则同--sport。 5 -i 网卡:从指定网卡流入的数据,流入一般用在INPUT和PREROUTING上。 6 -o 网卡:从指定网卡流出的数据,流出一般在OUTPUT和POSTROUTING上。 7 -p 协议:匹配协议,这里的协议通常有3种,TCP、UDP、ICMP。 8 -m 端口号,端口号:表示启用多端口扩展。
策略说明
1 ACCEPT:接收数据包。 2 DROP:丢弃数据包。 3 REJECT:被拒绝时,提示被拒绝的原因。 4 REDIRECT:将数据包重新转向到本机或另一台主机的某一个端口,通常功能实现透明代理或对外开放内网的某些服务。 5 SNAT:源地址转换。 6 DNAT:目的地址转换。 7 MASQUERADE:IP伪装。 8 LOG:日志功能。
保存配置
1 [root@localhost ~]# service iptables save 2 iptables: Saving firewall rules to /etc/sysconfig/iptables:[ 确定 ] 3 [root@localhost ~]#
使用举例
查看规则:
1 [root@localhost ~]# iptables -nvL 2 Chain INPUT (policy ACCEPT 0 packets, 0 bytes) 3 pkts bytes target prot opt in out source destination 4 584 45376 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 5 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 6 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 7 1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 8 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 9 10 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) 11 pkts bytes target prot opt in out source destination 12 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 13 14 Chain OUTPUT (policy ACCEPT 4 packets, 464 bytes) 15 pkts bytes target prot opt in out source destination 16 [root@localhost ~]#
添加规则:
1 [root@localhost ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT 2 [root@localhost ~]# iptables -nvL 3 Chain INPUT (policy ACCEPT 0 packets, 0 bytes) 4 pkts bytes target prot opt in out source destination 5 754 57856 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 6 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 7 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 8 1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 9 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 10 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:3306 11 12 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) 13 pkts bytes target prot opt in out source destination 14 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 15 16 Chain OUTPUT (policy ACCEPT 4 packets, 592 bytes) 17 pkts bytes target prot opt in out source destination 18 [root@localhost ~]#
删除规则:
1 [root@localhost ~]# iptables -D INPUT 6 2 [root@localhost ~]# iptables -t filter -nvL 3 Chain INPUT (policy ACCEPT 0 packets, 0 bytes) 4 pkts bytes target prot opt in out source destination 5 807 61588 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 6 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 7 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 8 1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 9 1 229 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 10 11 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) 12 pkts bytes target prot opt in out source destination 13 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 14 15 Chain OUTPUT (policy ACCEPT 19 packets, 2004 bytes) 16 pkts bytes target prot opt in out source destination 17 [root@localhost ~]#
