linux防火墙综合 _Linux防火墙

书史足自悦，安用勤与劬。这篇文章主要讲述linux防火墙综合相关的知识，希望能为你提供帮助。
iptables防火墙 iptables概述
linux系统的防火墙；ip信息包过滤系统，它实际上由两个组件netfilter和iptables组成。主要工作在网络层，针对ip数据包，体现在对包内的ip地址、端口等信息处理上
iptables /netfilter 的关系
netfilter ；属于‘内核态’的防火墙功能体系。（干活的，属于内核的一部分）
是内核的一部分，由一些数据包过滤表组成，这些表情包包含内核用来控制数据包过滤处理的规则集
iptables : 属于“用户态”的防火墙管理体系。
是一种用来管理linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables文件下
netfilter、iptables 后期简称为iptables。iptables是基于内核的防火墙，其中内置了raw、mangle、nat和filter四个规划1表。表中所有规则配置后，立即生效，不需要重启服务。

文章图片

四表五链
规则表的作用：容纳各种规则
规则链的作用：容纳各种防火墙的规则
总结：表里有链，链里有规则
四表：
raw表：确定是否修改数据包进行状态跟踪。包含两个规则链，OUTPUT、PREOUTING
mangle表：修改数据包内容，用来做流量整形的。给数据包设置表记，包含五个规则链，INPUT、OUTPUT、FORWARD、PREROUTPUT、POSTROUTING
！ nat表：负责网络地址转化，用来修改数据包中的源、目标ip地址或者端口。包含三个规则链：OUTPUT、PREROUTING、POSTROUTING
！ filter表：负责过滤数据包，确定是否放行该数据包（过滤）。包含三个规则链：INPUT、FORWARD、OUTPUT
#在iptables 的四个规则表中，mangle表和raw表应用相对较小

文章图片

五链：
INPUT：处理入站数据包，匹配目标IP为本机的数据包
OUTPUT：处理出站数据包，一般不在次链路上做配置
FORWARD：处理转发数据包，匹配流经本机的数据包
PREROUTING：在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT，相当于把内网服务器的IP地址和端口映射到路由器的外网IP和端口号（入站数据第一个经过过）
POSTROUTING链：在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT功能实现内网主机通过一个公网IP地址上网（出站数据经过）

文章图片

数据包到达防火墙时，规则表之间的优先顺序：raw > mangle > nat > filter

规则链之间的匹配顺序
主机型防火墙
入站数据（来自外界的数据包，且目标地址是防火墙本机）：PREROUTING、INPUT、本机的应用程序
出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序、OUTPUT、POSTROUTING
网络型防火墙
转发数据（需要经过防火墙转发的数据包）：PREROUTING、FORWARD、POSTROUTING
规则链内的匹配顺序：
自上向下按照顺序依次进行检查，找到相匹配的规则就立即停止（LOG策略除外，表示相关日志）
诺在该链内找不到相匹配的规则，则按该链的热默认策略处理（未修改的情况下，默认策略是允许的）
‘iptables的安装’
Centos7默认使用firewalld防火墙，没有安装iptables，如果想要使用iptables防火墙。必须先关闭firewalld防火墙，再开启iptables防火墙
iptables防火墙命令配置的方法

命令格式iptables [-t 表名] 管理选项 [链名] [匹配条件][-j 控制类型]注意事项：不指定表名时，默认指定filter表不指定链名时，默认指定表内所有的链除非设置链的默认值，否则必须指定匹配条件控制类型使用大写字母，其余均为小写常用的控制类型：ACCEPT：允许数据包通过DROP：直接丢弃数据包。不给任何回应信息REJECT：拒绝数据包通过，不给任何回应信息SNAT：修改数据包的源地址DNAT：修改数据包的目的地址MASQUERADE：伪装成一个非固定的公网ip地址LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则，LOG只是一种辅助动作，没有真正处理数据包常用管理选项：-A:在指定链的末尾追加一条新的规则-I：在指定链的开头插入一条新的规则，未指定序号的话默认作为第一条规则-R：修改、替换指定链中的某一条规则，可指定规则序号或者具体内容-P：设置指定链路的默认策略-D：删除指定链路中的某一条规则，可指定规则序号或者具体内容-F：清空指定链中的所有规则，如未指定链名，则清空表中的所有链-L：列出指定链路中的所有规则，如未指定链名，则列出表中的所有链-n：使用数字形式显示输出结果，如显示IP地址，而不是显示主机名-v：显示详细信息，包括每条规则的匹配，包括数量和匹配字节数--line-number：查看规则时，显示规则的序号。

