关于iptables与firewalld的详细总结和配置汇总

iptables由四个表和五个链以及一些规则组成


四个表table：filter、nat、mangle、raw
filter表:过滤规则表，根据预定义的规则过滤符合条件的数据包
nat表:network address translation 地址转换规则表
mangle:修改数据标记位规则表
Raw:关闭NAT表上启用的连接跟踪机制，加快封包穿越防火墙速度
优先级由高到低的顺序为:raw-->mangle-->nat-->filter


五个内置链chain
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING




查看当前规则
iptables -vnL


查看指定表支持的链
iptables -vnL -t filter|raw|mangle|nat


数据包过滤匹配流程


总入站数据流向
raw：PREROUTING
mangle：PREROUTING
nat：PREROUTING


进入的访问（谁访问的你）
mangle：INPUT
nat：INPUT
filter：INPUT


转发数据流向
mangle：FORWARD
filter：FORWARD


出去的访问（你访问别人）
raw：OUTPUT
mangle：OUTPUT
nat：OUTPUT
filter：OUTPUT




总出站数据流向
mangle：POSTROUTING
nat：POSTROUTING




数据包发送流程：


从外界进来的数据包如果是到达本机程序的，首先到达prerouting，prerouting过来后要先检查路由表，路由表中
判断该数据包是否给我的如果是则转发到INPUT，如果不是那检查是不是通过我穿过我经过可到达别的主机的数据包
那就是FORWARD了,如果是发给本机INPUT的收到了数据包请求后，那么他要做出回应就要通过output通过检查路由表
来决定从哪个网卡发出去，发出去的瞬间还要做一个汇总那就是POSTROUTING




1、链管理：
-N：new, 自定义一条新的规则链
-X：delete，删除自定义的空的规则链
-P：Policy，设置默认策略；对filter表中的链而言，其默认策略有：
ACCEPT：接受
DROP：丢弃
-E：重命名自定义链；引用计数不为0的自定义链不能够被重命名，也不能被删除


2、查看：
-L：list, 列出指定鏈上的所有规则，本选项须置后
-n：numberic，以数字格式显示地址和端口号
-v：verbose，详细信息
-vv 更详细
-x：exactly，显示计数器结果的精确值,而非单位转换后的易读值
--line-numbers：显示规则的序号
常用组合：
--vnL
--vvnxL --line-numbers
-S selected,以iptables-save 命令格式显示链上规则


3、规则管理：
-A：append，追加
-I：insert, 插入，要指明插入至的规则编号，默认为第一条
-D：delete，删除
(1) 指明规则序号
(2) 指明规则本身
-R：replace，替换指定链上的指定规则编号
-F：flush，清空指定的规则链
-Z：zero，置零
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数
(2) 匹配到的所有报文的大小之和
chain：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING


命令操作


拒绝访问进来的单IP -s来自哪个IP
iptables -A INPUT -s 172.18.105.75 -j DROP|REJECT


取反除了172.18.105.75能通信其余全拒绝了
iptables -A INPUT ! -s 172.18.105.75 -j DROP|REJECT




精确显示计数
iptables -vnxL


重置计数
iptables -Z INPUT 




显示规则序号及删除
iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 999 packets, 87675 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     1226   12M REJECT     all  --  *      *       172.18.105.74        0.0.0.0/0   


删除指定条目规则      
iptables -D INPUT 1


全部清空条目
iptables -F




显示当前链规则，可当作保存脚本使用
[root@localhost ~]# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s 172.18.105.74/32 -j REJECT --reject-with icmp-port-unreachable




插入条目到指定位置
iptables -I INPUT -s 172.18.105.100 -j REJECT
iptables -I 2 INPUT -s 172.18.105.100 -j REJECT
iptables -I 2 INPUT -s 172.18.105.100,172.18.105.101 -j REJECT
iptables -I 2 INPUT -s 172.18.105.100 -d 172.18.105.101 -j REJECT
iptables -I 2 INPUT -s 172.18.105.100 -p icmp -j ACCEPT  允许icmp
iptables -I INPUT 2 -s 172.18.105.74 -p tcp --dport 22  -j ACCEPT 




