防火墻基本概念

防火墻就是根據(jù)系統(tǒng)管理員設(shè)定的規(guī)則來控制數(shù)據(jù)包的進(jìn)出，主要是保護(hù)內(nèi)網(wǎng)的安全,目前 Linux 系統(tǒng)的防火墻類型主要有兩種：分別是 [iptables] 和 firewalld

Iptables-靜態(tài)防火墻

早期的 Linux 系統(tǒng)中默認(rèn)使用的是 iptables 防火墻，配置文件在 / etc/sysconfig/iptables

主要工作在[網(wǎng)絡(luò)層]

使用鏈?zhǔn)揭?guī)則，只可以過濾互聯(lián)網(wǎng)的數(shù)據(jù)包，無法過濾從內(nèi)網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)包 Iptables 只可以通過命令行進(jìn)行配置 Iptables 默認(rèn)是允許所有，需要通過拒絕去做限制 Iptables 在修改了規(guī)則之后必須得全部刷新才可以生效，還會(huì)丟失連接（無法守護(hù)進(jìn)程）

Firewalld-動(dòng)態(tài)防火墻

取代了之前的 iptables 防火墻，配置文件在 / usr/lib/firewalld 和 / etc/fiewalld 中,主要工作在網(wǎng)絡(luò)層,新增區(qū)域概念，不僅可以過濾互聯(lián)網(wǎng)的數(shù)據(jù)包，也可以過濾內(nèi)網(wǎng)的數(shù)據(jù)包,Firewalld 不僅可以通過命令行進(jìn)行配置，也可以通過圖形化界面配置,Firewalld 默認(rèn)是拒絕所有，需要通過允許去放行,Firewalld 可以動(dòng)態(tài)修改單條規(guī)則，動(dòng)態(tài)管理規(guī)則集（允許更新規(guī)則而不破環(huán)現(xiàn)有會(huì)話和連接，可以守護(hù)進(jìn)程）

注意事項(xiàng)

iptables 和 firewaldl 都只是 linux 防火墻的管理程序，真正的防火墻執(zhí)行者是位于內(nèi)核的 netfilter，只不過 firwalld 和 iptables 的結(jié)果以及使用方法不一樣 在配置防火墻時(shí)，不建議兩種配置方法結(jié)合使用（建議只使用其中的一種）

Iptables 講解

Iptables 配置防火墻依靠四個(gè)部分實(shí)現(xiàn)：表、規(guī)則鏈、規(guī)則（匹配條件）、控制類型組成

Iptables 表

處理優(yōu)先級(jí)由高到低，表與表之間都是獨(dú)立的

raw表

是否對(duì)某個(gè)數(shù)據(jù)包進(jìn)行狀態(tài)追蹤（包含 OUTPUT、PREAUTING 兩個(gè)規(guī)則鏈）

mangle表

修改數(shù)據(jù)包內(nèi)容；可以做流量整形、對(duì)數(shù)據(jù)包設(shè)置標(biāo)記（包含所有規(guī)則鏈）

nat表

負(fù)責(zé)地址轉(zhuǎn)換功能；修改數(shù)據(jù)包中的源目 IP 地址或端口（包含 IN、OU、PR、PO 三個(gè)規(guī)則鏈）

filter表

負(fù)責(zé)過濾數(shù)據(jù)包；對(duì)數(shù)據(jù)包時(shí)允許放行還是不允許放行（包含 IN、OU、FO 三個(gè)規(guī)則鏈） Iptables 規(guī)則鏈

什么是規(guī)則鏈

很多個(gè)規(guī)則組成一個(gè)規(guī)則鏈,數(shù)據(jù)包從上往下做匹配，匹配成功就結(jié)束匹配，并執(zhí)行相應(yīng)的控制類型（建議需要將精準(zhǔn)的策略放在上面）

