Linux火墙管理及优化

网络环境配置

使用3个新的虚拟机【配置好软件仓库和网络的】

F1	192.168.150.133	NAT
F2	192.168.150.134 192.168.10.20	NAT HOST-ONLY    网络适配仅主机
F3	192.168.10.30	HOST-ONLY    网络适配仅主机

1 ~]# hostnamectl hostname double1.timinglee.org     【更改虚拟机姓名】

[root@double2 ~]# hostnamectl hostname double2.timinglee.org

[root@double3 ~]# hostnamectl hostname double3.timinglee.org

2 ~]# vmset.sh ens192 192.168.10.20        【使用# ip a查看地址ens后面数字再更改】

3 ~]# vmset.sh ens160 192.168.10.30

# vim /etc/NetworkManager/system-connections/ens160.nmconnection     【修改网关】

# nmcli connection reload                【重启】

# nmcli connection up ens160             【启动ens160】

# route -n   查看结果：

什么是防火墙

从功能角度来讲

        防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出

从功能实现角度来讲,

        火墙是系统内核上的一个模块netfilter(数据包过滤机制)

        通过netfiler来管理kernelspace中的策略

netfilter简介

        Netfilter是Linux2.4.x引入的一个子系统

        它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪等等

        netfilter分析OSI七层协议的2、3、4层

        onetfiler可以直接分析数据包头部数据,包括硬件地址,软件地址、TCP、UDP、ICMP等数据包的信息都可以进行过滤分析

        oInux的netfilter机制可以进行的工作有:

                。拒绝让Internet的数据包进入主机的某些端口

                。拒绝让某些来源ip的数据包进入

                。拒绝让带有某些特殊标志(flag)数据包进入，最常拒绝的是带SYN主动连接标志的包

                。分析硬件地址(MAC)来决定连接与否

                。地址转换

        防火墙并不能有效阻挡病毒或木马程序,并且防火墙对于内部LAN的攻击无能为力

netfiler策略管理工具

        onetfilter这个内核网络栈过滤框架的使用需要通过iptables或nftables来进行与netfilter进行交互工具常用种类

        oiptables服务使用iptables交互RHEL6之前系统默认使用此服务,管理手段丰富,配置比较复杂

        ofirewalld服务使用nftables交互RHEL6及之后的版本中默认使用此服务,配置类似windows火墙,功能模块度高,使用简单。

netfilter的五类hook函数及iptables的默认表和链

NF_IP_PRE_ROUTING【将要进入的】：位于路由之前,报文一致性检查之后(报文一致性检查包括:报文版本、报文长度和checksum

NF_IP_LOCAL_IN【进入主机的数据包】：位于报文经过路由之后,并且目的是本机的

NF_IP_FORWARD【经过的数据包】：位于在报文路由之后,目的地非本机的。

NF_IP_LOCAL_OUT【进入主机的数据包】：由本机发出去的报文,并且在路由之前。

NF_IP_POST_ROUTING【将要离开的】：所有即将离开本机的报文

内核空间的iptables

        oIptables是基于Netfilter框架实现的报文选择系统

        oiptables用于报文的过滤、网络地址转换和报文修改等功能

        oIptables本质上是包含了5个规则表,而规则表则包含了一些列的报文的匹配规则以及操作目标

1、raw表:

        第一优先级的表,设置raw表规则后,不会对数据包进行链接跟踪和NAT转换,使用于

PREROUTING和OUTPUT链,对应的动作为NOTRACK。

2、mangle表:

        第二优先级的表,根据规则,修改数据包的TOS(Typeofservice,服务类型)、TTL(TimeToLive,生存周期)以及设置Mark标记,以实现Qos以及策略路由等。

3、nat表:

        第三优先级的表,网络地址转换表,用于修改源和目的的地址,分SNAT(源目的地址转换)和DNAT(目的地址转换)。

4、filter表:

        第四优先级的表,用于控制到达链(forward链、input链、output链)上的数据包,是放行(accepte)、丢弃(drop)或者拒绝(reject)。

5、security表:

