第7章 Iptables與Firewalld防火牆。

第7章 Iptables與Firewalld防火牆。

 

 

 

Chapter7_聽較強節奏的音樂可以讓您更長時間的投入在學習中。

《Linux就該這麼學》

00:00/00:00

 

 

 

 

 

104:01

204:13

304:12

402:47

502:57

605:39

702:52

803:55

903:59

1003:59

1102:56

1203:44

1303:19

1403:08

 

章節簡述：

紅帽RHEL7系統已經用firewalld服務替代了iptables服務，新的防火牆管理命令firewall-cmd與圖形化工具firewall-config。

本章節基於數十個防火牆需求，使用規則策略完整演示對數據包的過濾、SNAT/SDAT技術、端口轉發以及負載均衡等實驗。

不光光學習iptables命令與firewalld服務，還新增了Tcp_wrappers防火牆服務小節，簡單配置便可保證系統與服務的安全。

 

本章目錄結構 [收起]

• 7.1 瞭解防火牆管理工具
• 7.2 Iptables命令
  • 7.2.1 規則鏈與策略
  • 7.2.2 基本的命令參數
  • 7.2.3 SNAT與DNAT
• 7.3 Firewalld防火牆
  • 7.3.1 區域概念與做用
  • 7.3.2 字符管理工具
  • 7.3.3 圖形管理工具
• 7.4 服務的訪問控制列表

7.1 瞭解防火牆管理工具

防火牆雖有軟件或硬件之分但主要功能仍是依據策略對外部請求進行過濾，成爲公網與內網之間的保護屏障，防火牆會監控每個數據包並判斷是否有相應的匹配策略規則，直到知足其中一條策略規則爲止，而防火牆規則策略能夠是基於來源地址、請求動做或協議來定製的，最終僅讓合法的用戶請求流入到內網中，其他的均被丟棄。

在紅帽RHEL7系統中firewalld服務取代了iptables服務，但依然可使用iptables命令來管理內核的netfilter。這對於接觸Linux系統比較早或學習過紅帽RHEL6系統的讀者來說，忽然接觸firewalld服務會比較抵觸，可能會以爲新增Firewalld服務是一次不小的改變，其實這樣講也是有道理的。但其實Iptables服務與Firewalld服務都不是真正的防火牆，它們都只是用來定義防火牆規則功能的「防火牆管理工具」，將定義好的規則交由內核中的netfilter即網絡過濾器來讀取，從而真正實現防火牆功能，因此其實在配置規則的思路上是徹底一致的，而我會在本章中將iptables命令與firewalld服務的使用方法都教授給大家，坦白講平常工做不管用那種都是可行的。

7.2 Iptables命令

iptables命令用於建立數據過濾與NAT規則，主流的Linux系統都會默認啓用iptables命令，但其參數較多且規則策略相對比較複雜。

7.2.1 規則鏈與策略

在iptables命令中設置數據過濾或處理數據包的策略叫作規則，將多個規則合成一個鏈。
舉例來講:小區門衛有兩條的規則，將這兩個規則能夠合成一個規則鏈：

遇到外來車輛須要登記。
嚴禁快遞小哥進入社區。

可是光有策略還不能保證社區的安全，咱們須要告訴門衛（iptables）這個策略（規則鏈）是做用於哪裏的，並賦予安保人員可能的操做有這些，如：「容許」，「登記」，「拒絕」，「不理他」，對應到iptables命令中則常見的控制類型有：

ACCEPT:容許經過.
LOG:記錄日誌信息,而後傳給下一條規則繼續匹配.
REJECT:拒絕經過,必要時會給出提示.
DROP:直接丟棄,不給出任何迴應.

其中REJECT和DROP的操做都是將數據包拒絕，但REJECT會再回復一條「您的信息我已收到，但被扔掉了」。
經過ping命令測試REJECT狀況會是這樣的：

[root@localhost ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
From 192.168.10.10 icmp_seq=1 Destination Port Unreachable
From 192.168.10.10 icmp_seq=2 Destination Port Unreachable
From 192.168.10.10 icmp_seq=3 Destination Port Unreachable
From 192.168.10.10 icmp_seq=4 Destination Port Unreachable

--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3002ms

但若是是DROP則不予響應：

[root@localhost ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.