規(guī)則鏈類型

INPUT處理入站的數(shù)據(jù)包（處理目標(biāo)是本機(jī)的數(shù)據(jù)包） OUTPUT處理出站的數(shù)據(jù)包（處理源是本機(jī)的數(shù)據(jù)包，一般不在此鏈上做規(guī)則） PREROUTING在進(jìn)行路由選擇前處理數(shù)據(jù)包（一般用來做 NAT Server） POSTROUTING在進(jìn)行路由選擇后處理數(shù)據(jù)包（一般用來做源 NAT） FORWARD處理轉(zhuǎn)發(fā)的數(shù)據(jù)包（處理經(jīng)過本機(jī)的數(shù)據(jù)包）

Iptables 控制類型

ACCEPT 允許數(shù)據(jù)包通過 DROP 丟棄數(shù)據(jù)包（不給對(duì)方回應(yīng)，一般工作時(shí)用這個(gè)） REJCET 拒絕數(shù)據(jù)包通過（會(huì)給對(duì)方回應(yīng)，對(duì)方知道自己被拒絕） SNAT 修改數(shù)據(jù)包的源地址 DNAT 修改數(shù)據(jù)包的目的地址 MASQUERADE 偽裝程一個(gè)非固定的公網(wǎng) IP 地址 LOG 在 / var/log/messages 文件中記錄日志信息，然后將數(shù)據(jù)包傳遞給下一條規(guī)則

數(shù)據(jù)包到達(dá)防火墻根據(jù)下圖進(jìn)行匹配

iptables 進(jìn)行數(shù)據(jù)處理關(guān)心的是四表五鏈以及流量的進(jìn)出

Iptables 命令配置

配置 iptables 防火墻時(shí)需要將防火墻服務(wù)開啟

systemctl start firewalld 開啟防火墻 systemctl status firewalld 查看防火墻狀態(tài)

Iptables命令查看防火墻

iptables -nL -t nat 查看 nat 表的規(guī)則鏈 -n 使用數(shù)字形式顯示輸出結(jié)果（如：通過 IP 地址） -L 查看當(dāng)前防火墻有哪些策略 -t 指定查看 iptables 的哪個(gè)表（默認(rèn)是 filter 表）

Iptables命令配置防火墻

>iptables-PINPUTDROP將INPUT規(guī)則鏈的默認(rèn)流量更改為拒絕
>-P設(shè)置/修改默認(rèn)策略
>iptables-tfilter-IINPUT-s192.168.10.0/24-jACCEPT在filter表下的INPUT規(guī)則鏈中配置規(guī)則
>-Inum插入規(guī)則（大寫i，默認(rèn)在鏈的開頭加入規(guī)則，可以指定序號(hào)）
>-i從這塊網(wǎng)卡流入的數(shù)據(jù)
>-o從這塊網(wǎng)卡流出的數(shù)據(jù)
>-s 源地址（加！表示取反）
>-d目的地址
>-j限制動(dòng)作
>iptables-AINPUT-ptcp--dport1000:1024-jREJECT拒絕tcp端口號(hào)為1000~1024的數(shù)據(jù)包
>-A在鏈的末尾加入規(guī)則
>-p指定協(xié)議類型
>--sport源端口
>--dport目的端口
>iptables-DINPUT1刪除INPUT規(guī)則鏈的第一條規(guī)則
>-Dnum刪除規(guī)則鏈
>-R修改規(guī)則
>iptables-F清空已有的策略
>iptables-save來保存防火墻策略

注意事項(xiàng)