添加新的规则：

iptables -t filter -A INPUT -p icmp -j REJECTiptables -I INPUT 2 -p tcp --dport 22 -f ACCEPT查看规则表：iptables [-t 表名 ]-n -L链名[--line-number]或者iptables -[vn]L; 注意：不可以合写为-Lniptables -n -L --line-number设置默认策略iptables[-t表名]-p< 连接名> < 控制类型> iptables -p INPUT DROPiptables -p FORWARD DROP一般在生产环境的设置中，网络型防火墙、主机型防火墙时都要设置默认规则为DROP，并设置白名单

删除规则

iptables -D INPUT 2iptables -t filter -D INPUT -p icmp -j REJECT注意:1.若规则列表中有多条相同的规则时，按内容匹配只删除的序号最小的一条2.按号码匹配删除时，确保规则号码小于等于已有规则数，否则报错3.按内容匹配删数时，确保规则存在，否则报错

清空规则:

iptables [-t 表名] -F [链名]iptables F INPUTiptables -F注意:1.-F仅仅是清空链中的规则，并不影响-P设置的默认规则，默认规则需要手动进行修改2.-P 设置了DROP后，使用-F一定要小心!3.如果不写表名和链名，默认清空filter表中所有链里的所有规则#防止把允许远程连接的相关规则清除后导致无法远程连接主机，此情况如果没有保存规则可重启主机解决

规则的匹配:

1.通用匹配可直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件。协议匹配: -p协议名.地址匹配: -s源地址、-d目的地址#可以是IP、网段、域名、空(任何地址)接口匹配: -i入站网卡、-o出站网卡.iptables A FORWARD ! -P icmp -j ACCEPTiptables -A INPUT -s 192.168.80.11 -j DROPiptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP2.隐含匹配要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类型等条件。端口匹配: --sport 源端口、--dport目的端口#可以是个别端口、端口范围.-- sport 1000匹配源端口是1000的数据包-sport 1000:3000匹配源端口是1000- 3000的数据包--sport :3000匹配源端口是3000及以下的数据包--sport 1000:匹配源端口是1000及以上的数据包注意: --sport 和--dport 必须配合-p < 协议类型> 使用iptables -A INPUT -p tcp --dport 20:21 -j ACCEPTiptables -I FORWARD -d 192.168.80.0/24 -P tcp --dport 24500:24600 -j DROPTCP标记匹配: --tcp- flags TCP标记iptables -I INPUT -i ens33 -P tcp --tcp-flags SYN, RST,ACK SYN -j ACCEPT#丢弃SYN请求包，放行其他包ICMP类型四配: -- icmp-type ICMP类型#可以是字符串、数字代码"Echo- Request" ( 代码为8)表示请求"Echo-Reply" (代码为0)表示回显"Destination-Unreachable" (代码为3)表示目标不可达关于其它可用的ICMP 协议类型，可以执行"iptables -p icmp -h”命令，查看帮助信息iptables -A INPUT -picmp --icmp-type 8 -j DROP#禁止其它主机ping本机iptables -A INPUT -P icmp --icmp-type 0 -j ACCEPT#允许本机ping其它主机iptables -A INPUT -P icmp --icmp-type 3 -j ACCEPT#当本机ping不通其它主机时提示目标不可达#此时其它主机需要配置关于icmp协议的控制类型为REJECTiptables -A INPUT -P icmp -j REJECT3、显式匹配要求以"-m"扩展模块的形式明确指出类型。包括多端口、mac地址、ip范围、数据包状态等条件多端口匹配：

