RHEL7--第八章-Firewalld

Iptables與Firewalld防火牆

備註：全部的服務在設置完後，需把服務設置成開機自啓： # systemctl  enable  服務名稱

• 防火牆管理工具

依據策略對穿越防火牆自身的流量進行過濾；利用預先定製的策略來監控出入的流量；

防火牆策略能夠基於流量的源目的地址，端口號，協議，應用等信息來定製；

firewalld與iptables

1：RHEL 7 系統中，firewalld防火牆取代了 iptables防火牆；防火牆管理工具；

2：iptables服務配置好的防火牆策略交由內核層面的netfilter網絡過濾器來處理；

3：firewalld服務則交由內核層面的nftables包過濾框架處理；

4：當前Linux系統中存在多個防火牆管理工具，便於管理防火牆策略；

• iptables

RHEL6以前的系統包括6，默認使用的防火牆服務；

1：策略與規則鏈

1）防火牆會至上而下的順序來讀取配置的策略規則；

2）策略規則的設置兩種；

一種是 通，即放行；若是默認策略爲容許，需設置拒絕規則；

一種是 堵，即阻止；若是默認策略爲拒絕，需設置容許規則；

3）iptables服務把處理或過濾流量的策略條目稱之爲規則，多條規則組成一個規則鏈，規則鏈依據數據包處理位置的不一樣進行分類以下：

a：在進行路由選擇前處理數據包（PREROUTING）;

b：處理流入的數據包（INPUT）；

c：處理流出的數據包（OUTPUT）；

d：處理轉發的數據包（FORWARD）；

e：在進行路由選擇後處理數據包（POSTROUTING）；

4）iptables服務的術語

ACCEPT：容許流量經過；

REJECT：拒絕經過；拒絕流量後會回覆短信「你的信息收到，但被扔掉了」

LOG： 　記錄日誌信息；

DROP：  拒絕經過；拒絕流量後直接丟棄流量，無任何迴應；

2：基本的命令參數

-P：　　　　設置默認策略；

-F：　　　　清空規則鏈；

-L：　　　　查看規則鏈；

-A：　　　　在規則鏈的末尾加入新規則；

-I num：　　在規則鏈的頭部加入新規則；

-D num：　　刪除一條規則；

-s：　　　　　　匹配來源地址IP/MASK，加歎號 ! 表示除這個IP 外；

-d：　　　　　　匹配目標地址；

-i 網卡名稱：　　匹配從這塊網卡流入的數據；

-o 網卡名稱：　　匹配從這塊網卡流出的數據；

-p：　　　　　　匹配協議，如 TCP ,UDP ,ICMP；

--dport num：　匹配目標端口號；

--sport num：　匹配來源端口號；

例：

1：查看規則鏈，清空規則鏈；

# iptables  -L

# iptables  -F

# iptables -L  --line-number　　顯示策略編號，在刪除策略時使用；

2：把INPUT規則鏈的默認策略設置爲拒絕；

# iptables  -P  INPUT  DROP

當把INPUT鏈設置爲默認拒絕，默認拒絕動做只能是DROP，不是REJECT；INPUT設置的拒絕策略後，須要配置容許策略，不然全部進入的流量都被丟棄；

3：向INPUT規則鏈中添加容許ICMP流量進入的策略規則；

# iptables  -I INPUT -p icmp -j ACCEPT

4：刪除INPUT規則鏈中剛剛加入的那條ICMP策略，並把默認策略設置爲容許

# iptables  -D  INPUT 1

# iptables  -P  INPUT ACCEPT

5：將INPUT設置爲只容許指定網段主機訪問本機的22端口，拒絕其餘主機流量；

# iptables -P INPUT DROP

先將INPUT規則鏈的默認設置改成 DROP，拒絕全部；

# iptables -I INPUT -s 192.168.30.0/24 -p tcp --dport 22 -j ACCEPT

6：將INPUT設置爲只容許指定IP地址訪問本機的22端口，其餘拒絕；

# iptables -I INPUT -s 10.1.1.10 -p tcp --dport 22 -j ACCEPT

備註1：

防火牆策略規則是按照從上而下的順序匹配，須要把容許的放在拒絕的上面；

6：向INPUT規則中添加拒絕全部人訪問本機12345端口的策略；

# iptables -I INPUT -p tcp --dport 12345 -j REJECT

# iptables -I INPUT -p udp --dport 12345 -j REJECT

7：向INPUT規則中添加拒絕192.168.30.1主機訪問本機80端口（web服務）策略；

# iptalbes -I INPUT -s 192.168.30.1 -p tcp --dport 80 -j REJECT

8：向INPUT鏈中添加拒絕全部主機訪問本機1000~1024端口的策略；

# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT

# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT

備註2：

使用iptables配置的防火牆規則默認會在系統重啓後失效；

想要 永久生效，運行以下命令：

# service  iptables  save

• Firewalld

RH3L 7 系統默認的動態防火牆管理工具：firewalld

基於 TCP/IP 協議的流量過濾工具；

兩種管理方式：

CLI命令行界面；

GUI圖形用戶界面； 

特色：

支持動態更新技術並加入區域的概念；

區域就是firewalld預先準備了幾套防火牆策略模板，根據場景選擇合適的策略集合；

經常使用區域名稱及策略

 