--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3000ms

而規則鏈則依據處理數據包的位置不一樣而進行分類：

PREROUTING:在進行路由選擇前處理數據包
INPUT:處理入站的數據包
OUTPUT:處理出站的數據包
FORWARD:處理轉發的數據包
POSTROUTING:在進行路由選擇後處理數據包

Iptables中的 規則表是用於容納 規則鏈， 規則表默認是容許狀態的，那麼 規則鏈就是設置被禁止的規則，而反之若是 規則表是禁止狀態的，那麼 規則鏈就是設置被容許的規則。

raw表:肯定是否對該數據包進行狀態跟蹤

mangle表:爲數據包設置標記

nat表:修改數據包中的源、目標IP地址或端口

filter表:肯定是否放行該數據包（過濾）

規則表的前後順序:raw→mangle→nat→filter

規則鏈的前後順序:

入站順序:PREROUTING→INPUT

出站順序:OUTPUT→POSTROUTING

轉發順序:PREROUTING→FORWARD→POSTROUTING

還有三點注意事項：

1.沒有指定規則表則默認指filter表。

2.不指定規則鏈則指表內全部的規則鏈。

3.在規則鏈中匹配規則時會依次檢查，匹配即中止（LOG規則例外），若沒匹配項則按鏈的默認狀態處理。

 

7.2.2 基本的命令參數

iptables命令用於管理防火牆的規則策略，格式爲：「iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型]」。

表格爲讀者總結了幾乎全部經常使用的iptables參數，若是記不住也不要緊，用時來查就行，看完後來學習下如何組合並使用吧：

參數	做用
-P	設置默認策略:iptables -P INPUT (DROP|ACCEPT)
-F	清空規則鏈
-L	查看規則鏈
-A	在規則鏈的末尾加入新規則
-I num	在規則鏈的頭部加入新規則
-D num	刪除某一條規則
-s	匹配來源地址IP/MASK，加歎號"!"表示除這個IP外。
-d	匹配目標地址
-i 網卡名稱	匹配從這塊網卡流入的數據
-o 網卡名稱	匹配從這塊網卡流出的數據
-p	匹配協議,如tcp,udp,icmp
--dport num	匹配目標端口號
--sport num	匹配來源端口號

 

查看已有的規則：

[root@linuxprobe ~]# iptables -L

清空已有的規則：

[root@linuxprobe ~]# iptables -F

將INPUT鏈的默認策略設置爲拒絕：

當INPUT鏈默認規則設置爲拒絕時，咱們須要寫入容許的規則策略。

這個動做的目地是當接收到數據包時，按順序匹配全部的容許規則策略，當所有規則都不匹配時，拒絕這個數據包。

[root@linuxprobe ~]# iptables -P INPUT DROP

容許全部的ping操做：

[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT

在INPUT鏈的末尾加入一條規則，容許全部未被其餘規則匹配上的數據包：

由於默認規則表就是filter，因此其中的"-t filter"通常省略不寫，效果是同樣的。

[root@linuxprobe ~]# iptables -t filter -A INPUT -j ACCEPT

刪除上面的那條規則：

[root@linuxprobe ~]# iptables -D INPUT 2

既然讀者已經掌握了iptables命令的基本參數，那麼來嘗試解決模擬訓練吧：

模擬訓練A:僅容許來自於192.168.10.0/24域的用戶鏈接本機的ssh服務。

Iptables防火牆會按照順序匹配規則，請必定要保證「容許」規則是在「拒絕」規則的上面。

[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT

模擬訓練B:不容許任何用戶訪問本機的12345端口。

[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT

模擬實驗C(答案模式):拒絕其餘用戶從"eno16777736"網卡訪問本機http服務的數據包。

答案：[rootlinuxprobe ~]# iptables -I INPUT -i eno16777736 -p tcp --dport 80 -j REJECT

模擬訓練D:禁止用戶訪問www.my133t.org。

[root@linuxprobe ~]# iptables -I FORWARD -d www.my133t.org -j DROP

模擬訓練E:禁止IP地址是192.168.10.10的用戶上網

[root@linuxprobe ~]# iptables -I FORWARD -s 192.168.10.10 -j DROP

iptables命令執行後的規則策略僅當前生效，若想重啓後依然保存規則需執行"service iptables save"。

 

