Red Hat Certified Engineer 8 備考第九天 iptables與firewalld

時間：2019年7月26日

地點：家裏

內容：防火牆、策略與規則鏈、iptable、firewalld、SNAT、TCP Wrappers

防火牆     在公網與企業內網之間充當保護屏障

                   分類：

                                從邏輯上講。防火牆能夠大致分爲主機防火牆和網絡防火牆。

                                主機防火牆：針對於單個主機進行防禦。

                                網絡防火牆：每每處於網絡入口或邊緣，針對於網絡入口進行防禦，服務於防火牆背後的本地局域網。

                                網絡防火牆和主機防火牆並不衝突，能夠理解爲，網絡防火牆主外(集體)，主機防火牆主內 (我的)。

                                從物理上講，防火牆能夠分爲硬件防火牆和軟件防火牆。

                                硬件防火牆：在硬件級別實現部分防火牆功能，另部分功能基於軟件實現， 性能高，成本高。

                                軟件防火牆：應用軟件處理邏輯運行於通用硬件平臺之上的防火牆，性能低，成本低。

                   功能： 依據策略對穿越防火牆自身的流量進行過濾。

                   策略： 基於流量的源目地址、端口號、協議、應用等信息來定製，而後防火牆使用預先定製的策略規則監控出入的流量，若流量與某一條策略規則相匹配，則執行相應的處理，反之則丟棄。

策略與規則鏈     防火牆會從上至下的順序來讀取配置的策略規則，在找到匹配項後就當即結束匹配工做並去執行匹配項中定義的行爲（即放行或阻止）。

                                     分類：

                                              在進行路由選擇前處理數據包（PREROUTING）；

                                              處理流入的數據包（INPUT）；

                                              處理流出的數據包（OUTPUT）；

                                              處理轉發的數據包（FORWARD）；

                                              在進行路由選擇後處理數據包（POSTROUTING）。

                                     動做狀態：

                                              ACCEPT（容許經過）

                                              REJECT（拒絕經過）

                                              LOG（記錄日誌）

                                              DROP（拒絕且不反饋）

iptables     iptables是一款基於命令行的防火牆策略管理工具，具備大量參數，學習難度較大。 格式：「 iptables [-t table] COMMAND chain CRETIRIA -j ACTION 」。

         

         

          擴展：iptables詳解

firewalld     firewalld（Dynamic Firewall Manager of Linux systems，Linux系統的動態防火牆管理器）服務是默認的防火牆配置管理工具，它擁有基於CLI（命令行界面）和基於GUI（圖形用戶界面）的兩種管理方式。

          特性： firewalld支持動態更新技術並加入了區域（zone）的概念。

                     firewalld中常見的區域名稱（默認爲public）。

         

     終端管理     firewall-cmd

                       模式：臨時：Runtime

                                 永久：Permanent

         

          特殊格式： 流量轉發命令格式爲firewall-cmd --permanent --zone=<區域> --add-forward-port=port=<源端口號>:proto=<協議>:toport=<目標端口號>:toaddr=<目標IP地址>

          富規則     富規則表示更細緻、更詳細的防火牆策略配置，它能夠針對系統服務、端口號、源地址和目標地址等諸多信息進行更有針對性的策略配置。它的優先級在全部的防火牆策略中也是最高的。

SNAT     SNAT ，是源地址轉換，其做用是將ip數據包的源地址轉換成另一個地址。

DNAT     Destination Network Address Translation目的地址轉換，將一組本地內部地址映射全球地址。

                     如何區分SNAT和DNAT

                     1.從定義來說它們一個是源地址轉換，一個是目標地址轉換。都是地址轉換的功能，將私有地址轉換爲公網地址。

                     要區分這兩個功能能夠簡單的由鏈接發起者是誰來區分：

                     內部地址要訪問公網上的服務時（如web訪問），內部地址會主動發起鏈接，由路由器或者防火牆上的網關對內部地址作個地址轉換，將內部地址的私有IP轉換爲公網的公有IP，網關的這個地址轉換稱爲SNAT，主要用於內部共享IP訪問外部。

                     當內部須要提供對外服務時（如對外發布web網站），外部地址發起主動鏈接，由路由器或者防火牆上的網關接收這個鏈接，而後將鏈接轉換到內部，此過程是由帶有公網IP的網關替代內部服務來接收外部的鏈接，而後在內部作地址轉換，此轉換稱爲DNAT，主要用於內部服務對外發布。

                     在配置防火牆或者路由acl策略時要注意這兩個NAT必定不能混淆。

TCP Wrappers     TCP Wrappers服務的防火牆策略由兩個控制列表文件所控制，用戶能夠編輯容許控制列表文件來放行對服務的請求流量，也能夠編輯拒絕控制列表文件來阻止對服務的請求流量。

判斷程序是否支持tcp_wrapper

程序若是調用了libwrap.so庫，表示支持。

ldd 程序路徑|grep libwrap.so
strings 程序路徑|grep libwrap.so

#ldd /usr/sbin/sshd|grep libwrap.so
    libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f9851678000)

#ldd /usr/sbin/vsftpd |grep libwrap.so
    libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f802ef50000)

#strings `which sshd`|grep libwrap.so
libwrap.so.0

                                   控制文件：白名單（路徑：/etc/hosts.allow）

                                                    黑名單（路徑：/etc/hosts.deny）

          

        

        配置原則：

                      編寫拒絕策略規則時，填寫的是服務名稱，而非協議名稱；

                      建議先編寫拒絕策略規則，再編寫容許策略規則，以便直觀地看到相應的效果。

書面筆記