用新的条目替换现有的第2个条目
iptables -R INPUT 2 -S 172.18.105.101 -j REJECT




修改默认策略
iptables -P INPUT ACCEPT|DROP


只要是从ETH0，LO网卡进来的流量全部允许或者全部拒绝
iptables -I INPUT 3 -i eth0,lo -j ACCEPT|REJECT


iptables -I OUTPUT 3 -o eth1,lo -j ACCEPT|REJECT




常用规则姿势


允许或拒绝某地址访问本机
iptables -A INPUT -s 172.18.138.12 -j ACCEPT|REJECT   


允许或拒绝所有人访问本机
iptables -A INPUT  -j ACCEPT|REJECT      


允许或拒绝某主机访问本机tcp协议22端口
iptables -I INPUT 2 -s 172.18.105.74 -p tcp --dport 22  -j ACCEPT|REJECT
普通的只支持加连续端口，扩展的则支持连续端口和单端口混合
iptables -I INPUT 2 -s 172.18.105.74 -p tcp --dport 21:22  -j ACCEPT|REJECT




允许或拒绝本机访问172.18.105.74的icmp ping时响应回应包
iptables -A OUTPUT -p icmp --icmp-type 0 -d 172.18.105.74 -j ACCEPT|REJECT    


检查四个标记位中的syn为1 就拒绝 ，其中SYN为1，ACK,FIN,RST 为0  相当于第一次握手
iptables -I INPUT 3 -s 172.18.105.74 -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j REJECT
检查四个标记位中的SYN,ACK位都为1  就拒绝 ，同上  相当于第二次握手
iptables -I INPUT 3 -s 172.18.105.74 -p tcp --tcp-flags SYN,ACK,FIN,RST SYN,ACK -j REJECT
iptables -I INPUT 3 -s 172.18.105.74 -p tcp --syn -j REJECT


针对一些黑客构造的伪装包过滤，正常情况下不可能全为0或1 ，对这些无效包拒绝
--tcp-flags ALL ALL   检查所有标记全为1的
--tcp-flags ALL NONE  检查所有标记全为0的




-------------------------------------------------------------------------------
-N：new, 自定义一条新的规则链
-X：delete，删除自定义的空的规则链
-P：Policy，设置默认策略；对filter表中的链而言，其默认策略有：
  ACCEPT：接受
  DROP：丢弃
-E：重命名自定义链；引用计数不为0的自定义链不能够被重命名，也不能被删除


创建自定义链
iptables -N invalid_packet
iptables -E invalid_packet INVALID_PACKET  重命名
iptables -vnL
Chain invalid_packet (0 references)


对自定义链添加规则
iptables -A invalid_packet -p tcp --tcp-flags ALL ALL -j REJECT
iptables -A invalid_packet -p tcp --tcp-flags ALL NONE -j REJECT


将自定义链关联到现有的内置链
iptables -A OUTPUT -s 172.18.105.73（本机地址） -j invalid_packet


删除引用的自定义链
iptables -D 1 INPUT
iptables -D 1 OUTPUT


清空自定义链内容
iptables -F invalid_packet


删除自定义链
iptables -X invalid_packet








处理动作：
-j targetname [per-target-options]
简单： ACCEPT，DROP  允许/拒绝
扩展： REJECT：--reject-with:icmp-port-unreachable默认
RETURN：返回调用链，好比主链调用到自定义链进来后如果看到return则不执行，将返回到主链继续执行
REDIRECT：端口重定向
LOG：记录日志，dmesg
MARK：做防火墙标记
DNAT：目标地址转换
SNAT：源地址转换
MASQUERADE：地址伪装










multiport扩展
以离散方式定义多端口匹配,最多指定15个端口
[!] --source-ports,--sports port[,port|,port:port]...
指定多个源端口
[!] --destination-ports,--dports port[,port|,port:port]...
指定多个目标端口
[!] --ports port[,port|,port:port]...多个源或目标端口
示例：
来自源172.16.0.0/16访问本机的172.16.100.10的TCP协议的本机的端口20-22，80允许 ，使用了multiport模块
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT








iprange扩展
指明连续的（但一般不是整个网络）ip地址范围
[!] --src-range from[-to] 源IP地址范围
[!] --dst-range from[-to] 目标IP地址范围
示例：
来自172.16.1.5-172.16.1.10的地址，访问本机的172.16.1.100 且是tcp协议的本机80端口拒绝访问
iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --src-range 172.16.1.5-172.16.1.10 -j DROP






mac扩展
指明源MAC地址
适用于：PREROUTING, FORWARD，INPUT chains
[!] --mac-source XX:XX:XX:XX:XX:XX
示例：
来自172.16.0.100且mac地址是00:50:56:12:34:56的主机允许访问
iptables -A INPUT -s 172.16.0.100 -m mac --mac-source 00:50:56:12:34:56 -j ACCEPT






string扩展
对报文中的应用层数据做字符串模式匹配检测
--algo {bm|kmp}：字符串匹配检测算法
bm：Boyer-Moore
kmp：Knuth-Pratt-Morris
--from offset 开始偏移
--to offset 结束偏移
[!] --string pattern：要检测的字符串模式
[!] --hex-string pattern：要检测字符串模式，16进制格式
示例：
本机172.16.100.10的80访问所有人， 对响应回包中包含google的关键字进行拒绝
iptables -A OUTPUT -s 172.16.100.10 -d 0/0 -p tcp --sport 80 -m string --algo bm --string "google" -j REJECT








time扩展
根据将报文到达的时间与指定的时间范围进行匹配
--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]] 日期
--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
--timestart hh:mm[:ss] 时间
--timestop hh:mm[:ss]
[!] --monthdays day[,day...] 每个月的几号
[!] --weekdays day[,day...] 星期几
--kerneltz：内核时区，不建议使用，CentOS7系统默认为UTC
注意： centos6 不支持kerneltz ，--localtz指定本地时区(默认)
示例：
来自172.16.0.0/16访问我本机172.16.100.10的tcp协议的80，调用了模块time ，周六日的下午早9点-晚6点半，拒绝上网   注：注意时区问题，不建议使用--kerneltz选项，最好用现有时间-8
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp --dport 80 -m time --timestart 1:30 --timestop 10:30 --weekdays Sat,Sun --kerneltz -j DROP
iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp --dport 80 -m time --timestart 1:30 --timestop 10:30 --weekdays 1,2,3,4,5 --kerneltz -j DROP








connlimit扩展
根据每客户端IP做并发连接数数量匹配
可防止CC(Challenge Collapsar挑战黑洞)攻击 --connlimit-upto n：连接的数量小于等于n时匹配
--connlimit-above n：连接的数量大于n时匹配
通常分别与默认的拒绝或允许策略配合使用
示例：
所有来源访问本机的172.16.100.10协议tcp的22端口，如果连接大于2 则拒绝
iptables -A INPUT -d 172.16.100.10 -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT








limit扩展
基于收发报文的速率做匹配
令牌桶过滤器
--limit rate[/second|/minute|/hour|/day]
--limit-burst number
示例：
前10个包先放行，超过10个后开始每分钟20个包限制
iptables -I INPUT -d 172.16.100.10 -p icmp --icmp-type 8 -m limit --limit 20/minute --limit-burst 10 -j ACCEPT
iptables -I INPUT 2 -p icmp -j REJECT






state扩展
根据”连接追踪机制“去检查连接的状态，较耗资源
conntrack机制：追踪本机上的请求和响应之间的关系
状态有如下几种：
NEW：新发出请求；连接追踪信息库中不存在此连接的相关信息条目，因此，将其识别为第一次发出的请求
ESTABLISHED：NEW状态之后，连接追踪信息库中为其建立的条目失效之前期间内所进行的通信状态
RELATED：新发起的但与已有连接相关联的连接，如：ftp协议中的数据连接与命令连接之间的关系
INVALID：无效的连接，如flag标记不正确
UNTRACKED：未进行追踪的连接，如raw表中关闭追踪