firewalld命令
在CentOS系统的版本7中,firewalld防火墙取代了iptables防火墙,作为系统中netfilter内核模块的管理工具。firewalld使用了daemon和service替代了iptables的service部分,其底层还是使用iptables的command作为防火墙规则管理入口。
同iptables比较
firewalld跟iptables比起来至少有两大好处:
1)firewalld支持动态更新规则。使用iptables时,每一个单独的更改都需要清空旧的规则并重新读取所有规则,这种方式被称为静态防火墙件。而使用firewalld修改规则后,不需要重新加载所有规则,只需要将变更部分保存并更新到运行中的iptables即可,这种方式被称为动态防火墙。
2)firewalld使用区域和服务而不是链式规则。即使不明白“五张表五条链”,而且对TCP/IP协议也不理解也可以实现大部分功能,在使用上要比iptables人性化很多。
配置方式
firewalld的配置方法主要有三种:图形化工具、命令行工具、配置文件。
配置文件
firewalld的配置文件有两个存储位置:
1 /etc/firewalld/:用于用户创建和自定义配置文件,覆盖默认配置。 2 /usr/lib/firewalld/:用于默认和备用配置。
firewalld的配置文件结构非常简单,主要包含两个文件和三个目录:
1 文件firewalld.conf是主配置文件,只有5个配置项: 2 1)DefaultZone表示使用的zone。默认值为public。 3 2)MinimalMark表示标记的最小值。默认值为100。 4 3)CleanupOnExit表示当退出firewalld后是否清除防火墙规则。默认值为yes。 5 4)Lockdown表示是否可以通过lockdown-whitelist.xml文件操作firewalld。默认值为no。 6 5)IPv6_rpfilter用来判断所接受到的包是否是伪造的。默认值为yes。 7 文件lockdown-whitelist.xml规定了当Lockdown为yes的时候,哪些程序可以对firewalld进行操作。 8 文件direct.xml使用类似iptables的语法来进行规则的增删,如果用到direct就会有这个文件。 9 目录zones用来保存zone配置文件。 10 目录services用来保存service配置文件。 11 目录icmptypes用来保存和icmp类型相关的配置文件。
区域(zone)说明
所谓的区域就是一个信赖等级,某一等级下对应有一套规则集。划分方法包括:网络接口、IP地址、端口号等等。
一般情况下,会有如下的这些默认区域:
1 drop:丢弃所有进入的数据包。 2 block:拒绝所有进入的数据包。 3 public:只接受部分选定的数据包。 4 external:应用在NAT设定时的对外网络。 5 dmz:非军事区。 6 work:使用在公司环境。 7 home:使用在家庭环境。 8 internal:应用在NAT设定时的对内网络。 9 trusted:接受所有的数据包。
查看用户配置目录里的zone配置文件:
1 [root@localhost ~]# ls /etc/firewalld/zones 2 public.xml 3 [root@localhost ~]#
查看public.xml配置文件的内容:
1 [root@localhost ~]# cat /etc/firewalld/zones/public.xml 2 "1.0" encoding="utf-8"?> 34 <short>Publicshort> 5 9 [root@localhost ~]#For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted. 6"dhcpv6-client"/> 7 "ssh"/> 8
可以看到配置文件中仅开放了 dhcpv6-client 服务和 ssh 服务。
服务(service)说明
iptables时代习惯使用端口号来匹配规则,但是如果某一个服务的端口号改变了,那就要同时更改iptables的规则,十分不方便,同时也不方便阅读理解。
service配置文件使用服务名来命名,比如ssh的配置文件是ssh.xml,可以通过修改配置文件的内容来实现对规则的修改。
查看ssh.xml配置文件的内容:
1 [root@localhost ~]# cat /usr/lib/firewalld/services/ssh.xml 2 "1.0" encoding="utf-8"?> 34 <short>SSHshort> 5 8 [root@localhost ~]#Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful. 6"tcp" port="22"/> 7
名词解释
target:策略,当区域在处理包的时候,如果没有显式指明策略,则使用区域的target表示的策略。有四个可选值:default(不处理并返回上一级)、ACCEPT(通过)、%%REJECT%%(拒绝并回复)、DROP(丢弃不回复),默认为default。