-m multiport --sport源端口列表
-m multiport --dport目的端口列表

iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPTiptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPTIP范围匹配: -m iprange --src-range IP范围iptables -A FORWARD -P udp -m iprange --src-range 192. 168.80.100-192.168.80.200 -j DROP#禁止转发源地址位于192.168.80.100-192.168.80.200的udp数据包MAC地址匹配: -m mac --mac-source MAC地址iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP#禁止来自某MAC地址的数据包通过本机转发状态匹配: -m state --state 连接状态常见的连接状态:NEW :与任何连接无关的，还没开始连接ESTABLISHED :响应请求或者已建立连接的，连接态RELATED :与已有连接有相关性的( 如FTP主被动模式的数据连接)，衍生态，一般与ESTABLISHED配合使用INVALID:不能被识别属于哪个连接或没有任何状态iptables -A FORWARD -m state --state NEW -P tcp ! --syn -j DROP#禁止转发与正常TCP连接无关的非--syn请求数据包(如伪造的网络攻击数据包)iptables -I INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPTiptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPTiptables -A INPUT -p tcp -m state --state ESTABLISHED, RELATED -j ACCEPT#对进来的包的状态进行检测。已经建立tcp连接的包以及该连接相关的包允许通过。#比如我和你做生意，我们谈成了生意，到了支付的时候，就可以直接调用与这笔生意相关的支付功能iptables -P INPUT DROP

文章图片

SNAT原理SNAT策略的典型应用环境
局域网内主机共享单个公网ip地址接入internet
SNAT策略的原理
源地址的转换，
修改数据包的源地址
前提条件
局域网主机正确配置ip地址、掩码
局域网各个主机配置正确的默认网关地址
linux网关支持ip路由转发
实现方法
编写SNAT转换规则

文章图片

没做SNAT转换情况：

文章图片

做SNAT转换的情况：
（数据包从内网到外网发送时将内网地址转换成合法的外网地址（请求消息）。数据包从外网向内网回应时将外网地址转换成相应的内网地址（相应消息））

文章图片

DNAT
【linux防火墙综合】DNAT策略的典型应用环境
在internet中发布位于企业局域网内的服务器
DNAT策略的原理
目标地址转换
修改数据包的目的地址
前置条件
局域网的web服务器能够访问internet
网关的外网ip有正确的DNS解析记录
Linux网关支持ip路由转发
实现方法
编写DNAT转换规则

iptables -t -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to-source 12.0.0.1

文章图片

SNAT应用环境:局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)
SNAT原理:修改数据包的源地址。
SNAT转换前提条件:
1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2.Linux网关开启IP路由转发

临时打开:echo 1 > /proc/sys/net/ipv4/ip_ forward或者sysctl -W net. ipv4.ip_ forward=1永久打开:vim /etc/ sysctl. confnet. ipv4.ip_ forward = 1#将此行写入配置文件sysctl -P#读取修改后的配置永久打开:vim, /etc/ sysctl . confnet. ipv4.ip_ forward = 1#将此行写入配置文件sysctl -P#读取修改后的配置

SNAT转换1:固定的公网IP地址:

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to 12.0.0.1或者iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10SNAT转换2：非固定的公网IP地址（共享动态IP地址）：iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j MASQUERADE补充拓展：一个IP地址做SNAT转换。一般可以让内网100到200台主机实现上网。

DNAT策略概述典型应用环境
在internet中发布位于企业局域网内的服务器
DNAT的原理
目标地址转换
修改数据包的目标地址
前提条件
局域网的WEB服务器能够访问Internet
网关的外网IP有正确的DNS解析记录
linux网关支持IP路由转发
编写DNAT转换规则

iptables -t nat -APREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6

防火墙规则的备份和还原
导出(备份)所有表的规则
iptables-save > /opt/ipt. txt
导入(还原)规则
iptables- - restore < /opt/ ipt. txt
将iptables规则文件保存在/etc/sysconfig/iptables 中，iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/ iptables
systemctl stop iptables#停止iptables服务会清空掉所有表的规则
systemctl start iptables#启动iptables服务会自动还原/etc/sysconfig/iptables中的规则
TCPdump抓包tlcpdump tcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -W ./target. cap
(1)tcp:ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i ens33 :只抓经过接口ens33的包
(3)-t:不显示时间戳
(4)-s0:抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包
(5)-c 100 :只抓取100个数据包
(6)dstport ! 22:不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap :保存成cap文件，方便用ethereal (即wireshark)分析
firewalld防火墙基础 firewalld概述
firewalld防火墙是centos7系统默认的防火墙管理工具，取代了之前的iptables防火墙，也是工作在网络层，属于包过滤防火墙。
firewalld和iptables都是用来管理范防火墙的工具（属于用户态）来定意防火墙的各种规则功能，内部结构都指向netfilter网络过滤子系统（属于内核态），来实现防火墙的过滤功能。
firewalld提供了支持网络区域定义的网络连接以及接口安全等级的动态防火墙管理工具，它支持IPV4、IPV6防火墙设置以及以太网桥，并且拥有两种配置模式；运行时配置以及永久配置
firewalld与iptables的区别

