firewalld和iptables 詳解

在RHEL7裏有幾種防火牆共存：firewalld、iptables、ebtables，默認是使用firewalld來管理netfilter子系統，不過底層調用的命令仍然是iptables等。

firewalld跟iptables比起來至少有兩大好處：

一、firewalld能夠動態修改單條規則，而不須要像iptables那樣，在修改了規則後必須得所有刷新才能夠生效；

二、firewalld在使用上要比iptables人性化不少，即便不明白「五張表五條鏈」並且對TCP/IP協議也不理解也能夠實現大部分功能。

firewalld跟iptables比起來，很差的地方是每一個服務都須要去設置才能放行，由於默認是拒絕。而iptables裏默認是每一個服務是容許，須要拒絕的纔去限制。

firewalld自身並不具有防火牆的功能，而是和iptables同樣須要經過內核的netfilter來實現，也就是說firewalld和 iptables同樣，他們的做用都是用於維護規則，而真正使用規則幹活的是內核的netfilter，只不過firewalld和iptables的結構以及使用方法不同罷了。

一個重要的概念：區域管理

經過將網絡劃分紅不一樣的區域，制定出不一樣區域之間的訪問控制策略來控制不一樣程序區域間傳送的數據流。例如，互聯網是不可信任的區域，而內部網絡是高度信任的區域。網絡安全模型能夠在安裝，初次啓動和首次創建網絡鏈接時選擇初始化。該模型描述了主機所鏈接的整個網絡環境的可信級別，並定義了新鏈接的處理方式。有以下幾種不一樣的初始化區域：

阻塞區域（block）：任何傳入的網絡數據包都將被阻止。

工做區域（work）：相信網絡上的其餘計算機，不會損害你的計算機。

家庭區域（home）：相信網絡上的其餘計算機，不會損害你的計算機。

公共區域（public）：不相信網絡上的任何計算機，只有選擇接受傳入的網絡鏈接。

隔離區域（DMZ）：隔離區域也稱爲非軍事區域，內外網絡之間增長的一層網絡，起到緩衝做用。對於隔離區域，只有選擇接受傳入的網絡鏈接。

信任區域（trusted）：全部的網絡鏈接均可以接受。

丟棄區域（drop）：任何傳入的網絡鏈接都被拒絕。

內部區域（internal）：信任網絡上的其餘計算機，不會損害你的計算機。只有選擇接受傳入的網絡鏈接。

外部區域（external）：不相信網絡上的其餘計算機，不會損害你的計算機。只有選擇接受傳入的網絡鏈接。

注：FirewallD的默認區域是public。

firewalld默認提供了九個zone配置文件：block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml，他們都保存在「/usr/lib /firewalld/zones/」目錄下。

配置方法

firewalld的配置方法主要有三種：firewall-config、firewall-cmd和直接編輯xml文件，其中 firewall-config是圖形化工具，firewall-cmd是命令行工具，而對於linux來講你們應該更習慣使用命令行方式的操做，因此 firewall-config咱們就不給你們介紹了。