7.2.3 SNAT與DNAT

SNAT即源地址轉換技術，可以讓多個內網用戶經過一個外網地址上網，解決了IP資源匱乏的問題，確實很實用。

例如讀者們來訪問《Linux就該這麼學》的網頁，則就是經過家中的網關設備（您的無線路由器）進行的SNAT轉換。

（多用戶局域網共享上網的拓撲）

（因未使用SNAT技術，因此在網站服務器應答後找不到192.168.10.10這臺主機，沒法正常瀏覽網頁）

(因使用了SNAT地址轉換技術，服務器應答後先由網關服務器接收，再分發給內網的用戶主機。)

如今須要將" 192.168.10.0"網段的內網IP用戶通過地址轉換技術變成外網IP地址" 111.196.211.212"，這樣一來內網IP用戶就均可以經過這個外網IP上網了，使用iptables防火牆便可實現SNAT源地址轉換，根據需求命令以下：

不知讀者有無這種經歷，當使用聯通或者電信上網的時候，每次撥號都會從新分配新的IP地址，那麼若網關IP常常變更怎麼辦？

這種外網IP地址不穩定的狀況便可使用MASQUERADE( 動態假裝):可以自動的尋找外網地址並改成當前正確的外網IP地址

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

DNAT即目地地址轉換技術，則可以讓外網IP用戶訪問局域網內不一樣的服務器。

（互聯網中的客戶機訪問網站時的拓撲）

（DNAT的數據包轉換過程）

如今但願互聯網中的客戶機訪問到內網" 192.168.10.6"這臺提供網站服務的主機，那麼只需在網關係統上運行這條命令：

出現問題?大膽提問!

因讀者們硬件不一樣或操做錯誤均可能致使實驗配置出錯，請耐心再仔細看看操做步驟吧，不要氣餒~

您能夠將報錯的屏幕截圖與本身的操做過程帖到「會員互助問答區」，通常問題都會在24小時內被解決。

7.3 Firewalld防火牆

Firewalld服務是紅帽RHEL7系統中默認的防火牆管理工具，特色是擁有運行時配置與永久配置選項且可以支持動態更新以及"zone"的區域功能概念，使用圖形化工具firewall-config或文本管理工具firewall-cmd，下面實驗中會講到~

7.3.1 區域概念與做用

防火牆的網絡區域定義了網絡鏈接的可信等級，咱們能夠根據不一樣場景來調用不一樣的firewalld區域，區域規則有：

區域	默認規則策略
trusted	容許全部的數據包。
home	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh,mdns,ipp-client,samba-client與dhcpv6-client服務則容許。
internal	等同於home區域
work	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh,ipp-client與dhcpv6-client服務則容許。
public	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh,dhcpv6-client服務則容許。
external	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh服務則容許。
dmz	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh服務則容許。
block	拒絕流入的數據包，除非與輸出流量數據包相關。
drop	拒絕流入的數據包，除非與輸出流量數據包相關。

 

簡單來說就是爲用戶預先準備了幾套規則集合，咱們能夠根據場景的不一樣選擇合適的規矩集合，而默認區域是 public。

7.3.2 字符管理工具

若是想要更高效的配置穩當防火牆，那麼就必定要學習字符管理工具firewall-cmd命令,命令參數有：

參數	做用
--get-default-zone	查詢默認的區域名稱。
--set-default-zone=<區域名稱>	設置默認的區域，永久生效。
--get-zones	顯示可用的區域。
--get-services	顯示預先定義的服務。
--get-active-zones	顯示當前正在使用的區域與網卡名稱。
--add-source=	未來源於此IP或子網的流量導向指定的區域。
--remove-source=	再也不將此IP或子網的流量導向某個指定區域。
--add-interface=<網卡名稱>	未來自於該網卡的全部流量都導向某個指定區域。
--change-interface=<網卡名稱>	將某個網卡與區域作關聯。
--list-all	顯示當前區域的網卡配置參數，資源，端口以及服務等信息。
--list-all-zones	顯示全部區域的網卡配置參數，資源，端口以及服務等信息。
--add-service=<服務名>	設置默認區域容許該服務的流量。
--add-port=<端口號/協議>	容許默認區域容許該端口的流量。
--remove-service=<服務名>	設置默認區域再也不容許該服務的流量。
--remove-port=<端口號/協議>	容許默認區域再也不容許該端口的流量。
--reload	讓「永久生效」的配置規則當即生效，覆蓋當前的。

