iptables 与 firewalld
iptables
一、主机型(包过滤防火墙)
1、简介:
包过滤型防火墙是一种网络安全设备或软件,它工作在 2、3、4 层,通过检查网络数据包的源地址、目标地址、协议、端口等信息,根据预定义的规则来决定是否允许数据包通过或拒绝它们。
2、缺点:
① 包过滤防火墙无法过滤内部网络的数据包;
② 所有互联网的数据包软件都应经过防火墙的过滤,可能造成网络流量的拥挤。
3、四表五链:
(1) 四个表:
iptables 使用四个主要表来组织和分类防火墙规则,分别是 filter 表、nat 表、mangle 表和 raw 表。
● filter 表:处理数据包的基本过滤和访问控制,用于确定是否允许或拒绝数据包通过防火墙;
● nat 表:用于网络地址转换,配置网络地址转换规则,在内部网络和外部网络之间进行 IP 地址转换;
● mangle 表:用于修改数据包的 IP 头信息;
● raw 表:用于配置规则以绕过连接跟踪机制。
(2) 五个链:
iptables 使用五个主要链来组织和分类规则,分别是 INPUT,OUTPUT, FORWARD,PREROUTING, POSTROUTING。
● INPUT 链: INPUT 链处理进入系统的数据包,即入站数据包;
● OUTPUT 链: OUTPUT 链处理从系统发送的数据包,即出站数据包;
● FORWARD 链: FORWARD 链处理系统用作路由器时转发的数据包;
● PREROUTING 链: PREROUTING 链用于在数据包进入系统之前修改目的地址;
● POSTROUTING 链: POSTROUTING 链用于在数据包离开系统之前修改源地址。
(3) 包过滤匹配流程:
① 入站数据流向:
从外网到达防火墙的数据包,先由 PREROUTING 链处理,再进行路由选择,判断该数据包应该发往何处,如果数据包的目标主机是本机,数据包将被传给INPUT 链进行处理,之后再交给本机的应用程序;
② 转发数据流向:
如果数据包的目标地址是其它外部地址,数据包将被传递给 FORWARD 链进行处理,然后再交给 POSTROUTING链;
③ 出站数据流向:
防火墙本机向外部地址发送的数据包,首先被OUTPUT 链处理,之后进行路由选择,然后传递给 POSTROUTING 链进行处理。
4、防火墙规则:
(1) 基本语法:
iptables -t 表名 管理选项 [链名] [匹配条件] [-j 控制类型]
● iptables: 配置防火墙规则的命令行工具 ;-t 表名: -t 用于指定要操作的表名称,不写表名则默认是 filter 表。
● 管理选项: 这是用于指定要执行的管理操作的选项:
① 添加规则:
-A:向规则链末尾添加规则(Append)
-I:在规则链的开头或指定位置插入规则(Insert)
② 查看规则:
-L:列出规则链中的规则(List)
-n:以数字形式显示地址、端口等信息
-v:以更详细的方式显示规则信息
③ 操作规则:
-D:从规则链删除规则(Delete)
-R:替换规则链中的规则(Replace)
-F:清除规则链中的所有规则(Flush)
-X:删除用户定义的链(Delete chain)
-P:为指定的链设置默认规则
● [链名]:指定要操作的规则链的名称。
● [匹配条件]:指定规则应该匹配的条件,例如源 IP 地址、目标 IP 地址、协议、端口等。
● -j 控制类型:指定匹配条件后执行的操作类型,常见的控制类型:
-j ACCEPT:接受数据包;
-j DROP:丢弃数据包;
-j REJECT:拒绝并发送拒绝消息给发送者;
-j LOG:记录数据包信息。
(2) 示例:
在 filter 表的 INPUT 链插入一个丢弃 icmp 的规则,禁止本机被 ping。
① 定义规则之前,其他主机能够 ping 通:
② 在 132 上定义规则:
iptables -t filter -I INPUT -p icmp -j REJECT
其他主机 ping 132,查看效果:
③ 删除规则:
iptables -t filter -D INPUT -p icmp -j REJECT
5、规则匹配条件:
(1) 通用匹配(协议、地址、接口):
① 协议通用匹配:匹配网络数据包中的传输协议
例:iptables -I INPUT -p icmp -j DROP
② 地址通用匹配:定义 IP 地址的匹配规则
例:iptables -I INPUT -s 192.168.198.133 -j REJECT(拒绝源 IP 地址为 192.168.198.133 的数据包)
③ 物理接口通用匹配:
例:iptables -I INPUT -i eth33 -j DROP(拒绝经过物理接口 eth33 的所有数据包进入系统)
(2) 隐含匹配:
① 端口匹配:匹配个别端口的控制类型:
● iptables -I INPUT -s 192.168.198.133 -p tcp --dport 80 -j ACCEPT
接受特定主机且目标端口为 80 TCP 数据包(允许133访问132的 http 资源)
● iptables -I INPUT -p tcp --dport 20:21 -j ACCEPT
在 INPUT 链中插入一条规则,允许FTP数据传输。
② ICMP 匹配:
--icmp-type 选项用于指定ICMP协议中不同类型的数据包。
--icmp-type 8 对应的是 ICMP Echo Request,表示发出一个请求来测试目标主机是否可达。
--icmp-type 0 对应的是 ICMP Echo Reply,表示目标主机已收到Echo Request 并成功响应。
● iptables -A INPUT -p icmp --icmp-type 8 -j DROP:阻止其他主机发送Ping请求给本机(自己可以ping别人,别人不可以ping自己)
