技術文章 » Linux防火牆詳解

Linux防火牆詳解

2020-09-22 13:00:34

一、防火牆基礎

Linux防火牆主要工作在網路層,屬於典型的包過濾防火牆。

  • redhat 6 使用的是iptables
  • redhat 7 使用的是firewalld

iptables服務會把設定好的防火牆策略交由核心層面的 netfilter 網路過濾器來處理

firewalld服務則是把設定好的防火牆策略交由核心層面的 nftables 包過濾框架來處理

iptables和firewalld都是Linux設定核心防火牆的工具


二、iptables

iptables 是一款基於命令列的防火牆策略管理工具,具有大量引數,學習難度較大。好在對於日常的防火牆策略設定來講,大家對「四表五鏈」的理論概念瞭解即可,只需要掌握常用的引數並做到靈活搭配即可,這就足以應對日常工作了。

iptables命令可以根據流量的源地址、目的地址、傳輸協定、服務型別等資訊進行匹配,一旦匹配成功,iptables就會根據策略規則所預設的動作來處理這些流量。另外,再次提醒一下,防火牆策略規則的匹配順序是從上至下的,因此要把較為嚴格、優先順序較高的策略規則放到前面,以免發生錯誤。下表總結歸納了常用的iptables命令引數。再次強調,我們無需死記硬背這些引數,只需藉助下面的實驗來理解掌握即可。

Iptables採用了表和鏈的分層結構,每個規則表相當於核心空間的一個容器,根據規則集的不同用途劃分為預設的四個表,raw表,mangle表,nat表,filter表,每個表容器內包括不同的規則鏈,根據處理封包的不同時機劃分為五種鏈,而決定是否過濾或處理封包的各種規則,按先後順序存放在各規則鏈中。

規則表分為以下4種(瞭解

  1. filter表:用來對封包進行過濾,表內包含三個鏈,即:INPUT,FORWARD,OUTPUT
  2. Nat表:nat表主要用來修改封包的ip地址、埠號等資訊。包含三個鏈,即PREROUTING,POSTROUTING,OUTPUT
  3. Mangle表:用來修改封包的TOS、TTL,或者為封包設定MARL標記,實現流量×××,策略路由等高階應用,包含五個鏈,PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD
  4. Raw表:用來決定是否對封包進行狀態跟蹤,包含兩個鏈:即OUTPUT,PREROUTING

規則鏈分為以下5種(瞭解

  1. INPUT鏈:當收到存取防火牆本機地址的封包(入站),應用此鏈中的規則。
  2. OUTPUT鏈:當防火牆本機向外傳送封包(出站)時,應用此鏈中的規則。
  3. FORWARD鏈:當收到需要通過防火牆中轉傳送給其他地址的封包(轉發)時,應用此鏈中的規則。
  4. PREROUTING鏈:在對封包做路由選擇之前,應用此鏈中的規則。
  5. POSTROUTING鏈:在對封包做路由選擇之後,應用此鏈中的規則。

防火牆策略規則是按照從上到下的順序匹配的,因此一定要把允許動作放到拒絕動作前面,否則所有的流量就將被拒絕掉,從而導致任何主機都無法存取我們的服務。


防火牆策略

防火牆策略規則的設定有兩種:一種是「通」(即放行),一種是「堵」(即阻止)。當防火牆的預設策略為拒絕時(堵),就要設定允許規則(通),否則誰都進不來;如果防火牆的預設策略為允許時,就要設定拒絕規則,否則誰都能進來,防火牆也就失去了防範的作用

  • ACCEPT(允許流量通過)
  • REJECT(拒絕流量通過)
  • LOG(記錄紀錄檔資訊)
  • DROP(拒絕流量通過)

REJECT 和 DROP 的不同點

DROP 來說,它是直接將流量丟棄而且不響應

REJECT 則會在拒絕流量後再回復一條「您的資訊已經收到,但是被扔掉了」資訊,從而讓流量傳送方清晰地看到資料被拒絕的響應資訊。

iptables 命令格式:

iptables [-t 表] -命令 匹配 操作

iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網路卡名> -p 協定名 <-s 源IP/源子網> --sport 源埠 <-d 目標IP/目標子網> --dport 目標埠 -j 動作

引數作用
-P設定預設策略
-F清空規則鏈
-L檢視規則鏈
-A在規則鏈追加新規則
-I在規則鏈插入新規則
-R替換規則鏈中的相應規則
-D刪除某一條規則
-Z清空規則鏈中的封包計數器和位元組計數器
-p<協定>匹配協定,如 TCP、UDP、ICMP
-s<源地址>指定要匹配的封包的源IP地址
–dport匹配目標埠號
–sport匹配來源埠號
-j指定要跳轉的目標(一般寫策略規則)

案例:

檢視開放的埠:

[root@linuxprobe ~]# cat /etc/sysconfig/iptables
[root@linuxprobe ~]# netstat -ntlp   #列出所有埠

開啟埠(以80埠為例):


方法一:
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT     #寫入修改
[root@linuxprobe ~]# service iptables save   #儲存修改 
[root@linuxprobe ~]# service iptables restart    重新啟動防火牆,修改生效

