自Centos7.X开始,系统自带的防火墙是filewalld,但是也同样支持iptables, 我们仍然可以用iptables来作为防火墙。
netfilter/iptables:IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成。
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。
netfilter/iptables 简称为iptables。 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle、raw四张表。所有规则配置后,立即生效,不需要重启服务
-----------------------
四张表介绍:
① filter:负责过滤数据包,包括的规则链有,input,output和forward;
② nat:则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output;
③ mangle:表则主要应用在修改数据包内容上,用来做流量整形的,给数据包打个标识,默认的规则链有:INPUT、OUTPUT、forward、POSTROUTING、PREROUTING;
④ raw:主要用于异常处理,PREROUTING、OUTPUT
注意:表间的优先顺序:raw > mangle > nat > filter
五个链介绍:
① input:匹配目标IP是本机的数据包,
② output: 出口数据包,一般不在此链上做配置
③ forward:匹配流经本机的数据包,
④ prerouting:用来修改目的地址,用来做DNAT,如:把内网中的80端口映射到路由器外网端口上,来自公网数据包
⑤ postrouting:用来修改源地址用来做SNAT,如:内网通过路由器NAT转换功能实现内网PC机通过一个公网IP地址上网。发往公网数据包
链间的匹配顺序
链内的匹配顺序
注意:规则的次序非常关键,谁的规则越严格,应该放在越靠前,而检查规则的时候,是按照从上往下的方式进行检查。
整体数据包分三类:1、发给防火墙本身的数据包 ;2、需要经过防火墙转发的数据包;3、由运行在本机的程序封装的并发出去的数据包;
# 关闭firewalld
systemctl stop firewalld
systemctl disable firewalld
# 安装iptables
yum install -y iptables-services
# 查看配置文件
cat /etc/sysconfig/iptables
# 启动服务
systemctl start iptables
语法:iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]
注意事项:
添加注意:
删除注意:
# 拒绝所有人访问服务器,
# 在filter表的INPUT链里追加一条规则(作为最后一条规则),所有访问本机 IP 的数据包,匹配到的丢弃
iptables -t filter -A INPUT -j DROP
# 在 filter 表的 INPUT 链里插入一条规则(插入成第 1 条)
iptables -I INPUT -s 192.168.1.1 -j DROP
# 在 filter 表的 INPUT 链里插入一条规则(插入成第 5 条)
iptables -I INPUT 5 -j DROP
# 删除filter表中的第五条规则
iptables -D INPUT 5
# 按照内容匹配删除
iptables -D INPUT -s 192.168.1.1 -j DROP
# 设置 filter 表 INPUT 链的默认规则是 DROP
iptables -P INPUT DROP
# 清除INPUT链上的规则
iptables -F INPUT
# 清除filter表中所有链上的规则
iptables -F
# 清空NAT表中所有链上的规则
iptables -t nat -F
# 清空NAT表中 PREROUTING
iptables -t nat -F PREROUTING
# 粗略列出 filter 表所有链及所有规则
iptables -L
# 用详细方式列出 nat 表所有链的所有规则,只显示 IP 地址和端口号
iptables -t nat -vnL
# 用详细方式列出filter表所有字段的所有规则以及详细数字
iptables -vxnL
# 匹配是否从网络接口 eth0 进来
-i eth0
# 匹配是否从网络接口 ppp0 进来
-i ppp0
# 匹配是否从网络接口 eth0 出去
-o eth0
# 匹配是否从网络接口 ppp0 出去
-o ppp0
# 匹配来自 192.168.0.1 的数据包
-s 192.168.0.1
# 匹配来自 192.168.1.0/24 网络的数据包
-s 192.168.1.0/24
# 匹配来自 192.168.0.0/16 网络的数据包
-s 192.168.0.0/16
# 按协议类型匹配
-p tcp
-p udp
-p icmp --icmp-type
# 匹配源端口是 1000 的数据包
--sport 1000
# 匹配源端口是 1000-3000 的数据包(含1000、3000)
--sport 1000:3000
# 匹配源端口是 3000 以下的数据包(含 3000)
--sport :3000
# 匹配源端口是 1000 以上的数据包(含 1000)
--sport 1000:
# 匹配网络中目的端口是 53 的 UDP 协议数据包
-p udp --dport 53
# 匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包
-s 10.1.0.0/24 -d 172.17.0.0/16
# 匹配来自 192.168.0.1,去往 www.abc.com 的 80 端口的 TCP 协议数据包
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80
# 允许所有访问本机 IP 的数据包通过
iptables -A INPUT -j ACCEPT
# 阻止来源地址为 192.168.80.39 的数据包通过本机
iptables -A FORWARD -s 192.168.80.39 -j DROP
# 将内网 192.168.0.0/24 的原地址修改为 1.1.1.1,用于 NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
# 将内网 192.168.0.0/24 的原地址修改地址池IP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
# 把从eth0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1
# 把从 eth0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1-192.168.0.10
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.0.10
# 将源地址是 192.168.0.0/24 的数据包进行地址伪装,转换成eth0上的IP地址。eth0为路由器外网出口IP地址
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
语法:-m state --state 状态
状态 |
描述 |
NEW |
如果我们发送一个连接的初始化包,状态就会在OUTPUT链里被设置为NEW,当我们收到回应的包时,状态就会在PREROUTING链里被设置为ESTABLISHED。如果第一个包不是本地产生的,那就会在PREROUTING链里被设置为NEW状态。 |
ESTABLISHED |
连接态 |
RELATED |
衍生态(如FTP的数据连接是与控制连接相关的,所以数据连接在规则链被设置为RELATED状态) |
INVALID |