service:服务。
port:端口,使用port可以不通过service而直接对端口进行设置。
interface:接口,可以理解为网卡。
source:源地址,可以是ip地址也可以是ip地址段。
icmp-block:icmp报文阻塞,可以按照icmp类型进行设置。
masquerade:ip地址伪装,也就是按照源网卡地址进行NAT转发。
forward-port:端口转发。
rule:自定义规则。
匹配zone
对于一个接受到的请求具体使用哪个zone,firewalld是通过三种方法来判断的:
1)source,请求报文的源地址。
2)interface,接收请求的网卡。
3)firewalld.conf中配置的默认zone。
基本语法
1 firewall-cmd [--zone=区域] [--permanent] [选项]
可选配置说明
1 --zone:指定区域,不指定则使用默认区域。 2 --permanent:是否将改动写入到区域配置文件中。
选项说明
查看和更改状态:
1 --state:查看防火墙的状态。 2 --reload:重新加载防火墙,中断用户的连接,将临时配置清掉,加载配置文件中的永久配置。 3 --complete-reload:重新加载防火墙,不中断用户的连接(防火墙出严重故障时使用)。
使用应急模式:
1 --panic-on:开启紧急模式,强制关闭所有网络连接。 2 --panic-off:关闭紧急模式。 3 --query-panic:查看是否为应急模式。
查看和操作区域:
1 --get-zones:查看所有区域。 2 --get-default-zone:查看默认的区域。 3 --set-default-zone=区域:更改默认的区域。 4 --get-active-zones:查看正在使用的区域。
查看区域配置:
1 --list-all:查看区域的所有配置,类似于iptables -nL。 2 --list-all-zones:查看所有区域的所有配置。
反向查询区域:
1 firewall-cmd --get-zone-of-interface=接口:根据接口查询区域。 2 firewall-cmd --get-zone-of-source=IP地址/子网掩码:根据地址查询区域。
操作区域绑定的地址:
1 --list-sources:查看区域绑定的地址。 2 --add-source=IP地址/子网掩码:添加地址绑定的区域,地址绑定过则报错。 3 --remove-source=IP地址/子网掩码:删除地址绑定的区域。 4 --change-source=IP地址/子网掩码:更新地址绑定的区域,地址没有绑定则添加。 5 --query-source=IP地址/子网掩码:查询地址和区域是否绑定。
操作区域开放的接口:
1 --list-interfaces:查看区域开放的接口。 2 --add-interface=接口:添加区域开放的接口。 3 --remove-interface=接口:删除区域开放的接口。 4 --change-interface=接口:更新区域开放的接口。 5 --query-interface=接口:查询区域是否开放接口。
配置区域的策略:
1 --get-target:查询区域的策略。--permanent是必选的。 2 --set-target=策略:设置区域的策略。--permanent是必选的。
配置区域的服务:
1 --list-services:查看区域启用的服务。 2 --add-service=服务:在区域启用服务。 3 --remove-service=服务:在区域禁用服务。 4 --query-service=服务:查看区域是否启用服务。
配置区域的端口:
1 --list-ports:查看区域启用的端口。 2 --add-port=端口号/协议:在区域启用端口。 3 --remove-port=端口号/协议:在区域禁用端口。 4 --query-port=端口号/协议:查看区域是否启用端口。
配置区域的端口转发:
1 --list-forward-ports:查看区域的端口转发。 2 --add-forward-port=port=本地端口号:proto=协议:toport=目标端口号:toaddr=目标IP/子网掩码:添加区域的端口转发。 3 --remove-forward-port=port=本地端口号:proto=协议:toport=目标端口号:toaddr=目标IP/子网掩码:删除区域的端口转发。 4 --query-forward-port=port=本地端口号:proto=协议:toport=目标端口号:toaddr=目标IP/子网掩码:查询区域是否有端口转发。
配置区域按照icmp类型进行阻塞:
1 --list-icmp-blocks:查看区域阻塞的icmp类型。 2 --add-icmp-blocks=icmptype:添加区域阻塞的icmp类型。 3 --remove-icmp-blocks=icmptype:删除区域阻塞的icmp类型。 4 --query-icmp-blocks=icmptype:查询icmp类型是否在区域阻塞。
配置地址转换:
1 --add-masquerade:开启SNAT(源地址转换)。 2 --remove-masquerade:关闭SNAT(源地址转换)。 3 --query-masquerade:查询SNAT(源地址转换)是否开启。
通过rich规则配置区域:
1 --list-rich-rules:查看rich规则。 2 --add-rich-rule='rich规则':添加rich规则。 3 --remove-rich-rule='rich规则':删除rich规则。 4 --query-rich-rule='rich规则':查询查看单条rich规则。