iptables之四擴展匹配及網絡防火牆功能

時間 2019-11-08

原文原文鏈接

1、開放被動模式的ftp服務

　　若是想開放被動模式的ftp服務，大致上要經過鏈接追蹤中的RELATED這麼一個狀態來實現，也就是說對於21號端口開放NEW和ESTSBLESHED。（命令鏈接通常是經過21號端口實現的），而對於數據鏈接因爲它經過沒法固定的模式時，工做在非固定的隨機端口上，因此咱們只須要檢查這個鏈接的狀態是不是RELATED的，若是是RELATED，不管入棧仍是出棧通通給予放行便可。前端

　　由此，要想開放被動模式的ftp服務大致上要三個步驟便可實現：docker

(1)、裝載ftp追蹤時專用的模塊；（實際上是叫RELATED狀態追蹤時的專用模塊，只不過對於應用來說，它也的確是專用ftp的）後端

　　nf_conntrack_ftp是專門爲ftp追蹤RELATED鏈接的專用模塊；服務器

　　須要注意的是有可能須要手動裝載此模塊；網絡

(2)、放行請求報文；負載均衡

　　全部的數據鏈接都是那些鏈接狀態爲RELATED狀態的鏈接，因此它的請求報文只跟21號命令鏈接相關，由於咱們全部的ftp請求也必定是先跟命令鏈接先創建一個鏈接。工具

　　命令鏈接：放行NEW、ESTABLISHED測試

　　數據鏈接：放行RELATED、ESTABLISHED（剛鏈接時即第一次請求時不叫NEW而叫RELATED，可是一旦鏈接創建起來全部的後續的通訊也叫ESTABLISHED）優化

(3)、放行響應報文；spa

ESTABLISHED

測試：

　　先改ACCEPT再改規則，再看沒有規則時訪問是否有問題：

　　保存此前規則：

　　從新裝載剛纔保存的規則：

　　剛纔清空的主要目的就是爲了測試ftp正常狀況下咱們不加防火牆規則是OK的。

　　若加了防火牆規則若未放行ftp訪問顯然是訪問不到的，此時放行ftp服務依然能夠訪問到：

　　注意：在iptables使用領域當中，到此爲止，至少說這已經能夠達到中等規模的使用規格了。

2、保存或重載規則

　　如何保存及重載規則？

保存規則至指定文件：

　　iptables-save >/PATH/TO/SOMEFILE   （將須要保存的規則重定向並指明將當前內核中生效的規則保存在何處便可）

　　這種保存方式對於某些系統來說可能還有其餘的用法：

　　　　如CentOS 6可使用service iptables save來保存，至關於執行iptables-save>/etc/sysconfig/iptables

從指定文件重載（從新載入）規則：

　　iptables-restore < /PATH/TO/SOMEFILE

　　而另外重載規則CentOS 6還可使用：

　　　　service iptables restart至關於iptables-restore < /etc/sysconfig/iptables（restart至關於把現有的規則全清了，而後把這個文件再讀進來）

　　可是對於CentOS 7來說，它對於整個防火牆規則的管理，引入了一個新服務，即引入了新的iptables前端管理服務工具：firewalld。firewalld有不少工具單獨使用：

　　　　他有本身的專用命令叫firewalld-cmd，

　　　　還有前端工具，基於圖形的：firewalld-config

　　　　並且在firewalld中，它將整個防火牆分爲DMZ區、非軍事化管理區等。

　　firewalld首先它是以iptables爲基礎來生成規則的，來管理實現防火牆的，但它有引入了一些新概念，在有些環境中，好比像docker或openstack這樣的雲，不管是IAAS或PAAS雲這樣的環境中，它是的確有那麼必定的做用的，的確引入了不少新概念。不過對於簡單的本機防火牆的實現，其實firewalld目前來說他確定引入了新的機制會使得整個規則管理會更加複雜，爲了使得在CentOS 6和CentOS 7上使用風格統一，咱們不建議你們非得使用firewalld，能夠仍然使用iptables。不過要在CentOS 7上使用iptables，得首先去禁用firewalld。如：