1：終端管理工具

firewall-cmd是firewalld防火牆管理工具的CLI版本；它的參數通常以 長格式 來提供，RHEL7 支持參數補齊功能；

firewalld防火牆運行模式：

1）默認爲運行時模式（Runtime）又稱當前生效模式；策略重啓失效；

2）永久模式（Permanent）

設置方法：firewall-cmd 正常設置策略是添加 permanent 參數；

策略當即生效：firewall-cmd --reload  不然必須重啓才生效；

例：

1：查看firewalld服務當前所使用的區域；

# firewall-cmd  --get-default-zone

public

2：查詢eno16777728網卡在firewalld服務中的區域；

# firewall-cmd  --get-zone-of-interface=eno16777728

public

3：把firewalld服務中eno16777728網卡的默認區域修改成external，並在系統重啓後生效，分別查看當前與永久模式下的區域名稱；

# firewall-cmd  --permanent --zone=external --change-interface=eno16777728

success

# firewall-cmd --get-zone-of-interface=eno16777728

public

# firewall-cmd --permanent --get-zone-of-interface=eno16777728

external

4：把firewalld服務的當前默認區域設置爲public；

# firewall-cmd --set-default-zone=public

success

# firewall-cmd --get-default-zone

public

5：啓動/關閉firewalld防火牆服務的應急情況模式，阻斷一切網絡鏈接（當遠程控制服務器時請慎用）；

# firewall-cmd --panic-on

success

# firewall-cmd --panic-off

success

6：查詢public區域是否容許請求ssh和https協議流量；

# firewall-cmd --zone=public --query-service=ssh

yes

# firewall-cmd --zone=public --query-service=https

no

7：把firewalld服務器請求HTTP協議的流量設置爲永久拒絕，並當即生效；

# firewall-cmd --permanent --zone=public --remove-service=http

success

# firewall-cmd --reload

8：把firewalld服務器請求HTTPS協議的流量設置爲永久容許，並當即生效；

# firewall-cmd --zone=public --add-servie=https

success

# firewall-cmd --permanent --zone=public --add-service=https

success

# firewall-cmd --reload

9：把在firewalld服務中訪問8080和8081端口的流量策略設置爲容許，但僅當前有效；

# firewall-cmd --zone=publie --add-port=8080-8081/tcp

success

# firewall-cmd --zone=public --list-ports

8080-8081/tcp

10：把本來訪問本機888端口的流量轉發到22端口，要求當前和長期有效；

格式：firewall-cmd --permanent --zone=<區域> --add-forward-port=port=<源端口號>:proto=<協議>:toport=<目標端口號>:toaddr=<目標IP地址>

# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.30.1

success

# firewall-cmd --reload

11：在客戶端使用ssh命令嘗試訪問192.168.30.1主機的888端口；

# ssh -p 888 192.168.30.1

2：圖形管理工具

# firewall-config 進入圖形界面配置防火牆；

 

• 服務的訪問控制列表

TCP Wrappers 是RHEL 7中默認啓用的一款流量監控程序，它可以根據來訪主機的地址與本機的目標服務程序做出容許或拒絕的操做；

Linux的另外一個防火牆：TCP Wrappers，可以容許或禁止系統服務提供的防火牆；

在軟件層起做用的監控程序；

防火牆策略：

/etc/hosts.allow　　容許控制列表，系統先檢查容許列表，匹配就放行；

/etc/hosts.deny　　拒絕控制列表，沒有匹配容許列表，再匹配拒絕列表；

若是兩個列表都沒有匹配到，則默認放行流量；

 

配置TCP Wrappers服務時遵循的兩個原則：

1：編寫拒絕策略規則時，填寫的是服務名稱，而非協議名稱；

2：建議先編寫拒絕策略規則，再編寫容許策略規則，以便直觀的看到相應效果；

3：查看service信息

# cat /etc/services

例：

1：禁止訪問本機sshd服務的全部流量（無需 /etc/hosts.deny文件中修改原有的註釋信息）； 

# vim  /etc/hosts.deny

sshd:*

2：容許策略規則中添加一條規則，使其放行源自192.168.10.0/24網絡，訪問本機sshd服務器的全部流量；

# vim  /etc/hosts.allow

sshd:192.168.10.0