Linux防火墙firewalld(粗糙版)
上篇是iptables的增删改查
自定义链:
systemctl stop firewalld
setenforce 0
iptables -N lmn
iptables -vnL
iptables -t filter -vnL
修改链名:
iptables -E lmn ky01
iptables -t filter -vnL
iptables -t filter -I ky01 -p icmp -j ACCEPT
iptables -t filter -vnL
iptables -t filter -I INPUT -p icmp -j ky01
iptables -t filter -vnL
删除:
iptables -D INPUT 1
iptables -D ky01 1
iptables -X ky01
自定义链使用 自定义链添加:iptables -N custom(链名) 创建链
自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名
创建自定义链规则:iptables -t filter -I ky29 -p icmp -j REJECT 创建自定义规则, iptables的链中添加一条对应到自定义链中才能生效
iptabales创建对应链规则然后跳转自定义链web:iptables -t filter -I INPUT -p icmp -j custom
删除自定义规则链:先删除iptables INPUT链中的对应关系,然后删除自定义链中的规则。 iptables -D INPUT 1 iptables -D ky27 1
然后再用 iptables -X ky27 删除这个链
iptables另一个功能
iptables:地址转换
SNAT:源地址转换。内网访问外网时,将内网的ip地址转换成可以和外网通信的ip地址
DNAT:目的地址转换。外网访问内网时,将外网的ip地址转换成可以和内网通信的ip地址
SNAT和DNAT核心:就是地址转换
内到外,要换源
外到内,转目的
DNAT:虽然是目的地址转换,但是还有一个作用就是,将内部地址映射到一个或者是一组公网地址。将内部的私网地址映射成公网地址,公网地址可以直接对外提供访问服务
实验:首先环境准备需要三台服务器
ky01 zb:内网服务器 192.168.86.10
ky01 sk:网关服务器 192.168.86.11
beiyong:外网地址 12.0.0.0
实验开始:
将ky01 sk:添加一个网络适配器
此时有两个网络适配器
ifconfig
ls
cd /etc/sysconfig/network-scripts
vim ifcfg-ens33
对IPADDR操作192.168.86.254
vim ifcfg-ens36(ps:此次经过上图ifconfig查看是36)
对IPADDR操作12.0.0.254
此时在ky01 zb和beiyong上
yum -y install httpd
systemctl restart httpd
然后:在浏览器登录192.168.86.10
192.168.86.12
对ky01 sk操作:systemctl restart network
对此虚拟机页面操作:vim /etc/sysctl.conf
这是一个修改Linux内核参数的文件。可以使这些参数配置立刻生效
文件最后面添加一行:net.ipv4.ip_forward=1
命令:sysctl -p
让文件立刻生效
对ky01 zb操作
对beiyong操作:
对ky01 sk操作:
iptables -t nat -A POSTROUTING -s 192.168.86.0/24 -o ens36 -j SNAT --to 10.0.0.10
对此命令讲解:
iptables :固定格式开头
-t nat:使用地址转换表
-A POSTROUTING:数据包离开本机的规则
-s 192.168.86.0/24:整个网段作为源IP地址
-o ens36:数据包流出本机的设备
-j SNAT:做源地址转换
--to:转换成10.0.0.10
测试一下:
登录ky01 zb和beiyong
ky01 zb打开一个浏览器
beiyong打开日志
然后登录beiyong地址
查看日志此时应该是地址10.0.0.10
然后对ky01 sk 操作:
iptables -t net -A PREROUTING -d 11.0.0.11 -i ens36 -p tcp --dport 80 -j DNAT --to 192.168.86.10:80
-t nat:使用地址转换表
-A PREROUTING:进入本机之后数据包做地址转换
-d指定目的地址11.0.0.11
-i:ens36设备进入本机
-p: 指定协议
--dport :目的端口,80
-j:控制类型,目的地址转换
--to :访问11.0.0.11就等于访问内网192.168.86.10:80的httpd的服务
然后继续:iptables -t nat
测试:
主机1 打开日志:
主机3打开浏览器:
访问
此时可以看到日志源地址没有变
面试题:
如何在Linux系统中对网络抓包?
tcpdump,这是Linux自带的抓包工具
两种方式:
1.静态抓包,指定抓多少个数据包
2.动态抓包,想抓多少抓多少,除非手动停止
cd /opt
tcpdump tcp 或者icmp 或者
tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.168.86.0/24 -w /opt/lmn.cap
tcpdump 抓包命令
tcp :指定协议
-i ens33:只抓经过ens33的数据包
-t: 不显示时间戳
-s0:抓取完整的数据包,默认只抓64字节的数据包
-c 10 : 只抓10个数据包
dst port 80 :抓取的目标端口是80
src net 192.168.86.0/24:抓取数据包的源地址
-w :指定保存抓包文件的位置
.cap:是一种无线网络数据包捕获文件的扩展名
.cap文件需要保存到win系统打开
sz lmn.cap
动态抓包实验:
tcpdump -i ens33 -s0 -w /opt/lmn1.cap
动态抓包需要Ctrl+C手动停止
PS:在工作中最好使用动态抓包。
firewalld防火墙
查看防火墙的默认区域
查看默认区域的所有规则
block限制区,所有流量都会被拒绝
dmz:隔离区,也叫非军事区,只会运行预定服务,ssh等系统预设服务,其余都会拒绝
drop:丢弃区,丢弃所有传入流量,而且没有任何相应
external:外部区域,允许系统预设的服务,ssh,其他的全部拒绝
home:家庭区域,只允许预设的服务,其他的全部拒绝
internal:内部区域,和家庭区域一样
public:公共区域,也是firewalld的默认区域,也是允许预设服务ssh,其他的全部拒绝
trusted:信任区域,允许所有的传入流量
work:工作区域,只会允许预定义服务的流量传入,其他全部拒绝
curl 192.168.86.10
查看命令访问httpd
修改默认区域
firewalld-cmd --set-default-zone=区域名
指定服务添加到区域内:
firewalld-cmd --
添加多个服务到指定区域内
在指定区域删除服务
以上添加服务方法是临时添加,防火墙重启一下就全没了
此命令是永久添加服务到防火墙的指定区域
删除永久服务配置
添加端口到指定区域
添加多个端口到指定区域
范围添加端口到指定区域