不能被识别属于哪个连接或没有任何状态 |
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
语法:-m mac --mac-source MAC
注意:报文经过路由后,数据包中原有的mac 信息会被替换,所以在路由后的 iptables 中使用 mac 模块是没有意义的。
# 阻断来自某 MAC 地址的数据包,通过本机
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
语法:-m limit --limit 匹配速率 [--burst 缓冲数量]
注意:limit 英语上看是限制的意思,但实际上只是按一定速率去匹配而已,50/s表示1秒中转发50个数据包,要想限制的话后面要再跟一条 DROP。
iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP
语法:-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]
注意: 必须与-p 参数一起使用
① 配置vsftp服务器主动模式iptables规则
iptables -F
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 默认情况一般服务与本机通讯以127.0.0.1来通讯的。
iptables -A INPUT -i lo -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许其他机器 ping 本机
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -j DROP
② 配置web服务器iptables防火墙
iptables -F
iptables -A INPUT -i lo -j ACCEPT #放行环回口所有数据
iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 允许已经建立tcp连接的包以及该连接相关的包通过。
# 状态防火墙能识别TCP或者UDP会话。非状态防火墙只能根据端口识别,不能识别会话
iptables -P INPUT DROP
注:一般iptables,OUTPUT出口一般都放行,不需要在出口上做限制。这样允许服务器主动访问外网
保存:service iptables save
-----------------------------------
Firewalld 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。
我们首先需要弄明白的第一个问题是到底什么是动态防火墙。为了解答这个问题,我们先来回忆一下iptables service 管理防火墙规则的模式:用户使用命令添加防火墙的规则,如果想让规则永久保存,还需要再执行命令 iptables-save>/etc/sysconfig/iptables使变更的规则保存到配置文件里。在这整个过程的背后,iptables service 会对防火墙的规则列表全部重读一次,加载到内核.
如果我们把这种哪怕只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话,那么firewalld 所提供的模式就可以叫做动态防火墙,它的出现就是为了解决这一问题,任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新到运行中的iptables 即可。
firewalld 提供了一个 daemon 和 service,还有命令行和图形界面配置工具,它仅仅是替代了 iptables service 部分,其底层还是使用 iptables 作为防火墙规则管理入口。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。
一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。不同zone中规则粒度粗细、安全强度都不尽相同。可以把zone看作是一个个出站或入站必须经过的安检门,有的严格、有的宽松、有的检查的细致、有的检查的粗略。
zone 默认共有9个,不同的区域之间的差异是其对待数据包的默认行为不同,根据区域名字我们可以很直观的知道该区域的特征,在CentOS7系统中,默认区域被设置为public.
/etc/firewalld/ 存放修改过的配置(优先查找,找不到再找默认的配置)
/usr/lib/firewalld/ 默认的配置
修改配置的话只需要将/usr/lib/firewalld中的配置文件复制到/etc/firewalld中修改。恢复配置的话直接删除/etc/firewalld中的配置文件即可。
比如 ssh服务默认运行在22端口,如果你的ssh服务运行在220端口(不是默认),此时需要放行220端口,就需要把/usr/lib/firewalld/ssh.xml 文件拷贝到 /etc/firewalld/services/ 目录下,修改文件端口为220。重启firewalld服务或者重新加载设置,以激活这些设置firewall-cmd --reload
。
第一,通过服务名字来管理规则更加人性化,
第二,通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。每加载一项service 配置就意味着开放了对应的端口访问。
firewall-cmd --get-services #列出所有支持的 service
firewall-cmd --list-services #查看当前 zone 种加载的 service
你可以使用任何一种firewalld 配置工具来配置或者增加区域,以及修改配置。工具有 firewall-config 图形界面工具,firewall-cmd命令行工具。
# 安装
yum install firewalld
# 启动
systemctl start firewalld
# 查看状态
systemctl status firewalld 或者 firewall-cmd --state
# 停止
systemctl stop firewalld
# 禁用
systemctl disable firewalld
# 根据ens33接口获取活动区域
firewall-cmd --get-zone-of-interface=ens33
# 显示默认区域中的启动的全部特性
firewall-cmd --list-all
# 显示work区域中的启动的全部特性
firewall-cmd --zone=work --list-all
firewall-cmd --panic-off和firewall-cmd --panic-on实际就是断网和连网
当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则。rich-rules 富规则:功能强,更细致、更详细的防火墙规则策略,它的优先级在所有的防火墙策略中也是最高的。
# 允许来自主机 192.168.0.14 的所有 IPv4 流量
firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.0.14 accept'
# 拒绝来自主机 192.168.1.10 到 22 端口的 IPv4 的 TCP 流量
firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port protocol=tcp port=22 reject'
# 每分钟允许2个新连接访问ftp服务
firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
对于一个接收到的请求具体使用哪个zone,firewalld是通过三种方式来判断的:
这三个方式的优先级按顺序依次降低,也就是说如果按照source可以找到就不会再按interface去找,如果前两个都找不到才会使用第三个默认区域。