--state state状态
示例：
来自所有人访问本机的172.16.1.10的22，80端口且tcp的 ，状态是新建连接及已连接上的， 允许访问
iptables -A INPUT -d 172.16.1.10 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 172.16.1.10 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT
已经追踪到的并记录下来的连接信息库
/proc/net/nf_conntrack
调整连接追踪功能所能够容纳的最大连接数量
/proc/sys/net/nf_conntrack_max
不同的协议的连接追踪时长
/proc/sys/net/netfilter/
注意：CentOS7 需要加载模块： modprobe nf_conntrack   ,iptables 用-m state 就相当于加载了该模块
iptables的链接跟踪表最大容量为/proc/sys/net/nf_conntrack_max，各种状态的超时链接会从表中删除；当模板满载时，后续连接可能会超时
解决方法两个：
(1) 加大nf_conntrack_max 值
vi /etc/sysctl.conf
net.nf_conntrack_max = 393216
net.netfilter.nf_conntrack_max = 393216
(2) 降低 nf_conntrack timeout时间
vi /etc/sysctl.conf
net.netfilter.nf_conntrack_tcp_timeout_established = 300
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
iptables -t nat -L -n






开放被动模式的ftp服务示例
  yum install vsftpd
systemctl start vsftpd
modprobe nf_conntrack_ftp
iptables -F
  对已建立链接和相关联的通通允许
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  对访问本机21端口且新建立链接的允许
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
  针对本机对客户端响应的，已连接的放行
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -vnL






Target：
ACCEPT， DROP， REJECT， RETURN
LOG， SNAT， DNAT， REDIRECT， MASQUERADE，..
LOG: 非中断target,本身不拒绝和允许,放在拒绝和允许规则前
并将日志记录在/var/log/messages系统日志中
--log-level level 级别： emerg, alert, crit, error, warning, notice, info or debug
--log-prefix prefix 日志前缀，用于区别不同的日志，最多29个字符
示例：
对来自10.0.1.0/24网段的用户访问我本机的80,21,22,23端口针对新连接的用户，将记录日志，日志的自定义的前缀是new connections
iptables -I INPUT -s 10.0.1.0/24 -p tcp -m multiport --dports 80,21,22,23 -m state --state NEW -j LOG --log-prefix "new connections: "








总结


任何不允许的访问，应该在请求到达时给予拒绝
规则在链接上的次序即为其检查时的生效次序
基于上述，规则优化
1 安全放行所有入站和出站的状态为ESTABLISHED状态连接
2 谨慎放行入站的新请求
3 有特殊目的限制访问功能，要在放行规则之前加以拒绝
4 同类规则（访问同一应用），匹配范围小的放在前面，用于特殊处理
5 不同类的规则（访问不同应用），匹配范围大的放在前面
6 应该将那些可由一条规则能够描述的多个规则合并为一条
7 设置默认策略，建议白名单（只放行特定连接）
   1） iptables -P，不建议
   2） 建议在规则的最后定义规则做为默认策略








保存规则：
保存规则至指定的文件
CentOS 6
service iptables save
将规则覆盖保存至/etc/sysconfig/iptables文件中


CentOS 7 可用下面方法保存规则
iptables -S > /etc/sysconfig/iptables   不建议使用配合导入时会报错
iptables-save > /etc/sysconfig/iptables   推荐使用


CentOS 6：
service iptables restart
会自动从/etc/sysconfig/iptables 重新载入规则


CentOS 7 重新载入预存规则文件中规则：
iptables-restore < /etc/sysconfig/iptables
-n, --noflush：不清除原有规则
-t, --test：仅分析生成规则集，但不提交


开机自动重载规则文件中的规则：
(1) 用脚本保存各iptables命令；让此脚本开机后自动运行
/etc/rc.d/rc.local文件中添加脚本路径
/PATH/TO/SOME_SCRIPT_FILE
(2) 用规则文件保存各规则，开机时自动载入此规则文件中的规则
/etc/rc.d/rc.local文件添加
iptables-restore < /etc/sysconfig/iptables
(3)自定义Unit File，进行iptables-restore






iptables/netfilter网络防火墙：
(1) 充当网关
(2) 使用filter表的FORWARD链
注意的问题：
(1) 请求-响应报文均会经由FORWARD链，要注意规则的方向性
(2) 如果要启用conntrack机制，建议将双方向的状态为ESTABLISHED的报文直接放行