 

特別須要注意的是firewalld服務有兩份規則策略配置記錄，必須要可以區分：

RunTime:當前正在生效的。

Permanent:永久生效的。

當下面實驗修改的是永久生效的策略記錄時，必須執行"--reload"參數後才能當即生效，不然要重啓後再生效。

查看當前的區域：

[root@linuxprobe ~]# firewall-cmd --get-default-zone
public

查詢eno16777728網卡的區域：

[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public

在public中分別查詢ssh與http服務是否被容許：

[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=http
no

設置默認規則爲dmz：

[root@linuxprobe ~]# firewall-cmd --set-default-zone=dmz

讓「永久生效」的配置文件當即生效：

[root@linuxprobe ~]# firewall-cmd --reload
success

啓動/關閉應急情況模式，阻斷全部網絡鏈接：

應急情況模式啓動後會禁止全部的網絡鏈接，一切服務的請求也都會被拒絕，小心，請慎用。

[root@linuxprobe ~]# firewall-cmd --panic-on
success
[root@linuxprobe ~]# firewall-cmd --panic-off
success

若是您已經可以徹底理解上面練習中firewall-cmd命令的參數做用，不妨來嘗試完成下面的模擬訓練吧：
模擬訓練A:容許https服務流量經過public區域，要求當即生效且永久有效：
方法一:分別設置當前生效與永久有效的規則記錄：

[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https

方法二:設置永久生效的規則記錄後讀取記錄：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
[root@linuxprobe ~]# firewall-cmd --reload

模擬訓練B:再也不容許http服務流量經過public區域，要求當即生效且永久生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http
 success

使用參數"--reload"讓永久生效的配置文件當即生效：

[root@linuxprobe ~]# firewall-cmd --reload
success

模擬訓練C:容許8080與8081端口流量經過public區域，當即生效且永久生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp
[root@linuxprobe ~]# firewall-cmd --reload

模擬訓練D:查看模擬實驗C中要求加入的端口操做是否成功：

[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports
8080-8081/tcp
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --list-ports
8080-8081/tcp

模擬實驗E:將eno16777728網卡的區域修改成external，重啓後生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=eno16777728
success
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public

端口轉發功能能夠將本來到某端口的數據包轉發到其餘端口:

firewall-cmd --permanent --zone=<區域> --add-forward-port=port=<源端口號>:proto=<協議>:toport=<目標端口號>:toaddr=<目標IP地址>

將訪問192.168.10.10主機888端口的請求轉發至22端口：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success

使用客戶機的ssh命令訪問192.168.10.10主機的888端口：

[root@linuxprobe ~]# ssh -p 888 192.168.10.10
The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established.
ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts.
root@192.168.10.10's password:
Last login: Sun Jul 19 21:43:48 2015 from 192.168.10.10

另外流量均衡技術也是經常使用的技術，好比將一臺主機做爲網站的前端服務器，將訪問流量分流至內網中3臺不一樣的主機上。

iptables  -A PREROUTING -i eth0 -p tcp --dport 80 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.10.10:80
iptables -A PREROUTING -i eth0 -p tcp --dport 80 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.10.11:80
iptables -A PREROUTING -i eth0 -p tcp --dport 80 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.10.12:80

再次提示:請讀者們再仔細琢磨下當即生效與重啓後依然生效的差異，千萬不要修改錯了。

模擬實驗F:設置富規則，拒絕192.168.10.0/24網段的用戶訪問ssh服務：

firewalld服務的富規則用於對服務、端口、協議進行更詳細的配置，規則的優先級最高。

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success

 

7.3.3 圖形管理工具

執行 firewall-config命令便可看到firewalld的防火牆圖形化管理工具，真的很強大，能夠完成不少複雜的工做。

firewalld防火牆圖形化管理工具界面詳解：

 

