firewalld与iptables对防火墙策略的管理

一.firewalld防火墙

1.firewalld的启用

   yum install firewalld firewall-config -y

   systemctl start firewalld

   systemctl enable firewalld

firewalld与iptables对防火墙策略的管理_第1张图片

2.firewalld的图形配置

  firewall-config

  trusted(信任)                           ##可接受所有网络的连接

  home(家庭)                             ##用于家庭网络,仅接受ssh,mdns,dhcpv6-client服务连接

  internal(内部)                          ##用于内部网络,接受ssh,dhcpv6-client服务连接

  work(工作)                              ##用于工作区,仅接受ssh,dhcpv6-client服务连接

  public(公共)                            ##在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域

  external(外部)                         ##出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接

  dmz(非军事区)                        ##仅接受ssh服务连接

  block(限制)                             ##拒绝所有网络连接

  drop(丢弃)                              ##任何接收的网络数据包都被丢弃,没有任何回复

注意:  runtime是临时更改,即改即生效    permanent是永久更改,需要重新加载火墙并重启

firewalld与iptables对防火墙策略的管理_第2张图片

3.firewalld的基本命令

  firewall-cmd --state                                 ##firewalld的状态

  firewall-cmd --get-active-zones              ##正在使用的区域

  firewall-cmd --get-zones                         ##列出所有的域

  firewall-cmd --list-all --zone=public         ##列出某个指定的域

  firewall-cmd --get-default-zone               ##列出默认的域

  firewall-cmd --set-default-zone=dmz      ##设置默认的域为dmz

  firewall-cmd --get-services                     ##列出所有的服务

  firewall-cmd --list-all-zones                     ##列出所有的域

firewalld与iptables对防火墙策略的管理_第3张图片

4.firewalld的配置文件

  vim /usr/lib/firewalld/services/http.xml

  vim /etc/firewalld/zones/public.xml

5.firewalld配置策略

  firewall-cmd --permanent --add-source=172.25.0.0/24 --zone=internal   ##给指定的网段一个内部网络的域

  firewall-cmd --permanent --remove-source=172.25.0.0/24                      ##删除指定的网段

  firewall-cmd --permanent --zone=internal --remove-interface=eth1         ##删除网卡1上的内部网络域

  firewall-cmd --permanent --add-interface=eth1 --zone=internal               ##给网卡1添加一个内部网络域

  firewall-cmd --permanent --change-interface=eth1 --zone=trusted          ##改变网卡1上的域为trusted

  firewall-cmd --permanent --remove-service=http                                      ##删除aphache服务

  firewall-cmd --permanent --remove-port=8080/tcp                                   ##删除端口号为8080的服务

  firewall-cmd --reload                                                                                 ##firewall的重新加载

  firewall-cmd --permanent --add-service=ftp --zone=public                       ##在public域上添加ftp服务

  firewall-cmd --permanent --remove-service=ftp --zone=public                 ##删除public域上的ftp服务

  firewall-cmd --list-ports --zone=public                                                      ##列出public域上的所有端口

  firewall-cmd --add-port=8080/tcp --zone=public                                      ##在public域上添加端口号是8080的服务

  lsmod | grep ftp

  --permanent参数表示永久生效,需要重启服务,如果没有指定--zone的参数,那么会加入默认区域

firewalld与iptables对防火墙策略的管理_第4张图片

6.通过firewall-cmd工具,可以使用--direct选项在运行时间里增加或者移除链

  firewall-cmd --direct --get-all-rules                                                           ##查看firewall配置的规则

  firewall-cmd --direct --add-rule ipv4 filter  INPUT 1 -s 172.25.254.42 -p tcp --dport 22 -j REJECT

  ##来自于172.25.254.42这台主机上的ssh服务是被拒绝的

## filter: 本地数据的限制  -s:源地址 -p:协议 -d:目的地址 --dport:端口  -j:动作(REJECT/ACCERT/DROP)

firewalld与iptables对防火墙策略的管理_第5张图片

测试:在172.25.254.42主机上


 端口的转发

  firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=80:toaddr=172.25.254.42 --zone=*

  

二.iptables防火墙

 如果不熟悉ipables,使用直接接口非常危险,因为可能导致无意间防火墙被入侵,直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则,直接端口模式添加的规则优先应用。

 iptables防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作,如果都不满足则将数据包丢弃,从而保护网络的安全。

1.iptables基础

 规则(rules):网络管理员预定义的条件(如果数据包头符合这样的条件,就这样处理这个数据包),规则存储在  内核空间的信息包过滤表中,指定了源地址,目的地址,传输协议和服务类型等

  链(chains):是数据包传输的路径,每一条链其实都是众多规则中的一个检查清单,每一条链中可以有一条或数    条规则。

  表(tables):filter表,实现包过滤 ,对于防火墙而言,主要利用在filter表中指定的一系列规则来实现对数据包进行   过滤的操作;    nat表,实现网络地址的转换,iptables就是使用该表实现共享上网的功能;  mangle表,实现包重构的功能。

2.iptables的基本策略配置

   iptables -F                                                                             ##刷新iptables策略

   service iptables save                                                            ##保存策略

   iptables -nL                                                                           ##列出策略

firewalld与iptables对防火墙策略的管理_第6张图片

   iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##添加状态为related,established为允许

   iptables -A INPUT -m state --state NEW -i lo -j ACCEPT                            ##添加本机的为允许

   iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT        ##添加端口号22的允许

   iptables -A INPUT -j REJECT                                                                      ##除过以上其余都拒绝

firewalld与iptables对防火墙策略的管理_第7张图片

3.nat 转换

  在客户机中设置自己的网关为服务路由上的与自己同一网段上的



  测试;可以ping通网关,但不能ping通另外一个网卡的ip


  在双网卡机中做nat转换,可以使不同网段的主机可以转到它上面

  iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.142  ##源地址转换为142这台主机

  sysctl -a | grep ip_forward                  ##查看内核路由功能是否开启  

  vim /etc/sysctl.conf

  net.ipv4.ip_forward=1                         ##使在一个主机上的两个网卡可以相互通信

  sysctl -p                                               ##让上述功能生效

  iptables -t nat -A PREROUTING -i eth0 -d 172.25.254.142 -j DNAT --to-dest 172.25.42.1 ##目的地址转换为.1主机

  iptables -nL -t nat



测试:在客户机中测ping 不同网段的ip


 


你可能感兴趣的:(firewalld与iptables对防火墙策略的管理)