示例1：
A：wanserver：172.18.0.2
B：router：172.18.0.3
C：lanserver：172.18.0.4


A访问C拒绝
C访问A允许


A ------ B -------C


1.B服务器配置，将ip_forward修改成1，路由器的转发功能必须开启，否则A到C传不过去
vi /etc/sysctl.conf
net.ipv4.ip_forward=1 
sysctl -p


2.限制只能lanserver访问wanserver ，但wanserver不能访问lanserver,B路由器需要配置
只要是去往访问C服务器且状态是new新发起连接的通通拒绝,所有访问的协议全拒了
iptables -A FORWARD -d 172.18.0.4 -m state --state NEW -j REJECT 
下面这条是只限制icmp，其它协议照常使用
iptables -A FORWARD -d 172.18.0.4 -p icmp --icmp-type 8 -j REJECT




示例2：
针对ftp和www服务的


1.安装ftp和www服务
yum -y install vsftpd httpd


2.ftp服务比较特殊需要加载模块
modprobe nf_conntrack_ftp
lsmod | grep ftp


3.限制规则
存在已连接的和数据关联的全部允许
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
对于去往C内部服务器的且是新连接的用户只允许访问内部的80,21端口
iptables -A FORWARD -d 172.18.0.4 -p tcp -m multiport --dports 80,21 -m state --state NEW -j ACCEPT
对于来自内部的用户发起的新连接给予允许 ，目的也就是让内部能访问外部网络，要不只能自己玩了
ESTABLISHED,RELATED 在第一条中已经明确了放行，所有不用单独写了
iptables -A FORWARD 3 -s 172.18.0.4 -m state --state NEW -j ACCEPT
其余通通拒绝
iptables -A FORWARD -j REJECT




NAT


NAT: network address translation
PREROUTING，INPUT，OUTPUT，POSTROUTING
请求报文：修改源/目标IP，由定义如何修改
响应报文：修改源/目标IP，根据跟踪机制自动实现








SNAT：source NAT POSTROUTING, INPUT
让本地网络中的主机通过某一特定地址访问外部网络，实现地址伪装
请求报文：修改源IP


SNAT：固定IP
--to-source [ipaddr[-ipaddr]][:port[-port]]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP
示例：
来自源-s内部网段10.0.1.0/24，去访问外部的所有资源，但排除了目标! -d 本地的IP段的转换（目的是内部之间互相访问是不用做NAT转换的出去的），用172.18.1.6-172.18.1.9转换出去上网
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT --to-source 172.18.1.6-172.18.1.9


MASQUERADE：动态IP，如拨号网络
--to-ports port[-port]
--random
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE
示例：
来自源内部10.0.1.0/24网段，访问目的的所有资源，且排除目的10.0.1.0/24段的转换，从服务器的网卡上，自动获取当前ip地址来做NAT，自动化的实现snat的转换
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE




A-------B-------C


A：外部 172.18.1.2/30  运行着HTTPD服务
B：路由器 172.18.1.1/30  /  192.168.11.1/24
C：内部  192.168.11.2/24


1.互联互通


2.路由器源SNAT转换
开启路由器转发
vi /etc/sysctl.conf
net.ipv4.ip_forward=1 
sysctl -p
配置SNAT策略
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 ! –d 192.168.11.0/24 -j SNAT --to-source 172.18.1.1
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 ! –d 192.168.11.0/24 -o eth0 -j MASQUERADE


3.测试
C访问A时，在路由器上把内网地址段通过外网地址172.18.1.1都做了SNAT转换，这样内网地址段就可以上网了




DNAT：destination NAT PREROUTING , OUTPUT
把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射)，但隐藏真实IP
请求报文：修改目标IP








DNAT
--to-destination [ipaddr[-ipaddr]][:port[-port]]
iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]
示例：
来自所有来源地址去访问我服务器的目标外网172.18.100.6的地址的特定22端口，将使用DNAT映射到10.0.1.22的地址上，此时
外部用户访问172.18.100.6的22端口实际是访问的10.0.1.22的22端口
iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 22 -j DNAT --to-destination 10.0.1.22