文章图片

1、iptables主要是基于接口，来设置规则，从而判断网络的安全性
firewalld是基于区域，根据不同区域来设置不同的规则，从而保证网络的安全性，与硬件防火墙的设置相类似
2、iptables在/etc/sysconfig/iptables中存储配置
firewalld将配置存储在/etc/firewalld(优先加载)和 /usr/lib/firewalld/ （默认的配置文件）中的各种XML文件里。
3、使用iptables每一个单独更改意味着清除所有旧的规则和从/etc/sysconfig/iptables里读取所有的新规则
使用firewalld却不会再创建任何新的规则，金金牛男运行规则中的不同之处uu，因此firewalld可以运行在时间内
改变设置而不丢失现有的连接
4、iptables防火墙是静态防火墙
firewalld防火墙类型是动态防火墙
总结：iptables 倾向于对数据包的源/日的IP，端口，协议，入出站网卡来设置包过滤规则
firewalld对指定的网络区域设置相关过过滤规则，数据包在金国指定的区域时会根据区域的规则对包进行过滤
firewalld区域的概念：

文章图片

firewalld防火墙为了简化管理，将所有的网络流量分为多个区域，然后根据数据包的源IP地址或者传入的网络接口等条件将流量传入相应的区域，每个区域都定义了自己打开或者关闭的店口和服务列表
firewalld防火墙定义了9个区域
1、trusted（信任区域）；允许所有的流量传入
2、public（公共区域）；允许与ssh或者dhcpv6-client预定意服务匹配的传入流量，其余均拒绝，是新添加网络接口的默认区域
3、extent（外部区域）：允许与ssh预定意服务匹配的传入流量，其余均拒绝
默认将通过此区域转发的IPV4传出流量将进行地质伪装，可用于作为路由器启用了伪装功能的外部网络
4、home（家庭区域），允许与ssh、ipp-client、mdns、samba-client或者dhcpv6-client预定意服务匹配的传入流量，其余均拒绝
5、internal（内部区域）：默认值时与home区域相同
6、work（工作区域）：允许与ssh，ipp-client、dhcpv6-client预定义服务匹配的传入流量，其余均拒绝
7、dmz（隔离区域也称为非军事区域）：允许与ssh预定义服务匹配的传入流量。其余均拒绝
8、block（限制区域）：拒绝所有传入流量
9、drop（丢弃区域）：丢弃现有传入流量，并且不产生包含ICMP的错误响应
最终一个区域的安全程度是取决于管理员在此区域中设置的规则
区域如图进入主机的安全门，每一个区域都是具有不同限制程度的规则，只会允许符合规则的流量传入
可以根据网络规模，使用一个或者多个区域，但是任何一个活跃地区，至少需要关联源地址或者接口
默认情况下，public区域是默认区域，包含所有接口
firewalld数据处理流程:
firewalld对于进入系统的数据包，会根据数据包的源IP地址或传入的网络接口等条件，将数据流量转入相应区域的防火墙规则。对于进入
系统的数据包，首先检查的就是其源地址。
firewalld检查数据包的源地址的规则:
1.若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突)，则执行该区域所制定的规则。
2.若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突)，则使用传入网络接口的区域并执行该区域所制定的规则。
3.若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域)，则使用默认区域并执行该区域所制定的规则。
firewalld防火墙的配置方法:

1、使用firewall-cmd 命令行工具。2、使用firewall-config 图形工具。3、编写/etc/firewalld/中的配置文件。systemctl start firewalld. service常用的firewall-cmd命令选项--get-default-zone:显示当前默认区域--set- default- zone=< zone > :设置默认区域--get-active-zones:显示当前正在使用的区域及其对应的网卡接口--get-zones :显示所有可用的区域--get-zone-of-interface-< interface> :显示指定接口绑定的区域--zone=< zone> --add-interface=< interface> :为指定接口绑定区域--zone=< zone> --change-interface=< interface> :为指定的区域更改绑定的网络接口 -zone=< zone> --remove-interface-< interface> :为指定的区域删除绑定的网络接口--zone=< zone> --add-source=< source> [/< mask> ]:为指定源地址绑定区域--zone=< zone> --change-source=< source> [/< mask> ] :为指定的区域更改绑定的源地址--zone=< zone> --remove-source=< source> [/< mask> ] :为指定的区域删除绑定的源地址-- list-all-zones :显示所有区域及其规则 [-- zone=< zone> ] --list-all :显示所有指定区域的所有规则，省略-- zone=< zone> 时表示仅对默认区域操作

