服务之--防火墙策略

三大表五大链

filter: INPUT, OUTPUT, FORWARD

nat: INPUT, OUTPUT, PREROUTING, POSTROUTING

mangle:INPUT, OUTPUT, PREROUTING, POSTROUTING, FORWARD

INPUT：进来的数据包应用此规则链中的策略

OUTPUT：外出的数据包应用此规则链中的策略

FORWARD：转发数据包应用此规则中的策略

PREROUTING：对数据包作路由选择前一共用此链中的策略（所有的数据包进来的时候都有这个链处理）

POSTROUTING：对数据包作路由选择后应用此链中的策略（所有的数据包出来的时候都由这个链处理）

初始设置

双网卡主机IP分别设置为不同网段

此处实验：

server主机：172.25.254.123和192.168.0.123

desktop主机：192.168.0.223

安装iptables

yum install iptables ##iptables是防火墙的另一个管理工具

systemctl stop firewalld ##需关闭firewalld工具

systemctl mask firewalld

systemctl start iptables ##开启iptables工具

systemctl enable iptables

一、iptables linux防火墙的管理工具

-t    ##指定表名称，若未指定表，则默认为filter表
-n    ##不做解析
-L    ##列出指定表中的策略
-A    ##增加策略
-p    ##网络协议
-i    ##input
-o    ##output
--dport    ##端口
-s    ##数据来源
-j    ##动作
ACCEPT    ##允许
REJECT    ##拒绝
DROP    ##丢弃，不拒绝访问，但是不予理睬，会一直在保持接收的状态
-N    ##增加链
-E    ##修改链名称
-X    ##删除链
-D    ##删除指定策略
-I    ##插入
-R    ##修改策略
-P    ##修给默认策略

1.参数实例：

iptables -t filter -nL ##查看filter表中的策略

iptables -F ##刷掉filter表中的所有策略

service iptables save ##保存当前策略到kelnel



iptables -A INPUT -i lo -j ACCEPT ##允许lo

iptables -A INPUT -p tcp –dport 22 -j ACCEPT ##允许访问22端口

iptables -A INPUT -s 172.25.254.23 -j ACCEPT ##允许23主机访问主机所有端口

iptables -A INPUT -j REJECT ##拒绝所有主机的数据来源



在该server主机安装http服务，用23主机访问该主机22端口的http服务，访问结果为允许



用非98主机的其他主机访问22端口的http服务，被拒绝



iptables -N redhat ##增加链redhat



iptables -E redhat westos ##修改redhat的链的名字为westos



iptables -X westos ##删除链westos



iptables -D INPUT 2 ##删除INPUT链中第二条策略

iptables -I INPUT 2 -p tcp –dport 80 -j REJECT ##插入策略到INPUT的第二条

iptables -R INPUT 2 -p tcp –ddport 22 -j ACCEPT ##修改INPUT链中的第二条策略

iptables -P INPUT DROP ##把INPUT表中的默认策略改为drop

2.标识策略实例：

iptables -A INPUT -i lo -m state –state NEW -j ACCEPT ##只检测第一次使用lo用户的访问，其他用lo已经访问成功的会直接允许访问

iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j ACCEPT ##只检测第一次使用端口22用户的访问，其他访问22端口成功的用户会直接访问

iptables -A INPUT -p tcp –dport 80 -m state –state NEW -j ACCEPT

iptables -A INPUT -p tcp –dport 443 -m state –state NEW -j ACCEPT

iptables -A INPUT -p tcp –dport 53 -m state –state NEW -j ACCEPT

iptables -A INPUT -j REJECT ##除上以外全部拒绝

–state RELATED,ESTABLISHED

3.网关配置：

sysctl -a | grep forward

echo “net.ipv4.ip_forward = 1”>>/etc/sysctl.conf



sysctl -p



客户端添加网关，gateway=192.25.254.123

iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to-source 172.25.254.123

iptables -t nat -A PREROUTING -i eth0 -j DNAT –to-dest 192.25.254.223

测试：

desktop修改网络配置文件：

vim /etc/sysconfig/network-scripts/ifcfg-eth0



ping 172.25.254.123

ping 192.168.0.223

二、firewalld

1.启用服务

systemctl start firewalld ##开启防火墙

systemctl mask iptables ##将iptables服务冻结

firewall-config ##firewall的图形管理界面

ZONE：【一般默认public】

block【限制】 ##拒绝所有网络

dmz【非军事区】 ##仅接受ssh服务连接

drop【丢弃】 ##任何接收的网络数据包都被丢弃，没有任何回复

external【外部】 ##出去的ipv4网络连接通过此区域伪装和转发仅接收ssh服务连接

home【家庭】 ##用于家庭网络，仅接收ss，mdns，ipp-client，或dhcpv6-client服务连接

internal【内部】 ##用于内部网络,仅接受ssh、mdns、ipp-client、samba-client、dhcpv6-client服务连接

public【公共】 ##在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域

ROL【】

trusted【信任】 ##可接受所有的网络连接

work【工作】 ##用于工作区,仅接受ssh、ipp-client或dhcpv6-client服务连接

Configuration配置设置方式：permanent永久式，和临时式 ##用命令操作时若无指定临时或永久时，则默认临时，设置结束后需要reload使设置的内容生效