        最不常用的表(通常,我们说iptables只有4张表,security表是新加入的特性),用于在数据包上应用SELinuxo

iptables服务

        iptables服务是用户管理内核空间的iptables的管理工具，通过iptables书写内核空间的iptables策略。

        iptables的规则是至上而下的读取方式，遇到与数据包信息匹配的规则后直接采用。

        iptables的规则默认保存在内存中，如果需要永久保存需要把策略以字符的形式保存 到/etc/sysconfig/iptables中。

启动iptables 服务

2 ~]# dnf install iptables-nft-services.noarch -y           【下载】

# systemctl disable --now firewalld                  【开火墙】

# systemctl mask firewalld

# systemctl enable --now iptables.service

# iptables -L                  【列出iptables表】

# iptables -F               【刷新iptables表】

再次 # iptables -L 刷新结果：

# cat /etc/sysconfig/iptables         【查看iptables文件内容】

# service iptables save        【保存当前火墙状态】

# cat /etc/sysconfig/iptables   运行结果：

iptables命令参数

2 ~]# systemctl enable --now nginx

1/3 ~]# curl 192.168.（150/10）.（134/20）可以访问到F2了

        -t  对指定的表进行操作,table必须是raw,nat,filter,mangle中的一个。默认是filter表。

        -p  指定要匹配的数据包协议类型

        -s  --source address/mask:把指定的一个或者一组地址作为源地址,按此规则进行过滤。当后面没有mask时,address是一个地址,比如:192.168.1.1;当mask指定时,可以表示一组范围内的地址,比如:192.168.1.0/255.255.255.0

        -d  --destination address/mask:地址格式同上,但指定地址为目的地址,按此进行过滤

        -i  --in-interface name:指定数据包的来自来自网络接口,比如最常见的etho。注意:它只对INPUT,FORWARD,PREROUTING这三个链起作用。如果没有指定此选项,说明可以来自任何一个网络接口。同前面类似,"!"表示取反

2 ~]# iptables -A INPUT -i lo -j ACCEPT    【允许本机环回接口访问】

        -O  --out-interface name:指定数据包出去的网络接口。只对OUTPUT，FORWARD，POSTROUTNG三个链起作用

        -L  --list[chain]列出链chain上的所有规则,如果没有指定链,列出表上所有链的所有规则

        -A  --append chain rule-specification:在指定链chain的末尾插入指定的规则,也就是说,这条规则会被放到最后,最后才会被执行。规则是由后面的匹配来指定INPUT【限制对方进来】   FORWARD   OUTPUT【限制对方出去】

2 ~]# iptables -t filter -A INPUT -p tcp --dport 80 -s 192.168.150.133 -j REJECT

【不允许80接口被133访问】

# iptables -t filter -A INPUT -p tcp --dport 80 ! -s 192.168.10.128 -j REJECT

【仅允许128访问80接口】

# iptables -nL   查看结果：

        -I  --insert chain [rulenum] rule-specification:在链chain中的指定位置插入条或多条规则。如果指定的规则号是1,则在链的头部插入。这也是默认的情况,如果没有指定规则号

注意：火墙读取策略是从第一条开始读取的

# iptables -I INPUT 1 -i lo -j ACCEPT    【添加到第一条，允许本机环回接口访问】

        -D  --delete chain rule-specification-D,--delete chain rulenum:在指定的链chain中删除一个或多个指定规则

# iptables -D INPUT 1       【删除第一条规则】

        -R  Replays替换/修改第几条规则

# iptables -R INPUT 1 -p tcp --dport 22 -s 192.168.150.133 -j ACCEPT     【替换端口为22】

        -P  --policy chain target:为指定的链chain设置策略target。注意,只有内置的链才允许有策略,用户自定义的是不允许的

        -F  --flush [chain]清空指定链chain上面的所有规则。如果没有指定链,清空该表上所有链的所有规则

        -N  --new-chain chain用指定的名字创建一个新的链

# iptables -N lee       【新建链表lee】

        -E  --rename-chain old-chain new-chain:用指定的新名字去重命名指定的链。这并不会对链内部照成任何影响

# iptables -E lee LEE         【更改lee链表名字】

        -X  --delete-chain [chain]:删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链