常用的firewall-cmd命令选项

--get-default-zone :显示当前默认区域 --set-default-zone=< zone> :设置默认区域 --get-active-zones :显示当前正在使用的区域及其对应的网卡接口 --get-zones :显示所有可用的区域--get-zone-of-interface=< interface> :显示指定接口绑定的区域 --zone=< zone> --add-interface=< interface> :为指定接口绑定区域 --zone=< zone> --change-interface=< interface> :为指定的区域更改绑定的网络接口 --zone=< zone> --remove-interface-< interface> :为指定的区域删除绑定的网络接口 --zone=< zone> --add-source=< source> [/< mask> ]:为指定源地址绑定区域 --zone=< zone> --change-source=< source> [/< mask> ] :为指定的区域更改绑定的源地址 --zone=< zone> --remove-source=< source> [/< mask> ] :为指定的区域删除绑定的源地址--list-all-zones :显示所有区域及其规则 [--zone=< zone> ] --list-all :显示所有指定区域的所有规则，省略-- zone=< zone> 时表示仅对默认区域操作[--zone=< zone> ] --list-services :显示指定区域内允许访问的所有服务 [--zone=< zone> ] --add-service=< service> :为指定区域设置允许访问的某项服务 [-- zone=< zone> ] --remove-service=< service> :删除指定区域已设置的允许访问的某项服务[--zone=< zone> ] --list-ports :显示指定区域内允许访问的所有端口号 [-- zone=< zone> ] --add-port=< portid> [-< portid> ]/< protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名) [--zone=< zone> ] --remove-port=< portid> [-< portid> j/< protocol> :删除指定区域已设置的允许访问的端口号(包括协议名) [--zone=< zone> ] --list-icmp-blocks :显示指定区域内拒绝访问的所有ICMP类型 [--zone=< zone> ] --add-icmp-block=< icmptype> :为指定区域设置拒绝访问的某项ICMP类型 [--zone=< zone> ] --remove-icmp-block-< icmptype> :删除指定区域己设置的拒绝访问的某项ICMP类型 firewall-cmd --get-icmptypes :显示所有ICMP类型

区域管理:

(1) 显示当前系统中的默认区域firewall-cmd --get-default-zone(2)显示默认区域的所有规则 firewall-cmd --list-all(3)显示当前正在使用的区域及其对应的网卡接口 firewall-cmd --get-active-zones(4)设置默认区域 firewall-cmd --set-default-zone=home firewall-cmd --get-default-zone服务管理: (1)查看默认区域内允许访问的所有服务 firewall-cmd --list-service (2)添加httpd服务到public区域 firewall-cmd --add-service=http --zone-public(3)查看public区域已配置规则 firewall-cmd --list-all --zone=public(4)删除public区域的httpd服务 firewall-cmd --remove-service-http --zone-public(5)同时添加httpd、https服务到默认区域，设置成永久生效 firewall-cmd --add-service=http --add-service=https --pe rmanent firewall-cmd --add-service= http, https, ftp --zone=internal firewall-cmd --reload firewall-cmd --list-all #添加使用--permanent选项表示设置成永久生效，需要重新启动firewalld服务或执行firewall-cmd --reload命令重新加载防火墙规则时才会生效。若不带有此选项，表示用于设置运行时规则，但是这些规则在系统或firewalld服务重启、停止时配置将失效

firewall-cmd -- runt ime-to-permanent:将当前的运行时配置写入规则配置文件中，使之成为永久性配置。
端口管理：

(1) 允许TCP的443端口到internal区域 firewall-cmd -- zone=internal --add-port=443/tcp firewall-cmd --list-all --zone=internal(2)从internal 区域将TCP的443端口移除 firewall-cmd -- zlone= internal --remove-port=443/tcp (3)允许UDP的2048~2050端口到默认区域 firewall-cmd --add-port=2048-2050/udp firewall-cmd --list-all