當(dāng)創(chuàng)建的規(guī)則內(nèi)容與已有規(guī)則一致時(shí)，不會(huì)覆蓋原先的規(guī)則，會(huì)直接加入到現(xiàn)有規(guī)則鏈中（即此時(shí)此規(guī)則鏈下有兩條一摸一樣的規(guī)則，只是順序不同） 以上關(guān)于防火墻的配置是 runtime 模式，即配置成功后立即生效，但是重啟后會(huì)失效（需要將配置保存，重啟后才不會(huì)失效）

firewalld 講解

frewalld 是服務(wù)名稱，firewall-cmd 和 firewall-config 是配置工具名稱

firewall-cmd 基于命令行配置

firewall-config 基于圖形化界面配置（這兩個(gè)配置方式實(shí)時(shí)同步）

Firewalld 區(qū)域概念

默認(rèn)所有網(wǎng)卡都是 public 區(qū)域，可以根據(jù)需要將網(wǎng)卡設(shè)置為不同的區(qū)域

>Trust信任區(qū)域
>允許所有流量（所有的網(wǎng)絡(luò)連接都可以接受）
>Public公共區(qū)域
>僅接受ssh、dhcpv6-client服務(wù)連接（默認(rèn)區(qū)域）
>External外部區(qū)域
>僅接收ssh服務(wù)連接（默認(rèn)通過此區(qū)域轉(zhuǎn)發(fā)的IPv4流量將會(huì)進(jìn)行地址偽裝）
>Home家庭區(qū)域
>僅接受ssh、msdns、ipp-client、samba-client、dhcpv6-client服務(wù)網(wǎng)絡(luò)連接
>Internal內(nèi)部區(qū)域
>同home區(qū)域
>Work工作區(qū)域
>僅接受ssh、ipp-client、dhcpv6-client服務(wù)連接
>Dmz隔離區(qū)域（非軍事區(qū)域）
>僅接收ssh服務(wù)連接
>Block限制區(qū)域
>拒絕所有傳入流量（有回應(yīng)）
>Drop丟棄區(qū)域
>丟棄所有傳入流量（無回應(yīng)）

數(shù)據(jù)包到達(dá)防火墻匹配規(guī)則

firewall 進(jìn)行數(shù)據(jù)處理只關(guān)心區(qū)域

1.根據(jù)數(shù)據(jù)包的源 IP 地址匹配，根據(jù)源地址綁定區(qū)域的區(qū)域規(guī)則進(jìn)行匹配（如果沒有綁定區(qū)域則匹配默認(rèn)區(qū)域的規(guī)則）

2.根據(jù)傳入的網(wǎng)絡(luò)接口匹配，進(jìn)入此接口綁定區(qū)域的區(qū)域規(guī)則進(jìn)行匹配（如果沒有綁定區(qū)域則匹配默認(rèn)區(qū)域的規(guī)則）綁定源地址的區(qū)域規(guī)則＞網(wǎng)卡綁定的區(qū)域規(guī)則＞默認(rèn)區(qū)域的規(guī)則

Firewalld 兩種配置方法

臨時(shí)配置（runtime 當(dāng)前生效表）

立即生效，重啟后失效,不中斷現(xiàn)有連接,無法修改服務(wù)配置永久配置（permanent 永久生效表）

不立即生效，重啟后生效，或者立即同步后生效 會(huì)終端現(xiàn)有連接 可以修改服務(wù)配置

firewall-cmd 命令行基礎(chǔ)配置

如何實(shí)現(xiàn)永久配置

--permanent表示此配置加入到永久生效（默認(rèn)臨時(shí)生效） 或者在配置結(jié)束后執(zhí)行此命令 firewall-cmd --runtime-to-permanent 將臨時(shí)更改為永久 永久配置完成后需要立即同步 firewall-cmd --reload立即同步永久配置

查看默認(rèn)區(qū)域并進(jìn)行更改

>firewall-cmd--get-zones查詢可用的區(qū)域
>firewall-cmd--get-default-zone查詢默認(rèn)區(qū)域的名稱
>firewall-cmd--get-active-zone顯示當(dāng)前正在使用的區(qū)域與網(wǎng)卡名稱
>firewall-cmd--set-default-zone=trusted設(shè)置默認(rèn)區(qū)域?yàn)閠rusted區(qū)域