禁用服務，關閉開機啓動：

關閉服務：

發現規則已清空：

指望之後本身寫的規則開機後能自動被重載：

啓動iptables服務：

其實啓動這個服務至關於使用：

但若是此前禁用了iptables這個文件是不存在的，由於沒有任何規則能夠載入。

即使是空規則，依然是能夠保存的：

　　保存後能夠啓動了：

　　其實依然沒有規則：

　　/etc/sysconfig/iptables文件中生成的是默認規則：

　　因此只有這麼一個文件存在時，通常來說，它在保存時纔有真正的意義；

這個服務腳本也能幫咱們重啓，而它重啓的主要意義在於咱們寫的規則一旦保存下來後，而iptables設置爲開機自動啓動。即只要在2，3，4,5級別開機自啓：

　　這就意味着這些規則在啓動時可以被載入，可讓其生效了。而從哪載入呢？默認狀況下是經過/etc/rc.d/init.d/iptables這個服務腳本指明的：

因此這就是爲何它是獨立一個文件，保存也是默認保存在這個文件中，其實是靠腳原本控制的。咱們使用iptables-save時能夠保存在任何咱們所重寫的文件中而未必是非得是這個文件，但這個腳本使用了這個文件。

再次說明個，這個腳本不是啓動任何服務，它雖然叫服務也支持start但沒有啓動任何進程，僅僅是讓那些規則生效而已，可是除此以外這個服務腳本還有另一個做用，好比咱們讓跟ftp相關的規則可以生效，還得去裝載ftp相關的專用模塊nf_controlc_ftp，而這個配置腳本是可以讓咱們在啓動服務時自動把咱們某些所須要的模塊給裝載進來的，那裝載哪些模塊？他依賴於這麼一個配置文件：/etc/sysconfig/iptables-config

若是想啓動服務時自動裝載nf_controlc_ftp,直接將其添加至IPTABLES_MODULES便可。啓動時它會自動使用modprobe把這裏給定的模塊轉載進來，若是有多個模塊須要裝入，中間使用空格分開便可。

這是CentOS 6上使用的是iptables服務腳本，但它事實上沒啓動任何服務，再次提醒，僅僅是在內核中生效規則或從內核中清空規則的。

那對CentOS 7而言，啓動對CentOS 6兼容的服務：

這也是使用相似的服務實現相應的功能的，不過多是將iptables禁用了，再也不啓用了，咱們本身去寫一個iptables的Unit便可，未來用到的時候再用便可。

對於iptables沒有服務腳本是沒有任何妨礙的；

若想去了解CentOS 7上的firewalld，可到以下地址瞭解：

3、構建網絡防火牆

　　咱們前面演示和講解的都是關於主機防火牆的，那咱們要想將iptables這臺主機扮演成網絡防火牆怎麼辦呢？iptables FORWARD，更重要的是須要打開核心轉發，並且咱們在本機內部後端應該有內網中的其它主機，那所以爲了演示效果，接下來咱們構建這麼一個拓撲來看看網絡防火牆怎麼實現。

　　大致上，咱們假設防火牆主機有兩個接口，一個面向內網用戶，一個面向外網主機。咱們就以192.168.241這個網絡做爲外網，那另外一邊咱們構建一個內網，添加第二塊網卡，內部咱們再添加一臺虛擬機，這兩個接口能夠經過一個內部的虛擬通道像WMNET2或VMNET3,它們配置同一個地址而且第一個接口內網這個主機的接口它訪問的網關應該指向網關的內網網卡地址。

咱們構建出這麼一個網絡模型出來，咱們在防火牆主機上添加一些規則，看能不能用來實現外網主機對內網主機或內網主機對外網主機全部的報文的轉發功能的實現，這個才稱爲網絡防火牆。固然做爲網絡防火牆來說，它內部應該有多個主機存在，網關都應該指向這臺防火牆主機，這是咱們所假設的模型，並且防火牆主機所接的外網使咱們可以接入互聯網或者接入外部網絡的惟一接口才能夠。固然未來也能夠有多個接口甚至必要時還能夠作負載均衡的。

規劃：內網主機網絡使用192.168.20.0，網關使用192.168.20.1，外網主機192.168.241.7，外網網關192.168.241.6，內網主機192.168.20.2或192.168.20.3。

　　說明：此處使用三臺虛擬主機進行演示，CentOS 7做爲網關，CentOS 6.5-i386做爲內網主機，CentOS 6.5-x86_64做爲外網主機。

具體實現：

在CentOS 7上添加兩塊網卡：

　　內網CentOS 6.5-i386主機：

　　對於另外一臺主機CentOS 6.5-x86_64將其當作外網主機使用。

　　再次說明，CentOS 6.5-x86_64是外網主機，CentOS 7是網關，CentOS 6.5-i386是內網主機。

　　調整CentOS 7的地址：

　　　　ping一下外網地址：

　　調整內網主機CentOS 6.5-i386網絡地址：

　　　　添加默認網關：

　　要想使用CentOS 7.1轉發報文，須要打開其轉發功能：