①:選擇"當即生效"或"重啓後依然生效"配置。
②:區域列表。
③:服務列表。
④:當前選中的區域。
⑤:被選中區域的服務。
⑥:被選中區域的端口。
⑦:被選中區域的假裝。
⑧:被選中區域的端口轉發。
⑨:被選中區域的ICMP包。
⑩:被選中區域的富規則。
⑪:被選中區域的網卡設備。
⑫:被選中區域的服務，前面有√的表示容許。
⑬:firewalld防火牆的狀態

請注意:firewall-config圖形化管理工具中沒有保存/完成按鈕，只要修改就會生效。

容許其餘主機訪問http服務，僅當前生效：

容許其餘主機訪問8080-8088端口且重啓後依然生效：

開啓假裝功能，重啓後依然生效：

firewalld防火牆的假裝功能實際就是SNAT技術，即讓內網用戶沒必要在公網中暴露本身的真實IP地址。

將向本機888端口的請求轉發至本機的22端口且重啓後依然生效：

過濾全部"echo-reply"的ICMP協議報文數據包，僅當前生效：

ICMP即互聯網控制報文協議" Internet Control  Message  Protocol"，歸屬於TCP/IP協議族，主要用於檢測網絡間是否可通訊、主機是否可達、路由是否可用等網絡狀態，並不用於傳輸用戶數據。

僅容許192.168.10.20主機訪問本機的1234端口，僅當前生效：

富規則表明着更細緻、更詳細的規則策略，針對某個服務、主機地址、端口號等選項的規則策略， 優先級最高。

查看網卡設備信息：

 

firewall-config圖形管理工具真的很是實用，不少本來複雜的長命令被用圖形化按鈕替代，設置規則也變得簡單了，平常工做中真的很是實用。因此有必要跟們讀者講清配置防火牆的原則——只要能實現需求的功能，不管用文本管理工具仍是圖形管理工具都是能夠的。

7.4 服務的訪問控制列表

Tcp_wrappers(即Transmission Control Protocol(TCP)Wrappers)是一款基於IP層的ACL訪問控制列表流量監控程序，它可以根據來訪主機地址與本機目標服務程序作容許或拒絕規則，控制列表修改後會當即生效，系統將會先檢查容許規則，若是匹配容許則直接放行流量，若拒絕規則中匹配則直接拒絕，都不匹配默認也會放行。

容許名單:/etc/hosts.allow

拒絕名單:/etc/hosts.deny

指定客戶端的規則以下：

客戶端類型	示例	知足示例的客戶端列表
單一主機	192.168.10.10	IP地址爲192.168.10.10的主機。
指定網段	192.168.10.	IP段爲192.168.10.0/24的主機。
指定網段	192.168.10.0/255.255.255.0	IP段爲192.168.10.0/24的主機。
指定DNS後綴	.linuxprobe.com	全部DNS後綴爲.linuxprobe.com的主機
指定主機名稱	boss.linuxprobe.com	主機名稱爲boss.linuxprobe.com的主機。
指定全部客戶端	ALL	全部主機所有包括在內。

 

限制只有192.168.10.0/24網段的主機能夠訪問本機的httpd服務：

編輯容許規則：

[root@linuxprobe ~]# vim /etc/hosts.allow
httpd:192.168.10.

拒絕其餘全部的主機：

[root@linuxprobe ~]# vim /etc/hosts.deny
httpd:*

出現問題?大膽提問!

因讀者們硬件不一樣或操做錯誤均可能致使實驗配置出錯，請耐心再仔細看看操做步驟吧，不要氣餒~

您能夠將報錯的屏幕截圖與本身的操做過程帖到「會員互助問答區」，通常問題都會在24小時內被解決。

 

本章節的複習做業(答案就在問題的下一行哦，用鼠標選中便可看到的~)

1:iptables服務已經被firewalld取代，iptables命令也不能使用了？

答案:錯，要區分iptables服務與iptables命令。

2:將iptables的INPUT規則鏈默認規則設置爲REJECT。

答案:iptables -P INPUT REJECT。

3:SNAT與DNAT那個技術可以實現讓多個內網用戶使用單一IP地址進入公網？

答案:SNAT技術。

4:firewalld防火牆管理工具區域的做用？

答案:咱們須要根據不一樣的場景來調用不一樣的firewalld區域。

5:使用firewall-cmd查詢網卡eno16777728屬於那個區域的命令是？

答案:firewal