Linux防火墙-netfilter

关闭selinux的方法:

[root@localhost ~]# setenforce 0 # 临时关闭
setenforce: SELinux is disabled
[root@localhost ~]# getenforce  # 查看selinux
Disabled
[root@localhost ~]# vim /etc/selinux.conf
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled 
# 永久关闭selinux
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

iptables

iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是 netfilter,它是Linux内核中实现包过滤的内部结构。

iptables 传输包的过程:

① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。

② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。

③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

iptables的规则表和链:

表(tables)提供特定的功能,iptables内置了5个表

  • filter表用于过滤包,最常用的表,有INPUT、FORWARD、OUTPUT三个链

  • nat表用于网络地址转换,有PREROUTING、OUTPUT、POSTROUTING三个链

  • managle表用于给数据包做标记

  • raw表可以实现不追踪某些数据包

  • security表在centos6中并没有,用于强制访问控制(MAC)的

规则链:

  • INPUT——进来的数据包应用此规则链中的策略

  • OUTPUT——外出的数据包应用此规则链中的策略

  • FORWARD——转发数据包时应用此规则链中的策略

  • PREROUTING——对数据包作路由选择前应用此链中的规则(记住!所有的数据包进来的时侯都先由这个链处理)

  • POSTROUTING——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

iptables 的使用

centos7之前使用netfilter防火墙 ,centos7开始使用firewalld防火墙

关闭firewalld开启netfilter方法 systemctl stop firewalld systemctl disable firewalled yum install -y iptables-services systemctl enable iptables systemctl start iptables

[root@localhost ~]# systemctl stop firewalld    # 关闭firewalld开启netfilter方法
[root@localhost ~]# systemctl disable firewalld # 开机关闭
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

再CentOS7中要使用iptables,需要

[root@localhost ~]# yum install -y iptables-services
[root@localhost ~]# systemctl enable iptables
[root@localhost ~]# systemctl start iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.

iptables 命令:

介绍:设置linux的netfilter

格式:iptables [option] ...

用法:

  • -A 在指定链的末尾添加(append)一条新的规则

  • -D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除

  • -I 在指定链中插入(insert)一条新的规则,默认在第一行添加

  • -R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换

  • -L 列出(list)指定链中所有的规则进行查看

  • -E 重命名用户定义的链,不改变链本身

  • -F 清空(flush)

  • -N 新建(new-chain)一条用户自己定义的规则链

  • -X 删除指定表中用户自定义的规则链(delete-chain)

  • -P 设置指定链的默认策略(policy)

  • -Z 将所有表的所有链的字节和数据包计数器清零

  • -n 使用数字形式(numeric)显示输出结果

  • -v 查看规则表详细信息(verbose)的信息

  • -V 查看版本(version)

  • -h 获取帮助(help)

[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 845 packets, 61230 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

...       
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -Z

防火墙处理数据包的四种方式

  • ACCEPT 允许数据包通过

  • DROP 直接丢弃数据包,不给任何回应信息

  • REJECT 拒绝数据包通过,必要时会给数据发送端一个响应的信息。

  • LOG在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则

iptables 实例

# 添加一条拒绝从192.168.188.1:1234 -> 192.168.188.128:80 tcp方式进来的规则
[root@localhost ~]# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 47 packets, 3138 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       192.168.188.1        192.168.188.128      tcp spt:1234 dpt:80
[root@localhost ~]# iptables -D INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
[root@localhost ~]# iptables -P INPUT DROP # 将INPUT链默认改为DROP
[root@localhost ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP # 禁止ping本机

  • -s :来源ip

  • -p :传输协议

  • --sport:来源端口

  • -d :目标ip

  • --dport:目标端口

  • -i:指定网卡

  • -j:处理方式

[root@localhost ~]# vim /usr/local/sbin/iptables.sh //加入如下内容
#! /bin/bash
ipt="/usr/sbin/iptables"

$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT    
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

nat表应用

A机器两块网卡ens33(192.168.133.130)、ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联。

需求1:可以让B机器连接外网

A机器上打开路由转发 echo "1">/proc/sys/net/ipv4/ip_forward
A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
B上设置网关为192.168.100.1

需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口

A上打开路由转发 echo "1">/ proc/sys/net/ipv4/ip_forward

A上执行 iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130

B上设置网关为192.168.100.1

iptables的备份和恢复:

[root@localhost ~]# service iptables save # 保存规则
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  确定  ]
[root@localhost ~]# iptables-save > iptables.ipt
[root@localhost ~]# ls
anaconda-ks.cfg  CentOS7-Base-163.repo  iptables  python36-3.6.3-7.el7.x86_64.rpm  python36-libs-3.6.3-7.el7.x86_64.rpm
[root@localhost ~]# iptables-restore < iptables.ipt  # 恢复规则
[root@localhost ~]#

firewalld

当CentOS7之后默认就没有iptables,取而代之的是firewalld。

[root@localhost ~]# systemctl enable firewalld # 开机启动
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.
[root@localhost ~]# systemctl disable firewalld # 开机关闭
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@localhost ~]# systemctl start firewalld   # 启动firewalld
[root@localhost ~]# systemctl stop firewalld    # 关闭firewalld
[root@localhost ~]# systemctl restart firewalld # 重启firewalld

firewalld不再是iptables的表,而是zones

[root@localhost ~]# firewall-cmd --get-zones  # 查看所有zones
block dmz drop external home internal public trusted work
[root@localhost ~]# firewall-cmd --get-default-zone  # 默认zone
public
[root@localhost ~]#
firewall-cmd --set-default-zone=work //设定默认
zone
 firewall-cmd --get-zone-of-interface=ens33 //查指定网卡

firewall-cmd --zone=public --add-interface=lo //给指定网卡设置zone 

firewall-cmd --zone=dmz --change-interface=lo //针对网卡更改zone

firewall-cmd --zone=dmz  --remove-interface=lo  //针对网卡删除zone 

firewall-cmd --get-active-zones  //查看系统所有网卡所在的zone
firewall-cmd --get-services  查看所有的servies

firewall-cmd --list-services  //查看当前zone下有哪些
service
 firewall-cmd --zone=public --add-service=http //把http增加到public zone下面

firewall-cmd --zone=public --remove-service=http

ls /usr/lib/firewalld/zones/ //zone的配置文件模板

firewall-cmd --zone=public --add-service=http --permanent //更改配置文件

需求:ftp服务自定义端口1121,需要在work zone下面放行ftp

cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services

vim /etc/firewalld/services/ftp.xml //把21改为1121

cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/

vim /etc/firewalld/zones/work.xml //增加一行
 <service name="ftp"/>

firewall-cmd --reload //重新加载

firewall-cmd --zone=work --list-services
上一页linux网络相关下一页linux任务计划

最后更新于

这有帮助吗?