將網(wǎng)卡 / 子網(wǎng)與區(qū)域綁定（允許 / 拒絕此子網(wǎng)通過）

>firewall-cmd--zone=drop--add-source=192.168.20.0/24將此子網(wǎng)與drop區(qū)域綁定（拒絕從此子網(wǎng)發(fā)來的流量）
>firewall-cmd--zone=trusted--add-interface=ens160將此網(wǎng)卡與trusted區(qū)域綁定（允許從此網(wǎng)卡發(fā)來的流量）
>--remove-source刪除子網(wǎng)與區(qū)域的綁定
>--change-source更改子網(wǎng)與區(qū)域的綁定

配置區(qū)域允許 / 拒絕的協(xié)議 / 端口號(hào)

>firewall-cmd--list-all顯示當(dāng)前區(qū)域的端口號(hào)、網(wǎng)卡、服務(wù)等信息
>--list-all-zones顯示所有區(qū)域的
>firewall-cmd--get-services列舉出來當(dāng)前所有被允許的協(xié)議
>firewall-cmd--zone=public--add-servicehttp配置public區(qū)域允許通過http協(xié)議
>--remove-servicessh拒絕通過ssh協(xié)議
>--add-port=123/tcp允許通過tcp的123端口
>--remove-port=123/tcp拒絕通過tcp的123端口
>cat/etc/services保存的協(xié)議類型和端口號(hào)

配置協(xié)議端口轉(zhuǎn)換（端口映射）

>firewall-cmd--permanent--zone=public--add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.1
>將192.168.10.1主機(jī)的tcp22端口號(hào)轉(zhuǎn)為888端口號(hào)（public區(qū)域接收ssh）
>--remove-forward-port刪除此端口映射

其它配置

>--panic-on緊急模式，切斷一切的網(wǎng)絡(luò)連接（特殊情況去使用）
>--panic-off恢復(fù)一切的網(wǎng)絡(luò)連接

配置富規(guī)則 rich（更復(fù)雜、更詳細(xì)的防火墻策略配置）

優(yōu)先級(jí)最高（高于默認(rèn)規(guī)則，兩個(gè)并不沖突） 能夠根據(jù)源目地址、端口號(hào)來限制用戶

>firewall-cmd--zone=public--list-rich-rule顯示public區(qū)域已經(jīng)配置的富規(guī)則
>firewall-cmd--permanent--zone=public--add-rich-rule="rulefamily="ipv4"sourceaddress="192.168.100.1/24"service允許來自192.168.

100.1 的主機(jī)訪問 22 端口

>--add-rich-rule添加一個(gè)富規(guī)則
>--remove-ruch-rule刪除一個(gè)富規(guī)則
>reject拒絕訪問

firewall-config 圖形化配置

安裝 firewall-config

配置 Yum 源（軟件倉庫）
安裝軟件 dnf install firewall-config

系統(tǒng)界面講解

1：選擇運(yùn)行時(shí)（Runtime）或永久（Permanent）模式的配置

2：選擇區(qū)域

3：當(dāng)前正在使用的區(qū)域（黑色加粗）

4：管理當(dāng)前被選中區(qū)域中的服務(wù)

5：管理當(dāng)前被選中區(qū)域中的端口

6：設(shè)置允許被訪問的協(xié)議

7：設(shè)置允許被訪問的端口

8：開啟或關(guān)閉 SNAT（源網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)

9：設(shè)置端口轉(zhuǎn)發(fā)策略

10：控制請(qǐng)求 icmp 服務(wù)的流量

11：被選中區(qū)域的服務(wù)，若勾選了相應(yīng)服務(wù)前面的復(fù)選框，則表示允許與之相關(guān)的流量

12：管理防火墻的富規(guī)則

13：網(wǎng)卡信息（網(wǎng)卡與區(qū)域綁定信息）

14：子網(wǎng)信息（子網(wǎng)與區(qū)域綁定信息）

15：查看常用的服務(wù)協(xié)議列表

16：主機(jī)地址的黑白名單

審核編輯：湯梓紅