CentOS7-firewall防火牆使用

CentOS7-firewall防火牆使用

 CentOS7  彭東穩  11個月前 (12-23)  6263次瀏覽  已收錄  1個評論

1、Firewalld防火牆

紅帽RHEL7系統已經用firewalld服務替代了iptables服務，新的防火牆管理命令firewall-cmd與圖形化工具firewall-config。特色是擁有運行時配置與永久配置選項且可以支持動態更新以及」zone」的區域功能概念，使用圖形化工具firewall-config或文本管理工具firewall-cmd，下面實驗中會講到~

另外，你能夠能夠安裝iptables-services服務，這樣就能夠按照以前的操做來操做iptables了。可使用service save iptables來保存規則，也可使用service iptables start|stop來開啓和關閉iptables了。

 

1	$ yum install iptables-services

1）區域概念與做用

防火牆的網絡區域定義了網絡鏈接的可信等級，咱們能夠根據不一樣場景來調用不一樣的firewalld區域，區域規則有：

區域	默認規則策略
trusted	容許全部的數據包。
home	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh,mdns,ipp-client,samba-client與dhcpv6-client服務則容許。
internal	等同於home區域
work	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh,ipp-client與dhcpv6-client服務則容許。
public	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh,dhcpv6-client服務則容許。
external	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh服務則容許。
dmz	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh服務則容許。
block	拒絕流入的數據包，除非與輸出流量數據包相關。
drop	拒絕流入的數據包，除非與輸出流量數據包相關。

簡單來說就是爲用戶預先準備了幾套規則集合，咱們能夠根據場景的不一樣選擇合適的規矩集合，而默認區域是public。

2）字符管理工具

若是想要更高效的配置穩當防火牆，那麼就必定要學習字符管理工具firewall-cmd命令,命令參數有：

參數	做用
–get-default-zone	查詢默認的區域名稱。
–set-default-zone=<區域名稱>	設置默認的區域，永久生效。
–get-zones	顯示可用的區域。
–get-services	顯示預先定義的服務。
–get-active-zones	顯示當前正在使用的區域與網卡名稱。
–add-source=	未來源於此IP或子網的流量導向指定的區域。
–remove-source=	再也不將此IP或子網的流量導向某個指定區域。
–add-interface=<網卡名稱>	未來自於該網卡的全部流量都導向某個指定區域。
–change-interface=<網卡名稱>	將某個網卡與區域作關聯。
–list-all	顯示當前區域的網卡配置參數，資源，端口以及服務等信息。
–list-all-zones	顯示全部區域的網卡配置參數，資源，端口以及服務等信息。
–add-service=<服務名>	設置默認區域容許該服務的流量。
–add-port=<端口號/協議>	容許默認區域容許該端口的流量。
–remove-service=<服務名>	設置默認區域再也不容許該服務的流量。
–remove-port=<端口號/協議>	容許默認區域再也不容許該端口的流量。
–reload	讓「永久生效」的配置規則當即生效，覆蓋當前的。

特別須要注意的是firewalld服務有兩份規則策略配置記錄，必須要可以區分：

RunTime：當前正在生效的。

Permanent：永久生效的。

當下面實驗修改的是永久生效的策略記錄時，必須執行」–reload」參數後才能當即生效，不然要重啓後再生效。

查看當前的區域：

 

1 2	$ firewall-cmd --get-default-zone public

查詢eno16777728網卡的區域：

 

1 2	$ firewall-cmd --get-zone-of-interface=eno16777728 public

在public中分別查詢ssh與http服務是否被容許：

 

1 2 3 4

$ firewall-cmd --zone=public --query-service=ssh yes $ firewall-cmd --zone=public --query-service=http no

設置默認規則爲dmz：

 

1	$ firewall-cmd --set-default-zone=dmz

讓「永久生效」的配置文件當即生效：

 

1 2	$ firewall-cmd --reload success

啓動/關閉應急情況模式，阻斷全部網絡鏈接：

應急情況模式啓動後會禁止全部的網絡鏈接，一切服務的請求也都會被拒絕，小心，請慎用。

 

1 2 3 4

$ firewall-cmd --panic-on success $ firewall-cmd --panic-off success

若是您已經可以徹底理解上面練習中firewall-cmd命令的參數做用，不妨來嘗試完成下面的模擬訓練吧。

4）規則配置實戰

模擬訓練A：容許https服務流量經過public區域，要求當即生效且永久有效。

方法一：分別設置當前生效與永久有效的規則記錄

 

1 2	$ firewall-cmd --zone=public --add-service=https $ firewall-cmd --permanent --zone=public --add-service=https

方法二：設置永久生效的規則記錄後讀取記錄

 

1 2	$ firewall-cmd --permanent --zone=public --add-service=https $ firewall-cmd --reload

模擬訓練B：再也不容許http服務流量經過public區域，要求當即生效且永久生效。

 

1 2	$ firewall-cmd --permanent --zone=public --remove-service=http success

使用參數」–reload」讓永久生效的配置文件當即生效：

 

1 2	$ firewall-cmd --reload success

模擬訓練C：容許8080與8081端口流量經過public區域，當即生效且永久生效。

 

1 2	$ firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp $ firewall-cmd --reload

模擬訓練D：查看模擬實驗C中要求加入的端口操做是否成功。

 

