Linux具有较强的安全性控制,与其本身的安全策略和防火墙控制是分不开的。提起Linux的安全,就不得不说到Linux安全的重要组成部件:selinux、firewall、iptables。在centos7中firewall取代了iptables,在此之前则主要是通过iptables来控制
Linux防火墙体系主要工作在传输层,针对TCP、UDP数据段实施过滤和限制,属于典型的包过滤防火墙(或称为传输层防火墙)
Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此得到广泛的应用
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4,IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
运行时配置(一般测试的时候使用)
永久配置
iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置类iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作
位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”
CentOS 7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“用户态”
centos7有firewalld,iptables
centos6是iptables
图形化管理工具 firewall-config
命令管理工具:iptables(操作复杂) firewall-cmd
netfilter是主要的工作模块,位于内核中,在网络层的五个位置(就是防火墙四表五链中的五链)注册了一些函数,用来抓取数据包
将数据包的信息拿出来匹配各个链位置在对应表中的规则:匹配之后,进行相应的处理ACCEPT,DROP等等
链就是位置:共有五个
进路由(PREROUTING)
进系统(INPUT)
转发(FORWARN)
出系统(OUTPUT)
出路由(POSTROUTING)
表就是存储的规则
数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行,丢弃,转发还是修改等操作
filter表——过滤数据包(filter是默认的表,在使用iptables命令进行配置规则的时候,不特指其他的表就会默认filter)
Nat表——用于网络地址转换(IP,端口)
Mangle表——修改数据包的服务类型,TTL,并且可以配置路由实现QOS
Raw表——决定数据包是否被状态跟踪机制处理
INPUT链——进来的数据包应用此规则链中的策略
OUTPUT链——外出的数据包应用此规则链中的策略
FORWARD链——转发数据包时应用此规则链中的策略
PREROUTING链——对数据包做路由选择前应用此规则链中的规则(所有的数据包进来的时候都先由这个链处理)
POSTROUTING链——对数据包作路由选择后应用此规则链中的规则(所有的数据包出来的时候都先由这个链处理)
表包含链
链包含规则
iptables语法格式
iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
如果不指定表名,则会默认指定filter表
iptables常用参数
-P 设置默认策略:iptables
-P INPUT(DROP|ACCEPT)
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址IP/MASK,加感叹号“!”表示除了这个IP外
-d
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如tcp,udp,icmp
--dport num 匹配目标端口号
--sport num 匹配来源端口号
iptables命令使用总结
所有链名必须大写
INPUT/OUTPUT/FORWARD/PREROUTING/POSTROUTING
所有表名必须小写
filter/nat/mangle
所有动作必须大写
ACCEPT/DROP/SNAT/DNAT/MASQUERADE
所有匹配必须小写
-s/-d/-m <module_name>/-p
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
默认情况下,public区域是默认区域,包含所有接口(网卡)
iptables没有区域的概念
外部流量通过规则进入相应的区域接口(网卡)
firewalld数据处理流程
检查数据来源的源地址
若源地址关联到特定的区域,则执行该区域所指定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
运行时配置
实时生效,并持续至firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置
永久配置
不立即生效,除非firewalld重新启动和重新加载配置
中断现有连接
可以修改服务配置
firewall-config图形工具(用的少)
firewall-cmd命令行工具(用的多)
/etc/firewalld/中的配置文件
firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/bin/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可以直接删除/etc/firewalld/中的配置
[root@shanan ~]# systemctl start firewalld.service
[root@shanan ~]# firewall-config '//在终端输入,不要远程'
在runtime时需要先设定为永久配置,在进行重载防火墙
“服务”子选项卡
“端口”子选项卡
“协议”子选项卡
“源端口”子选项卡
“伪装”子选项卡
“端口转发”子选项卡
“ICMP过滤器”子选项卡
“模块”子选项卡
“目标地址”子选项卡
3台vm虚拟机,2台做客户机,一台做linux服务器
禁止主机ping服务器
只允许192.168.100.10主机 test1访问SSH服务
允许所有主机访问Apache服务
.选择work,点击来源,点击添加
在work区域中勾选ssh和http,关闭dhcpv6
在public区域中勾选http,关闭ssh和dhcpv6
在work区域,选择ICMP过滤器,勾选echo-request
在public区域,勾选echo-reply
这样就把ICMP关闭掉了
yum install httpd -y
systemctl start httpd
firewall-cmd 命令
[root@localhost ~]# systemctl start firewalld //启动 firewalld
[root@localhost ~]# systemctl enable firewalld //设置 firewalld 为开机自启动
如果 firewalld 正在运行,通过 systemctl status firewalld 或 firewall-cmd 命令
可以查看其运行状态。
[root@localhost ~]# systemctl status firewalld
或
[root@localhost ~]# firewall-cmd --state
running
如果想要禁用 firewalld,执行以下命令即可实现。
[root@localhost ~]# systemctl stop firewalld //停止 firewalld
[root@localhost ~]#systemctl disable firewalld //设置 firewalld 开机不自启动
firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻
塞类型,具体的查看命令如下所示。
[root@localhost ~]# firewall-cmd --get-zones //显示预定义的区域
[root@localhost ~]# firewall-cmd --get-service //显示预定义的服务
[root@localhost ~]# firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型
firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。