内容：

services ##firewalld提供的服务

ports ##端口

masquerading ##伪装

port forwarding ##端口转发

ICMP filter ##ICMP协议提供的filter表

rich rules ##rich rules是一种类似iptables的设置

interfaces ##接口

sources ##指定源地址

2.基本参数设置

查看型

firewall-cmd –state ##查看firewall当前活动状态

firewall-cmd –get-active-zones ##查看当前活动的工作区域

fir
b365
ewall-cmd –get-default-zone ##查看当前默认的工作区域

firewall-cmd –get-zones ##查看所有拥有的工作区域

firewall-cmd –get-services ##查看所有可设置的服务

firewall-cmd –list-all-zones ##查看当前默认区域的内容【未特定指定时为public】

firewall-cmd –zone=trusted –list-all ##查看trusted区的内容

设置型

firewall-cmd –set-default-zone=trusted ##设置默认区域为trusted

firewall-cmd –permanent –add-source=172.25.254.98 ##永久添加可接收数据包来源，有permanent永久参数，添加后必须通过reload来执行，添加的数据包来源的执行权限和所在工作区域的执行权限相同

firewall-cmd –permanent –remove-source=172.25.254.98 ##永久移除可接受数据包来源

firewall-cmd –permanetnt –zone=trusted –add-source=172.25.254.98 ##永久在trusted区域添加数据包来源

firewall-cmd –permanetnt –zone=trusted –remove-source=172.25.254.98 ##移除

firewall-cmd –zone=public –remove-interface=eth0 ##在public区域移除eth0接口

firewall-cmd –zone=trusted –add-interface=eth0 ##在trusted区域添加eth0接口

firewall-cmd –add-service=ssh ##在默认区域添加服务ssh，移除用remove，永久设置须添加–permanent，指定区域添加–zone=所指定区域名称

firewall-cmd –add-port=22/tcp ##在默认区域添加可访问端口22，协议使用tcp

firewall-cmd –reload ##每次执行的是永久设置的命令时，需要生效，必须执行reload，【注意:这并不会中断已经建立的连接,如果打算中断,可以使用 –complete-reload选项】

3.direct参数设置【在运行时间里增加或者移除链】

firewall-cmd –direct –get-all-rules ##查看当前所有的direct rules

firewall-cmd –direct –get-all-rule ipv4 filter INPUT 0 ‘!’ -s 172.25.254.98 -p tcp –dport 22 -j ACCEPT ##添加direct rules ，设置为ipv4，在filter表中第一条（第一条即0），除了98主机不可以访问以外其他都可以，使用协议为tcp，添加访问端口22，和iptables相似设定方法

4.rich rules

通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分区,也仍然支持现行的配置方式。

firewall-cmd –zone=指定区域 –remove-rich-rule=’rule’ ##移除一项规则

firewall-cmd –zone=指定区域 –query-rich-rule=’rule’ ##这将复查是否已经为区域增加一个多语言规则 。如果可用,屏幕会显示 yes,退出状态为0; 否则,屏幕显示 no ,退出状态为 1。如果省略 zone,默认区域将被使用。

firewall-cmd –list-rich-rules ##列出所有多语言规则

添加规则

firewall-cmd –add-rich-rule=’rule family=”ipv4” source address=”172.25.0.10” accept’ ##允许172.25.0.10主机所有连接

firewall-cmd –add-rich-rule=’rule service name=ftp limit value=2/m accept’ ##每分钟允许2个新连接访问ftp服务

firewall-cmd –add-rich-rule=’rule service name=ftp log limit value=”1/m” audit accept’ ##同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次

firewall-cmd –add-rich-rule=’rule family=”ipv4” source address=”172.25.0.0/24” service name=ssh log prefix=”ssh” level=”notice” limit value=”3/m” accept’ ##允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次

firewall-cmd –permanent –add-rich-rule=’rule protocol value=icmp drop’ ##丢弃所有icmp包

firewall-cmd –add-rich-rule=’rule family=ipv4 source address=172.25.0.0/24 reject’ –timeout=10 ##当使用source和destination指定地址时,必须有family参数指定ipv4或ipv6。如果指定超时,规则将在指定的秒数内被激活,并在之后被自动移除

firewall-cmd –add-rich-rule=’rule family=ipv6 source address=”2001:db8::/64” service name=”dns” audit limit value=”1/h” reject’ –timeout=300 ##拒绝所有来自2001:db8::/64子网的主机访问dns服务,并且每小时只审核记录1次日志

firewall-cmd –permanent –add-rich-rule=’rule family=ipv4 source

address=172.25.0.0/24 service name=ftp accept’ ##允许172.25.0.0/24网段中的主机访问ftp服务

firewall-cmd –add-rich-rule=’rule family=”ipv6” source address=”1:2:3:4:6::” forward-portto-addr=”1::2:3:4:7” to-port=”4012” protocol=”tcp” port=”4011”’ ##转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012

5.伪装和端口转发

伪装：

firewall-cmd –permanent –zone=< ZONE > –add-masquerade ##添加伪装

firewall-cmd –permanent –zone=< ZONE > –add-rich-rule=’rule family=ipv4 source address=172.25.254.244/24 masquerade’ ##172.25.98.11在出站后伪装为172.25.254.244

端口转发:

firewall-cmd –permanent –zone=< ZONE > –add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.98.10 ##将所有访问22端口的主机全部转发到172.25.98.10主机的22端口处

firewall-cmd –permanent –zone=< ZONE > –add-rich-rule=’rule family=ipv4 source address=172.25.254.98/24 forward-port port=22 protocol=tcp to-port=22’ ##在rich ruels中的操作命令