1 2 3 4

$ firewall-cmd --zone=public --list-ports 8080-8081/tcp $ firewall-cmd --permanent --zone=public --list-ports 8080-8081/tcp

模擬實驗E：將eno16777728網卡的區域修改成external，重啓後生效。

 

1 2 3 4

$ firewall-cmd --permanent --zone=external --change-interface=eno16777728 success $ firewall-cmd --get-zone-of-interface=eno16777728 public

端口轉發功能能夠將本來到某端口的數據包轉發到其餘端口:

 

1	firewall-cmd --permanent --zone=<區域> --add-forward-port=port=<源端口號>:proto=<協議>:toport=<目標端口號>:toaddr=<目標IP地址>

將訪問192.168.10.10主機888端口的請求轉發至22端口：

 

1 2	$ firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10 success

使用客戶機的ssh命令訪問192.168.10.10主機的888端口：

 

1 2 3 4 5 6 7

$ ssh -p 888 192.168.10.10 The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established. ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts. root@192.168.10.10's password: Last login: Sun Jul 19 21:43:48 2015 from 192.168.10.10

再次提示:請讀者們再仔細琢磨下當即生效與重啓後依然生效的差異，千萬不要修改錯了。

模擬實驗F：設置富規則，拒絕192.168.10.0/24網段的用戶訪問ssh服務。

firewalld服務的富規則用於對服務、端口、協議進行更詳細的配置，規則的優先級最高。

 

1 2	$ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject" success

 

2、圖形管理工具

執行firewall-config命令便可看到firewalld的防火牆圖形化管理工具，真的很強大，能夠完成不少複雜的工做。

 

1	$ yum install firewall-config

firewalld防火牆圖形化管理工具界面詳解：

①：選擇」當即生效」或」重啓後依然生效」配置。

②：區域列表。

③：服務列表。

④：當前選中的區域。

⑤：被選中區域的服務。

⑥：被選中區域的端口。

⑦：被選中區域的假裝。

⑧：被選中區域的端口轉發。

⑨：被選中區域的ICMP包。

⑩：被選中區域的富規則。

⑪：被選中區域的網卡設備。

⑫：被選中區域的服務，前面有√的表示容許。

⑬：firewalld防火牆的狀態。

請注意：firewall-config圖形化管理工具中沒有保存/完成按鈕，只要修改就會生效。

容許其餘主機訪問http服務，僅當前生效：

容許其餘主機訪問8080-8088端口且重啓後依然生效：

開啓假裝功能，重啓後依然生效：

firewalld防火牆的假裝功能實際就是SNAT技術，即讓內網用戶沒必要在公網中暴露本身的真實IP地址。

將向本機888端口的請求轉發至本機的22端口且重啓後依然生效：

過濾全部」echo-reply」的ICMP協議報文數據包，僅當前生效：

ICMP即互聯網控制報文協議」Internet Control Message Protocol「，歸屬於TCP/IP協議族，主要用於檢測網絡間是否可通訊、主機是否可達、路由是否可用等網絡狀態，並不用於傳輸用戶數據。

僅容許192.168.10.20主機訪問本機的1234端口，僅當前生效：

富規則表明着更細緻、更詳細的規則策略，針對某個服務、主機地址、端口號等選項的規則策略，優先級最高。

查看網卡設備信息：

firewall-config圖形管理工具真的很是實用，不少本來複雜的長命令被用圖形化按鈕替代，設置規則也變得簡單了，平常工做中真的很是實用。因此有必要跟讀者們講清配置防火牆的原則——只要能實現需求的功能，不管用文本管理工具仍是圖形管理工具都是能夠的。

3、服務的訪問控制列表

在Linux中不光可使用iptables來作安全控制，其實簡單的控制也可使用tcp_wrappers來進行。

Tcp_wrappers(即Transmission Control Protocol(TCP)Wrappers)是一款基於IP層的ACL訪問控制列表流量監控程序，它可以根據來訪主機地址與本機目標服務程序作容許或拒絕規則，控制列表修改後會當即生效，系統將會先檢查容許規則，若是匹配容許則直接放行流量，若拒絕規則中匹配則直接拒絕，都不匹配默認也會放行。

容許名單：/etc/hosts.allow

拒絕名單：/etc/hosts.deny

指定客戶端的規則以下：

客戶端類型	示例	知足示例的客戶端列表
單一主機	192.168.10.10	IP地址爲192.168.10.10的主機。
指定網段	192.168.10.	IP段爲192.168.10.0/24的主機。
指定網段	192.168.10.0/255.255.255.0	IP段爲192.168.10.0/24的主機。
指定DNS後綴	.linuxprobe.com	全部DNS後綴爲.linuxprobe.com的主機
指定主機名稱	boss.linuxprobe.com	主機名稱爲boss.linuxprobe.com的主機。
指定全部客戶端	ALL	全部主機所有包括在內。

限制只有192.168.10.0/24網段的主機能夠訪問本機的sshd服務：

編輯容許規則：

 

1 2	$ cat /etc/hosts.allow sshd:192.168.10.

拒絕其餘全部的主機：

 

1 2	$ cat /etc/hosts.deny sshd:*

PS：對於Firewall防火牆，後面持續增長內容……..