来自所有来源地址去访问我服务器的目标外网172.18.100.6的地址的特定80端口，将使用DNAT映射到10.0.1.22的8080端口上
，此时外部用户访问172.18.100.6的80端口实际是访问的10.0.1.22的8080端口
iptables -t nat -A PREROUTING -s 0/0 -d 172.18.100.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.22:8080


A-------B-------C


A：外部 172.18.1.2/30  
B：路由器 172.18.1.1/30  /  192.168.11.1/24
C：内部  192.168.11.2/24  运行着HTTPD服务


1.互联互通


2.路由器源SNAT转换
开启路由器转发
vi /etc/sysctl.conf
net.ipv4.ip_forward=1 
sysctl -p
配置DNAT策略
iptables -t nat -A PREROUTING -s 0/0 -d 172.18.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.11.2:80


3.测试
A访问B的172.18.1.1的80端口时，实际是在访问192.168.11.2的80端口






PNAT: port nat，端口和IP都进行修改  ，常用方式


源地址在通过路由器的外网接口做NAT转换的时候，为了避免同一时间，内部访问经过nat转换的时候使用了同一端口，产生了端口冲突
为了解决该问题，所以NAT转换的时候如果发现端口有冲突则自动的更换端口，解决了冲突的问题。








转发
REDIRECT：
NAT表
可用于：PREROUTING OUTPUT 自定义链
通过改变目标IP和端口，将接受的包转发至不同端口
--to-ports port[-port]
示例：
当来源的所有用户去访问我本机的172.16.100.10的80端口时，则转发到我本机的8080端口上，相当于访问80其实是访问的8080
iptables -t nat -A PREROUTING -d 172.16.100.10 -p tcp --dport 80 -j REDIRECT --to-ports 8080








练习：判断下述规则的意义
iptables -N clean_in
iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP
iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP
iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP
iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP
iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP
iptables -A clean_in -d 172.16.100.7 -j RETURN
iptables -A INPUT -d 172.16.100.7 -j clean_in
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP
iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP
iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP
iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT








firewalld服务


firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则
归入zone顺序：
先根据数据包中源地址，将其纳为某个zone
纳为网络接口所属zone
纳入默认zone，默认为public zone,管理员可以改为其它zone
网卡默认属于public zone,lo网络接口属于trusted zone


firewalld zone分类
zone名称      默认配置
trusted  允许所有流量
home  拒绝除和传出流量相关的，以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client预定义服务之外其它所有传入流量
internal 和home相同
work  拒绝除和传出流量相关的，以及ssh,ipp-client,dhcpv6-client预定义服务之外的其它所有传入流量
public  拒绝除和传出流量相关的，以及ssh,dhcpv6-client预定义服务之外的其它所有传入流量，新加的网卡默认属于public zone
external 拒绝除和传出流量相关的，以及ssh预定义服务之外的其它所有传入流量，属于external zone的传出ipv4流量的源地址将被伪装为传出网卡的地址。
dmz 拒绝除和传出流量相关的，以及ssh预定义服务之外的其它所有传入流量
block 拒绝除和传出流量相关的所有传入流量
drop 拒绝除和传出流量相关的所有传入流量（甚至不以ICMP错误进行回应）




预定义服务 ，以下是过滤中是不受影响的
ssh
Local SSH server. Traffic to 22/tcp


dhcpv6-client
Local DHCPv6 client. Traffic to 546/udp on the fe80::/64 IPv6 network


ipp-client
Local IPP printing. Traffic to 631/udp.


samba-client
Local Windows file and print sharing client. Traffic to 137/udp and 138/udp.


mdns
Multicast DNS (mDNS) local-link name resolution. Traffic to 5353/udp to the 224.0.0.251 (IPv4) or ff02::fb (IPv6) multicast addresses.