● iptables -A INPUT -p icmp --icmp-type 0 -j DROP:阻止传入的 ICMP Echo Reply 数据包(自己不可以 ping 别人,别人可以 ping 自己)
(3) 显示匹配:
① 多端口匹配:
-m multiport --sports ; -m multiport --dports
● iptables -A INPUT -p tcp -m multiport --dport 80,20,21 -j DROP:
阻止传入目的端口为80、20或21的TCP数据包
② ip 地址匹配(可自定义匹配的 ip 地址范围):
iptables -I INPUT -p tcp -m iprange --src-range 192.168.198.130-192.168.198.140 -j ACCEPT
二、网络型
1、SNAT:
(1) 概念:
SNAT,即源网络地址转换(Source Network Address Translation),是一种网络地址转换技术,用于修改数据包的源 IP 地址。
(2) 示例:
① 配置环境:
A:192.168.198.129(VMnet10)网关:192.168.198.132
B:ens33:192.168.198.132(VMnet10);ens38:192.168.48.128(WMnet8)
C:192.168.48.50(WMnet8)网关:192.168.48.128
② 启动路由转发功能:
A、C 配置相应的网关
B 配置路由转发:
echo "net.ipv4.ip_forward = 1" >>/usr/lib/sysctl.d/50-default.conf
echo 1 > /proc/sys/net/ipv4/ip_forward (重启)
② 删除C的网关,在B上配置 SNAT:
iptables -t nat -A POSTROUTING -s 192.168.198.0/24 -o ens38 -j SNAT --to-source 192.168.48.128
这个命令的目的是将位于 192.168.198.0/24 子网中的数据包,通过名为 "ens38" 的网络接口发送到外部网络时,将它们的源地址替换为 192.168.48.128
③ 检验效果:
在 A 主机上登录 C 的网站:
在 C 上查看访问日志:cat /var/log/httpd/access_log
2、MASQUERADE:
MASQUERADE 是 iptables 中一种NAT操作,用于修改数据包的源地址。能够进行动态IP地址分配,无需配置静态NAT规则。
iptables -t nat -A POSTROUTING -s 192.168.198.0/24 -o ens38 -j MASQUERADE
3、DNAT:
DNAT用于修改传入数据包的目标IP地,DNAT将数据包的目标IP地址更改为预定义的目标地址。
iptables -t nat -A PREROUTING -i ens38 -d 192.168.48.128 -p tcp --dport 80 -j DNAT --to-destination 192.168.198.129
firewalld
1、概念:
firewalld 是一个用于配置和监控防火墙规则的系统守护进程,firewalld 支持划分区域 zone,每个 zone 可以设置独立的防火墙规则。
2、区域 zone:
● trusted: 信任区域,允许所有经过的流量通过,通常用于内部或受信任的网络环境;
● home/internal: 仅允许SSH流量通过,这个区域只允许SSH连接,用于加强内部或家庭网络的安全性;
● work: 仅允许SSH、ipp-client和dhcpv6-client流量通过,这个区域允许更多类型的流量,通常用于工作网络环境;
● public: 默认区域,仅允许SSH和dhcpv6-client流量通过,这个区域是系统的默认区域,通常用于公共网络环境;
● block: 拒绝所有经过的流量;
● drop: 拒绝所有经过的流量,且不进行ICMP错误回应。
3、firewalld 富规则:
富规则包含了更多的信息和条件,以更精细地定义允许或拒绝哪些网络连接。通过定义详细的规则,可以确保只有经过授权的流量能够通过防火墙,从而增加网络的安全性。
4、示例:
(1) 准备配置环境:
yum install -y httpd
echo web1 > /var/www/html/index.html
systemctl start httpd
systemctl start firewalld
firewall-cmd --get-default-zone(观察默认区域)
firewall-cmd --list-all-zone(列出所有区域)
(2) 将public默认区域,更改为trusted区域:
firewall-cmd --set-default-zone=trusted
firewall-cmd --reload
流量已经从默认的public区域,转移到trusted区域,该区域默认放行所有流量,再次访问网站,成功。
还原默认区域:firewall-cmd --set-default-zone=public
(3) 添加http规则进入默认区域 public:
firewall-cmd --permanent --add-service=http --zone=public
(--permanent标志用于将防火墙规则永久性地添加到防火墙配置中)
firewall-cmd --reload
查看默认区域:firewall-cmd --list-all --zone=public
删除规则: firewall-cmd --permanent --remove-service=http --zone=public