安裝配置：

一、安裝firewalld

root執行 # yum install firewalld firewall-config

二、運行、中止、禁用firewalld

啓動：# systemctl start  firewalld

查看狀態：# systemctl status firewalld 或者 firewall-cmd --state

中止：# systemctl disable firewalld

禁用：# systemctl stop firewalld

systemctl mask firewalld

systemctl unmask firewalld

四、配置firewalld

查看版本：$ firewall-cmd --version

查看幫助：$ firewall-cmd --help

查看設置：

顯示狀態：$ firewall-cmd --state

查看區域信息: $ firewall-cmd --get-active-zones

查看指定接口所屬區域：$ firewall-cmd --get-zone-of-interface=eth0

拒絕全部包：# firewall-cmd --panic-on

取消拒絕狀態：# firewall-cmd --panic-off

查看是否拒絕：$ firewall-cmd --query-panic

更新防火牆規則：# firewall-cmd --reload

# firewall-cmd --complete-reload

二者的區別就是第一個無需斷開鏈接，就是firewalld特性之一動態添加規則，第二個須要斷開鏈接，相似重啓服務

將接口添加到區域，默認接口都在public

# firewall-cmd --zone=public --add-interface=eth0

永久生效再加上 --permanent 而後reload防火牆

設置默認接口區域

# firewall-cmd --set-default-zone=public

當即生效無需重啓

打開端口（貌似這個才最經常使用）

查看全部打開的端口：

# firewall-cmd --zone=dmz --list-ports

加入一個端口到區域：

# firewall-cmd --zone=dmz --add-port=8080/tcp

若要永久生效方法同上

打開一個服務，相似於將端口可視化，服務須要在配置文件中添加，/etc/firewalld 目錄下有services文件夾，這個不詳細說了，詳情參考文檔

# firewall-cmd --zone=work --add-service=smtp

移除服務

# firewall-cmd --zone=work --remove-service=smtp

還有端口轉發功能、自定義複雜規則功能、lockdown

iptables 是與最新的 3.5 版本 Linux 內核集成的 IP 信息包過濾系統。若是 Linux 系統鏈接到因特網或 LAN、服務器或鏈接 LAN 和因特網的代理服務器， 則該系統有利於在 Linux 系統上更好地控制 IP 信息包過濾和防火牆配置。

iptables 基本命令使用舉例

1、鏈及NAT的基本操做

一、清除全部的規則。

1）清除預設表filter中全部規則鏈中的規則。

# iptables -F

2）清除預設表filter中使用者自定鏈中的規則。

#iptables -X

#iptables -Z

3)清楚NAT表規則

#iptables -F -t nat

4)NAT表的顯示

#iptables -t nat -nL

二、設置鏈的默認策略。通常有兩種方法。

1）首先容許全部的包，而後再禁止有危險的包經過放火牆。

#iptables -P INPUT ACCEPT

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD ACCEPT

2）首先禁止全部的包，而後根據須要的服務容許特定的包經過防火牆。

#iptables -P INPUT DROP

#iptables -P OUTPUT DROP

#iptables -P FORWARD DROP

三、列出表/鏈中的全部規則。默認只列出filter表。

#iptables -L

四、向鏈中添加規則。下面的語句用於開放網絡接口：

#iptables -A INPUT -i lo -j ACCEPT

#iptables -A OUTPUT -o lo -j ACCEPT

#iptables -A INPUT -i eth0 -j ACEPT

#iptables -A OUTPUT -o eth1 -j ACCEPT

#iptables -A FORWARD -i eth1 -j ACCEPT

#iptables -A FORWARD -0 eth1 -j ACCEPT

注意:因爲本地進程不會通過FORWARD鏈，所以迴環接口lo只在INPUT和OUTPUT兩個鏈上做用。

五、使用者自定義鏈。

#iptables -N custom

#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP

#iptables -A INPUT -s 0/0 -d 0/0 -j DROP

2、設置基本的規則匹配

一、指定協議匹配。

1）匹配指定協議。

#iptables -A INPUT -p tcp

2）匹配指定協議以外的全部協議。

#iptables -A INPUT -p !tcp

二、指定地址匹配。

1）指定匹配的主機。

#iptables -A INPUT -s 192.168.0.18

2）指定匹配的網絡。

#iptables -A INPUT -s 192.168.2.0/24

3）匹配指定主機以外的地址。

#iptables -A FORWARD -s !192.168.0.19

4）匹配指定網絡以外的網絡。

#iptables -A FORWARD -s ! 192.168.3.0/24

三、指定網絡接口匹配。

1）指定單一的網絡接口匹配。

#iptables -A INPUT -i eth0

#iptables -A FORWARD -o eth0

2）指定同類型的網絡接口匹配。

#iptables -A FORWARD -o ppp+

四、指定端口匹配。

1）指定單一端口匹配。

#iptables -A INPUT -p tcp --sport www

#iptables -A INPUT -p udp –dport 53

2）匹配指定端口以外的端口。

#iptables -A INPUT -p tcp –dport !22

3）匹配端口範圍。

#iptables -A INPUT -p tcp –sport 22:80

4）匹配ICMP端口和ICMP類型。

#iptables -A INOUT -p icmp –icimp-type 8

5）指定ip碎片。

每

個網絡接口都有一個MTU（最大傳輸單元），這個參數定義了能夠經過的數據包的最大尺寸。若是一個數據包大於這個參數值時，系統會將其劃分紅更小的數據包

（稱爲ip碎片）來傳輸，而接受方則對這些ip碎片再進行重組以還原整個包。這樣會致使一個問題：當系統將大數據包劃分紅ip碎片傳輸時，第一個碎片含有

完整的包頭信息（IP+TCP、UDP和ICMP），可是後續的碎片只有包頭的部分信息（如源地址、目的地址）。所以，檢查後面的ip碎片的頭部（象有

TCP、UDP和ICMP同樣）是不可能的。假若有這樣的一條規則：

#iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 –dport 80 -j ACCEPT

而且這時的FORWARD的policy爲DROP時，系統只會讓第一個ip碎片經過，而餘下的碎片由於包頭信息不完整而沒法經過。能夠經過—fragment/-f 選項來指定第二個及之後的ip碎片解決上述問題。

#iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT

注意如今有許多進行ip碎片***的實例，如DoS***，所以容許ip碎片經過是有安全隱患的，對於這一點能夠採用iptables的匹配擴展來進行限制。

3、設置擴展的規則匹配（舉例已忽略目標動做）

一、多端口匹配。

1）匹配多個源端口。

#iptables -A INPUT -p tcp -m multiport –sport 22,53,80,110

2）匹配多個目的端口。

#iptables -A INPUT -p tcp -m multiport –dpoort 22,53,80

3）匹配多端口(不管是源端口仍是目的端口）

#iptables -A INPUT -p tcp -m multiport –port 22,53,80,110

二、指定TCP匹配擴展

使用 –tcp-flags 選項能夠根據tcp包的標誌位進行過濾。

#iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN

#iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK

上實例中第一個表示SYN、ACK、FIN的標誌都檢查，可是隻有SYN匹配。第二個表示ALL（SYN，ACK，FIN，RST，URG，PSH）的標誌都檢查，可是隻有設置了SYN和ACK的匹配。

#iptables -A FORWARD -p tcp --syn

選項—syn至關於」--tcp-flags SYN,RST,ACK SYN」的簡寫。

三、limit速率匹配擴展。

1）指定單位時間內容許經過的數據包個數，單位時間能夠是/second、/minute、/hour、/day或使用第一個子母。

#iptables -A INPUT -m limit --limit 300/hour

2 )指定觸發事件的閥值。

#iptables -A INPUT -m limit –limit-burst 10

用來比對一次同時涌入的封包是否超過10個，超過此上限的包將直接丟棄。

3）同時指定速率限制和觸發閥值。

#iptables -A INPUT -p icmp -m limit –-limit 3/m –limit-burst 3

表示每分鐘容許的最大包數量爲限制速率（本例爲3）加上當前的觸發閥值burst數。任何狀況下，均可保證3個數據包經過，觸發閥值burst至關於容許額外的包數量。

4）基於狀態的匹配擴展（鏈接跟蹤）

每一個網絡鏈接包括如下信息：源地址、目標地址、源端口、目的端口，稱爲套接字對（socket pairs）；協議類型、鏈接狀態（TCP協議）

和超時時間等。防火牆把這些信息稱爲狀態（stateful）。狀態包過濾防火牆能在內存中維護一個跟蹤狀態的表，比簡單包過濾防火牆具備更大的安全性，命令格式以下：

iptables -m state –-state [!]state [,state,state,state]

其中，state表是一個逗號分割的列表，用來指定鏈接狀態，4種：

>NEW: 該包想要開始一個新的鏈接（從新鏈接或鏈接重定向）

>RELATED:該包是屬於某個已經創建的鏈接所創建的新鏈接。舉例：

FTP的數據傳輸鏈接和控制鏈接之間就是RELATED關係。

>ESTABLISHED：該包屬於某個已經創建的鏈接。

>INVALID:該包不匹配於任何鏈接，一般這些包被DROP。

例如：

（1）在INPUT鏈添加一條規則，匹配已經創建的鏈接或由已經創建的鏈接所創建的新鏈接。即匹配全部的TCP迴應包。

#iptables -A INPUT -m state –state RELATED,ESTABLISHED

（2）在INPUT鏈鏈添加一條規則，匹配全部從非eth0接口來的鏈接請求包。

#iptables -A INPUT -m state -–state NEW -i !eth0

又如，對於ftp鏈接可使用下面的鏈接跟蹤：

（1）被動（Passive）ftp鏈接模式。

#iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state –-state ESTABLISHED -j ACCEPT

#iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m

state -–state ESTABLISHED,RELATED -j ACCEPT

（2）主動（Active）ftp鏈接模式

#iptables -A INNPUT -p tcp --sport 20 -m state –-state ESTABLISHED,RELATED -j ACCEPT

#iptables -A OUTPUT -p tcp –OUTPUT -p tcp –dport 20 -m state --state ESTABLISHED -j ACCEPT