firewalld配置


查看预定义服务列表
firewall-cmd --get-services 
/usr/lib/firewalld/services/*.xml预定义服务的配置


三种配置方法
firewall-config （firewall-config包）图形工具
firewall-cmd （firewalld包）命令行工具
/etc/firewalld 配置文件，一般不建议

列出所有可用区域
[root@localhost ~]# firewall-cmd --get-zones        
block dmz drop external home internal public trusted work


查询默认区域
[root@localhost ~]# firewall-cmd --get-default-zone
public


修改默认的区域 ，原public
[root@localhost ~]# firewall-cmd --set-default-zone=block


列出当前正使用的区域及网卡
[root@localhost ~]# firewall-cmd --get-active-zones
public
  interfaces: ens33
  


  
允许服务的流量通过，如果无--zone= 选项，使用默认区域
[root@localhost ~]# firewall-cmd --add-service=http
[root@localhost ~]# firewall-cmd --add-service=http --zone=drop
删除则
[root@localhost ~]# firewall-cmd --remove-service=http
[root@localhost ~]# firewall-cmd --remove-service=http --zone=drop


允许指定端口和协议的流量，如果无--zone= 选项，使用默认区域
[root@localhost ~]# firewall-cmd --add-port=8080/tcp
[root@localhost ~]# firewall-cmd --add-port=8080/tcp --zone=drop
删除则
[root@localhost ~]# firewall-cmd --remove-port=8080/tcp
[root@localhost ~]# firewall-cmd --remove-port=8080/tcp --zone=drop


添加源地址的流量到指定区域，如果无--zone= 选项，使用默认区域
[root@localhost ~]# firewall-cmd --add-source=172.88.88.0/24
或
[root@localhost ~]# firewall-cmd --add-source=172.88.88.0/24 --zone=block
删除则
[root@localhost ~]# firewall-cmd --remove-source=172.88.88.0/24
[root@localhost ~]# firewall-cmd --remove-source=172.88.88.0/24 --zone=block


添加来自于指定接口的流量到特定区域，如果无--zone= 选项，使用默认区域
[root@localhost ~]# firewall-cmd --add-interface=ens33
[root@localhost ~]# firewall-cmd --add-interface=ens33 --zone=block
改变指定接口至新的区域，如果无--zone= 选项，使用默认区域
[root@localhost ~]# firewall-cmd --change-interface=ens33 --zone=drop
删除则
[root@localhost ~]# firewall-cmd --remove-interface=ens33
[root@localhost ~]# firewall-cmd --remove-interface=ens33 --zone=block
[root@localhost ~]# firewall-cmd --remove-interface=ens33 --zone=drop


查看开放的服务
[root@localhost ~]# firewall-cmd --list-services
ssh dhcpv6-client http


查看开放的端口
[root@localhost ~]# firewall-cmd --list-ports
8080/tcp


列出指定区域的所有配置信息，包括接口，源地址，端口，服务等，如果无--zone= 选项，使用默认区域
[root@localhost ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client http
  ports: 8080/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 


[root@localhost ~]# firewall-cmd --list-all --zone=block
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
  
[root@localhost ~]# firewall-cmd --list-all-zones  显示所有区域


  
firewall-cmd 常用命令示例及永久生效


禁止自动或手动启动iptables，相当于把该服务指向了null
systemctl mask iptables
systemctl mask ip6tables
恢复则用：
systemctl unmask name.service


查看服务状态
systemctl status firewalld
开机自启
systemctl enable firewalld
启动服务
systemctl start firewalld


查看默认zone
firewall-cmd --get-default-zone


默认zone设为dmz或默认的public
firewall-cmd --set-default-zone=dmz
或
firewall-cmd --set-default-zone=public




在internal zone中增加源地址192.168.0.0/24的永久规则
firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24


在internal zone中增加协议mysql的永久规则
firewall-cmd --permanent –zone=internal --add-service=mysql


在internal zone中增加端口的永久规则
firewall-cmd --permanent –zone=internal --add-port=8080/tcp


