什么是防火墙
-
防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。
分类:
-
硬件防火墙:由厂商设计好的主机硬件,其操作系统主要以提供数据包数据的过滤机制为主,并去掉不必要的功能
-
软件防火墙:保护系统网络安全的一套软件(或称为机制),如Netfilter(数据包过滤机制)
Netfilter(数据包过滤)
定义
-
netfilter 是一个工作在 Linux 内核的网络数据包处理框架,用于分析进入主机的网络数据包,将数据包的头部数据(硬件地址,软件地址,TCP、UDP、ICMP等)提取出来进行分析,以决定该连接为放行或拒绝的机制,主要用于分析OSI七层协议的2、3、4层。
Netfilter分析内容:
-
拒绝让Internet的数据包进入主机的某些端口
-
拒绝某些来源IP的数据包进入
-
拒绝让带有某些特殊标志(flag)的数据包进入,如:带有SYN的主动连接标志
-
分析MAC地址决定是否连接
防火墙无法完成的任务
-
防火墙并不能杀毒或清除木马程序(假设主机开放了www服务,防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞,或者请求www服务的数据包本身就是病毒的一部分时,防火墙是阻止不了的)
-
防火墙无法阻止来自内部LAN的攻击(防火墙对于内部的规则设置通常比较少,所以就很容易造成内部员工对于网络无用或滥用的情况)
iptables 与 firewalld 区别
-
netfilter数据包过滤机制是由linux内核内建的,不同的内核版本使用的设置防火墙策略的软件不一样,从红帽7系统开始firewalld服务取代了iptables服务
-
iptables 与 firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,即只是一种服务,而真正使用规则干活的是内核的netfilter
-
总之,当前Linux 系统中存在多个防火墙管理工具,旨在方便运维人员管理 Linux 系统中的防火墙策略,我们只需要配置妥当其中的一个就足够了。虽然这些工具各有优劣,但它们在防火墙策略的配置思路上是保持一致的
iptables
-
早期的 Linux 系统中,默认使用 iptables 防火墙来管理服务和配置防火墙,虽然新型的 firewalld 防火墙管理服务已经被投入使用多年,但iptables 在当前生产环境中还继续使用 ,具有顽强的生命力
iptables执行原则
原则
-
防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。
-
如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略
防火墙规则
-
通(放行、允许)
-
堵(阻止、拒绝)
-
当默认策略为拒绝时,就要设置允许规则,否则数据包都进不来;若默认策略为允时,就要设置拒绝规则,否则数据包都能进来,防火墙也就失去了作用
安装iptables
预处理:RHEL(Centos)9中默认使用的是firewalld,且与iptables之间有冲突,如果需要使用 iptables 需要先停止firewalld再进行安装:
[root@openEuler-1 ~]# systemctl stop firewalld
[root@openEuler-1 ~]# systemctl disable firewalld
管理命令
[root@openEuler-1 ~]# systemctl start iptables
[root@openEuler-1 ~]# systemctl status iptables.service[root@openEuler-1 ~]# systemctl status iptables
[root@openEuler-1 ~]# service iptables save
规则链存储文件
[root@openEuler-1 ~]# vim /etc/sysconfig/iptables
# Generated by iptables-save v1.8.7 on Wed Mar 19 16:14:37 2025
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15:2100]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Mar 19 16:14:37 2025
iptables命令:
格式:
-
简化:
iptables [-t 表名] 选项 [链名] [条件] [-j 控制动作]
-
详细:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 控制动作
参数
参数
| 参数 | 作用 |
|---|---|
| -t | 对指定的表进行操作,table必须是raw,nat,filter,mangle中的一个,默认是filter |
| -p | 指定要匹配的数据包协议类型 |
| -s | 匹配源地址IP/MASK,若有!表示取反 |
| -d | 匹配目的地址IP/MASK |
| -i 网卡名 | 匹配从这块网卡流入的数据 |
| -o 网卡名 | 匹配从这块网卡流出的数据 |
| -L | 列出规则链上的所有规则,如果没有指定链,列出表上所有链的所有规则 |
| -A | 在规则链的末尾加入新规则 |
| -I num | 在规则链的头部加入新规则 |
| -D num | 删除指定规则 |
| -R num | 替换/修改第几条规则 |
| -P | 设置默认策略, |
| -F | 清空所有规则(F:flush是“冲洗、冲掉”的意思) |
| -N | 创建新规则链 |
| -X | 删除指定规则链,这个链必须没有被其它任何规则引用,而且这条链上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链 |
| -E | 用指定的新名字去重命名指定的链 |
| -Z | 把指定链,或者表中的所有链上的所有计数器清零 |
| -j | 满足某条件时该执行什么样的动作 |
| -h | 显示帮助信息 |
firewalld
概述
概念
-
firewalld(Dynamic Firewall Manager of Linux systems,Linux 系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,从RHEL 7开始,用firewalld服务替代了iptables服务
-
RHEL 9采用firewalld管理netfilter子系统,默认情况,firewalld则是交由内核层面的nftables包过滤框架来处理
firewalld特点
-
firewalld可以动态修改单条规则,不需要像iptables那样,修改规则后必须全部刷新才可生效
-
firewalld默认动作是拒绝,则每个服务都需要去设置才能放行,而iptables里默认是每个服务是允许,需要拒绝的才去限制
-
iptables防火墙类型为静态防火墙firewalld 防火墙类型为动态防火墙
-
firewalld和iptables一样自身并不具备防火墙功能,它们的作用都是用于维护规则,而真正使用规则干活的是内核防火墙模块
-
firewalld 加入了区域(zone)概念
区域 zone
作用
-
firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone),然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域,每个区域都定义了自己打开或者关闭的端口和服务列表
-
区域:zone本质为firewalld 预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换
| 区域 | 默认策略规则 |
|---|---|
| trusted(信任区域) | 允许所有的传入流量 |
| home (家庭区域) | 允许与SSH、MDNS(多播DNS)、IPP客户端、samba-客户端、DHCPv6客户端、cockpit(服务器管理工具)服务匹配的流量传入,其余拒绝 |
| internal (内部区域) | 默认值时与homel区域相同 |
| work(工作区域) | 允许 与SSH、DHCPv6客户端、cockpit服务匹配的流量传入,其余拒绝、 |
| public (公共区域) | 允许与SSH或DHCPv6客户端、cockpit服务匹配的流量传入,其余拒绝 (是默认区域) |
| external(外部区域) | 允许与SSH服务匹配的流量传入,其余拒绝 |
| dmz (隔离区域) | 也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用,允许与SSH服务匹配的流量传入,其余拒绝 |
| block (阻塞区域) | 拒绝所有传入流量,返回icmp-host-prohibited消息 |
| drop (丢去区域) | 丢弃所有传入流量,且没有任何回复,类似DROP |
firewall-cmd命令行工具
firewalld命令生效模式
-
runtime模式:运行时模式,立即生效,重启失效
-
permanent模式:永久模式,重启生效
管理命令
[root@server ~]# systemctl stop firewalld [root@server ~]# systemctl disable firewalld [root@server ~]# systemctl start firewalld [root@server ~]# systemctl enable firewalld [root@server ~]# systemctl status firewalld
设置命令:firewall-cmd 参数
设置命令:firewall-cmd 参数
| 参数 | 作用 |
|---|---|
| --get-default-zone | 查询默认的区域名称 |
| --set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
| --get-zones | 显示可用的区域 |
| --get-services | 显示预先定义的服务 |
| --get-active-zones | 显示当前正在使用的区域与网卡名称 |
| --add-source= | 将源自此 IP 或子网的流量导向指定的区域 |
| --remove-source= | 不再将源自此 IP 或子网的流量导向某个指定区域 |
| --add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
| --change-interface=<网卡名称> | 将某个网卡与区域进行关联 |
| --list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| --list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
| --add-service=<服务名> | 设置默认区域允许该服务的流量 |
| --add-port=<端口号/协议> | 设置默认区域允许该端口的流量 |
| --remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
| --remove-port=<端口号/协议> | 设置默认区域不再允许该端口的流量 |
例1:firewalld区域中添加http服务,使其为放行状态
[root@server ~]# yum install nginx -y
[root@server ~]# systemctl start nginx
# 浏览器测试网页,被拒绝
[root@server ~]# firewall-cmd --get-default-zone
[root@server ~]# firewall-cmd --list all # 查看当前区域中开方的服务[root@server ~]# firewall-cmd --permanent --zone=public --add-service=http
success
[root@server ~]# firewall-cmd --permanent --zone=public --add-port=80/tcp
success
[root@server ~]# firewall-cmd --reload
success
[root@server ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens32
sources:
services: cockpit dhcpv6-client http ssh
ports: 80/tcp
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
# 浏览器测试通过
例2:某些服务需要编辑zone文件才能添加服务,添加nginx服务
[root@server ~]# firewall-cmd --get-services # 查看所有区域支持的服务
[root@server ~]# yum install nginx -y # 安装nginx
[root@server ~]# firewall-cmd --add-service=nginx --permanent # 报错,需要编辑区域文件
[root@server ~]# vim /etc/firewalld/services/nginx.xml # 编辑服务配置文件,添加:
<service>
<short>Nginx</short>
<description>nginx</description>
<port protocol="tcp" port="80"/>
<port protocol="tcp" port="443"/>
</service># 再次添加服务
[root@server services]# firewall-cmd --add-service=nginx --permanent# 重置
[root@server services]# firewall-cmd --reload# 查看当前区域支持的服务
[root@server services]# firewall-cmd --zone=public --list-service
例3:禁止192.168.93.10 网段的地址进行ping
[root@openEuler-1 ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.93.11" protocol value="icmp" reject'
success[root@openEuler-1 ~]# firewall-cmd --reload