destination-unreachable:目的地址不可达。
echo-reply:应答回应(pong)。
parameter-problem:参数问题。
redirect:重新定向。
router-advertisement:路由器通告。
router-solicitation:路由器征寻。
source-quench:源端抑制。
time-exceeded:超时。
timestamp-reply:时间戳应答回应。
timestamp-request:时间戳请求。
使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。
表 1-2 中列出了 firewall-cmd 命令的区域管理选项说明。
表 1-2 firewall-cmd 命令的区域管理选项说明
选项 说明
--get-default-zone 显示网络连接或接口的默认区域
--set-default-zone=<zone> 设置网络连接或接口的默认区域
--get-active-zones 显示已激活的所有区域
--get-zone-of-interface=<interface> 显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> 为指定接口绑定区域
--zone=<zone> --change-interface=<interface> 为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> 为指定的区域删除绑定的网络接口
--list-all-zones 显示所有区域及其规则
[--zone= ] --list-all 显示所有指定区域的所有规则,省略--zone=<zone>时表示仅
对默认区域操作
具体操作如下所示。
(1)显示当前系统中的默认区域。
[root@localhost ~]# firewall-cmd --get-default-zone
public
(2)显示默认区域的所有规则。
[root@localhost ~]# firewall-cmd --list-all
(3)显示网络接口 ens33 对应区域。
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public
(4)将网络接口 ens33 对应区域更改为 internal 区域。
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
(5)显示所有激活区域。
[root@localhost ~]# firewall-cmd --get-active-zones
internal
interfaces: ens33
为 了 方 便 管 理 , firewalld 预 先 定 义 了 很 多 服 务 , 存 放 在
/usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如 ssh 服
务等。与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口。在最新版本的
firewalld 中默认已经定义了 70 多种服务供我们使用,对于每个网络区域,均可以配置允
许访问的服务。当默认提供的服务不适用或者需要自定义某项服务的端口时,我们需要将
service 配置文件放置在 /etc/firewalld/services/ 目录中。service 配置具有以下优点。
通过服务名字来管理规则更加人性化。
通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服
务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
表 1-3 列出了 firewall-cmd 命令区域中服务管理的常用选项说明。
表 1-3 firewall-cmd 命令区域中服务管理的常用选项说明
选项 说明
[--zone= ] --list-services 显示指定区域内允许访问的所有服务
[--zone= ] --add-service=<service> 为指定区域设置允许访问的某项服务
[--zone= ] --remove-service=<service> 删除指定区域已设置的允许访问的某项服务
[--zone= ] --list-ports 显示指定区域内允许访问的所有端口号
[--zone= ] --add-port=<portid>[- ]/<protocol> 为指定区域设置允许访问的某个/某段端口号
(包括协议名)
[--zone= ] --remove-port=<portid>[- ]/<protocol> 删除指定区域已设置的允许访问的端口号(包括
协议名)
[--zone= ] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型
[--zone= ] --add-icmp-block=<icmptype> 为指定区域设置拒绝访问的某项 ICMP 类型
[--zone= ] --remove-icmp-block=<icmptype> 删除指定区域已设置的拒绝访问的某项 ICMP 类
型,省略--zone=<zone>时表示对默认区域操作
具体操作如下所示。
(1)为默认区域设置允许访问的服务。
[root@localhost ~]# firewall-cmd --list-services
//显示默认区域内允许访问的所有服务
[root@localhost ~]# firewall-cmd --add-service=http
//设置默认区域允许访问 http 服务success
[root@localhost ~]#firewall-cmd --add-service=https
//设置默认区域允许访问 https 服务
[root@localhost ~]# firewall-cmd --list-services
(2)为 internal 区域设置允许访问的服务。
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql
//设置 internal 区域允许访问 mysql 服务
success
[root@localhost~]#firewall-cmd --zone=internal --remove-service=samba-client
//设置 internal 区域不允许访问 samba-client 服务
success
[root@localhost ~]# firewall-cmd --zone=internal --list-services
//显示 internal 区域内允许访问的所有服务
sshmdns dhcpv6-client mysql
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自
动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作
即可实现在 internal 区域打开 443/TCP 端口。
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp
success
若想实现在 internal 区域禁止 443/TCP 端口访问,可执行以下命令。
[root@localhost ~]#firewall-cmd --zone=internal --remove-port=443/tcp
success
前面提到 firewall-cmd 命令工具有两种配置模式:运行时模式(Runtime mode)表示
当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效;永久模
式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置
文件中的。
firewall-cmd 命令工具与配置模式相关的选项有三个。
--reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。
--permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动
firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时
规则。
--runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性