加载新规则以生效
firewall-cmd --reload




-----------------------------------------------------------
其它规则
当基本firewalld语法规则不能满足要求时，可以使用以下更复杂的规则
rich-rules 富规则，功能强,表达性语言


rich规则比基本的firewalld语法实现更强的功能，不仅实现允许/拒绝，还可以实现日志syslog和auditd，也可以实现端口转发，伪装和限制速率


rich语法：
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
man 5 firewalld.richlanguage


规则实施顺序：
该区域的端口转发，伪装规则
该区域的日志规则
该区域的允许规则
该区域的拒绝规则
每个匹配的规则生效，所有规则都不匹配，该区域默认规则生效




rich规则选项


将添加到指定区域，或者如果未指定--zone=区域，则使用默认区域。
--add-rich-rule=''


删除RULE 如果没有指定区域，请将移至指定区域或默认区域。
--remove-rich-rule=''


查询是否已将添加到指定区域，或者如果未指定区域，则查询默认区域。 如果规则存在，则返回0，否则返回1。
--query-rich-rule=''


输出指定区域的所有丰富规则，如果没有指定区域，则输出默认区域。
--list-rich-rules


拒绝从192.168.0.11的所有流量，当address 选项使用source 或 destination时，必须用family= ipv4 |ipv6.
firewall-cmd --permanent --zone=classroom --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'


限制每分钟只有两个连接到ftp服务
firewall-cmd --permanent --add-rich-rule='rule service name=ftp limit value=2/m accept'
删除则
firewall-cmd --permanent --remove-rich-rule='rule service name=ftp limit value=2/m accept'


抛弃esp（ IPsec 体系中的一种主要协议）协议的所有数据包
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp drop'


接受所有192.168.1.0/24子网端口范置5900-5905的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'


rich日志规则


log [prefix="" [level=] [limit value=""]
 可以是emerg,alert, crit, error, warning, notice, info, debug.
 s：秒, m：分钟, h：小时, d：天
audit [limit value=""]


work这个zone里添加一个规则，接受ssh服务的新连接，记录日志到syslog的notice级别，且日志查看时附有ssh前缀的，每分钟最多三条信息
firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh" log prefix="ssh " level="notice" limit value="3/m" accept'


从2001:db8::/64子网的DNS连接在5分钟内被拒绝，并记录到日志到audit,每小时最大记录一条信息
firewall-cmd  --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300


来自172.25.1.10访问本机的http时允许，并记录日志，级别为notice且记录日志的格式前加NEW HTTP前缀 ，每秒钟记录三条信息
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.10/32 service name="http" log level=notice prefix="NEW HTTP " limit value="3/s" accept'










伪装和端口转发


伪装
firewall-cmd --permanent --zone= --add-masquerade   默认的zone都是public
firewall-cmd --query-masquerade 检查是否允许伪装
firewall-cmd --add-masquerade 允许防火墙伪装IP ，针对的是0.0.0.0/0所有IP段的伪装
firewall-cmd --remove-masquerade 禁止防火墙伪装IP
示例：
允许内网的192.168.0.0/24 通过出口伪装上网
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'




端口转发


端口转发：将发往本机的特定端口的流量转发到本机或不同机器的另一个端口。通常要配合地址伪装才能实现
firewall-cmd --permanent --zone= --add-forward-port=port=:proto=[:toport=][:toaddr=]
说明：toport= 和toaddr= 至少要指定一个


示例：
转发传入的连接8888/TCP，到防火墙的80/TCP到public zone 的192.168.11.254的http服务
firewall-cmd --add-masquerade 先启用伪装功能
firewall-cmd --permanent --zone=public --add-forward-port=port=8888:proto=tcp:toport=80:toaddr=192.168.11.254
firewall-cmd --reload


示例：
转发从192.168.0.0/24来的，发往80/TCP的流量到防火墙的端口8080/TCP
firewall-cmd --add-masquerade 先启用伪装功能
firewall-cmd --permanent --zone=work --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 forward-port port=80 protocol=tcp to-port=8080'
firewall-cmd --reload




示例：
转发从172.25.1.10来的访问我本机的443端口的流量到防火墙后转发成本地的22端口
firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25.1.10/32 forward-port port=443 protocol=tcp to-port=22'
firewall-cmd --reload
ssh -p 443 serverX.example.com