# iptables -X LEE             【删除链表LEE】

        -Z  --zero [chain]:把指定链,或者表中的所有链上的所有计数器清零

        -j  --jump target<指定目标>:即满足某条件时该执行什么样的动作。target可以是内置的目标,比如ACCEPT,也可以是用户自定义的链

        -h  显示帮助信息

snat地址转换

2 ~]# iptables -F       【删除所有策略】

# iptables -t nat -A POSTROUTING -o ens160 -j SNAT --to-source 192.168.150.134

【将所有从ens160出去的网址都把地址改为2 ~]的150.134，用# ip a 查看自身ens的号码】

# iptables -t nat -nL  查看结果：

3 ~]# ip route add default via 192.168.10.20         【添加网关】

# route -n 查看结果：

在做nat实验时需要开启双网卡主机的内核路由功能，否则双网卡主机的两个网卡如果不在同一个洪范范围是无法通信的。

2 ~]# vim /etc/sysctl.conf          【配置内核路由功能】

# sysctl -p  查看结果：

现在3 ~]10.128可以访问到1 ~]150.133了

dnat地址转换

2 ~]# iptables -t nat -A PREROUTING -i ens160 -j DNAT --to-dest 192.168.10.128

【将所有从ens160进入（访问）的网址都把地址改为3 ~]的10.128】

# iptables -t nat -nL 查看结果：

1 ~]# ssh -l root 192.168.150.134  访问结果：

firewalld管理

frewallid服务管理万式与iptables的管理方式区別

        • iptables是基于Linux内核的Netfiten子系统构建的，直接操作Netfilter；

libnftables库与Netfilter交互，提供了一个更高的抽象层

        • iptables使用基于表的规则集，包括filter、nat、mangle、raw及securty五个表；firewalld采用基于区域的规则集，包括default、public、internal、external和dmz五个区域

        • iptables的配置较为复杂，需要用户掌握特定的命令行语法；firewalld提供了更直观和灵活的配置方式，支持命令行和图形界面

        • 由于firewalld通过libnftables库与Netfilter交互，其性能相对于直接操作Netfilter的iptables来说较低

firewalld域

2 ~]# iptables -t nat -F          【清空指定nat表策略】

# systemctl disable --now iptables.service         【火墙】

# systemctl mask iptables.service

# systemctl unmask firewalld.service

# systemctl enable --now firewalld

# firewall-cmd --list-all  查看结果：

环境配置

2 ~]# vim /etc/firewalld/firewalld.conf         【修改firewalld默认管理底层】

# systemctl restart firewalld                【重启】

firewalld中默认使用的域是pubic

firewalld默认提供的九个zones的调用文件都保存在"/usr/lib/firewalld/zones/"目录下

firewall-cmd命令

2 ~]# firewall-cmd --get-default-zone     【查询默认区域】

# firewall-cmd --set-default-zone=trusted     【更改默认区域为trusted】

# firewall-cmd --state           【查看当前状态】

# firewall-cmd --reload          【刷新】

# firewall-cmd --list-all            【查看默认区域】

# firewall-cmd --set-default-zone=public

# firewall-cmd --get-services           【查看可执行服务】

# firewall-cmd --add-service=dns          【临时添加允许dns访问】

# firewall-cmd --list-all 查看结果：

# firewall-cmd --permanent --add-service=dns          【永久更改】

# cat /etc/firewalld/zones/public.xml 查看结果：

# firewall-cmd --remove-service=dns

# firewall-cmd --reload                   【重启才会有效】

# firewall-cmd --permanent --remove-service=dns     【删除dns访问】

# firewall-cmd --reload

# firewall-cmd --list-all 查看结果：

# firewall-cmd --add-source=192.168.10.128/24 --zone=trusted     【默认允许10.128访问】

# firewall-cmd --remove-source=192.168.10.128/24 --zone=trusted     【删除访问策略】

# firewall-cmd --get-active-zones         【查看活跃域】

# firewall-cmd --list-all-zones             【显示所有网卡配置】

# vim /etc/nginx/nginx.conf              【配置网站端口】

# nginx -s reload                       【重启】

# netstat -antlupe | grep nginx  查看修改：

# firewall-cmd --add-service=http         【开启http也无法生效】

# firewall-cmd --add-port=8080/tcp        【允许8080端口访问】

# firewall-cmd --remove-port=8080/tcp      【删除端口】

firewalllld高级规则

Direct Rules

通过 firewall-cmd 工具，可以使用--direct选项在运行时间里增加或者移除链。如果不熟悉 iptables，使用直接接口非常危险，因为您可能无意间导致防火墙被入侵。

I直接端口模式适用于服务或者程序，以便在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用。

2 ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 ! -s 192.168.10.128/24 -j ACCEPT        【禁止10.128访问】

# firewall-cmd --direct --get-all-rules         【查看规则】

地址伪装与端口转发

3 ~]# ip route add default via 192.168.10.20

# route -n 查看结果：

2 ~]# firewall-cmd --permanent --add-masquerade    【开启双网卡主机路由器】

# firewall-cmd --reload                        【reload完后F3就可以访问F1了】

2 ~]# firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toport=22:toaddr=

192.168.10.128              【访问22端口都转到10.128】

# firewall-cmd --reload

1 ~]# ssh -l root 192.168.150.134  访问结果：