方法二:
[root@linuxprobe ~]# vi /etc/sysconfig/iptables  #開啟組態檔加入如下語句:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT   
#重新啟動防火牆,修改完成

關閉埠:

方法一: 
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 80 -j DROP   #寫入修改
[root@linuxprobe ~]# service iptables  save   #儲存修改
[root@linuxprobe ~]# service iptables restart  #重新啟動防火牆,修改生效 

方法二: 
[root@linuxprobe ~]#  vi /etc/sysconfig/iptables  #開啟組態檔加入如下語句: 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j DROP   
#重新啟動防火牆,修改完成

檢視埠狀態:

     [root@linuxprobe ~]#  /etc/init.d/iptables status

將 INPUT 規則鏈設定為只允許指定網段的主機存取本機的 22 埠,拒絕來自其他所有主機的流量:

[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT 
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT

向 INPUT 規則鏈中新增拒絕所有人存取本機 12345 埠的策略規則:

[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT 
[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT

向 INPUT 規則鏈中新增拒絕 192.168.10.5 主機存取本機 80 埠(Web 服務)的策略規則:

[root@linuxprobe ~] # iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT

向 INPUT 規則鏈中新增拒絕所有主機存取本機 1000~1024 埠的策略規則:

[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT 
[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT

檢視已有的防火牆規則鏈:

[root@linuxprobe ~]# iptables -L

把 INPUT 規則鏈的預設策略設定為拒絕:

[root@linuxprobe ~]# iptables -P INPUT DROP

向防火牆的INPUT 規則鏈中新增一條允許 ICMP 流量進入的策略規則預設允許了這種 ping 命令檢測行為:

[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT

刪除 INPUT 規則鏈中剛剛加入的那條策略(允許 ICMP 流量),並把預設策略設定為允許:

[root@linuxprobe ~]# iptables -D INPUT 1 
[root@linuxprobe ~]# iptables -P INPUT ACCEPT

使用 iptables 命令設定的防火牆規則預設會在系統下一次重新啟動時失效,如果想讓設定的防火牆策略永久生效,還要執行儲存命令:

[root@linuxprobe ~]# service iptables save

三、firewalld

相較於傳統的防火牆管理設定工具,firewalld 支援動態更新技術並加入了區域(zone)的概念。簡單來說,區域就是 firewalld 預先準備了幾套防火牆策略集合(策略模板),使用者可以根據生產場景的不同而選擇合適的策略集合,從而實現防火牆策略之間的快速切換。


firewalld跟iptables比起來至少有兩大好處:

  1. firewalld可以動態修改單條規則,而不需要像iptables那樣,在修改了規則後必須得全部重新整理才可以生效;
  2. firewalld在使用上要比iptables人性化很多,即使不明白「五張表五條鏈」而且對TCP/IP協定也不理解也可以實現大部分功能。

注:firewalld自身並不具備防火牆的功能,而是和iptables一樣需要通過核心的netfilter來實現,也就是說firewalld和iptables一樣,他們的作用都是用於維護規則,而真正使用規則幹活的是核心的netfilter,只不過firewalld和iptables的結構以及使用方法不一樣罷了。

一個重要的概念:區域管理

firewalld將網路卡對應到不同的區域(zone),zone 預設共有9個:
block dmz drop external home internal public trusted work

都儲存在「/usr/lib/firewalld/zones/」目錄下。

firewalld 中常用的區域名稱及測了規則

區域預設規則
阻塞區域(block)任何傳入的網路封包都將被阻止。
工作區域(work)相信網路上的其他計算機,不會損害你的計算機。
家庭區域(home)相信網路上的其他計算機,不會損害你的計算機。
公共區域(public)不相信網路上的任何計算機,只有選擇接受傳入的網路連線。
隔離區域(DMZ)隔離區域也稱為非軍事區域,內外網路之間增加的一層網路,起到緩衝作用。對於隔離區域,只有選擇接受傳入的網路連線。
信任區域(trusted)所有的網路連線都可以接受。
丟棄區域(drop)任何傳入的網路連線都被拒絕。
內部區域(internal)信任網路上的其他計算機,不會損害你的計算機。只有選擇接受傳入的網路連線。
外部區域(external)不相信網路上的其他計算機,不會損害你的計算機。只有選擇接受傳入的網路連線。

終端管理工具 firewalld-cmd

firewall 可以看成整個防火牆服務,而 firewall-cmd 可以看成是其中的一個功能,可用來管理埠

firewalld-cmd 命令中使用的引數以及作用

引數作用
–get-default-zone查詢預設的區域名稱
–set-default-zone=<區域名稱>設定預設的區域,使其永久生效
–get-zones顯示可用的區域
–get-services顯示預先定義的服務
–get-active-zones顯示當前正在使用的區域與網路卡名稱
–add-source=將源自此 IP 或子網的流量導向指定的區域
–remove-source=不再將源自此 IP 或子網的流量導向某個指定區域
–add-interface=<網路卡名稱>將源自該網路卡的所有流量都導向某個指定區域
–change-interface=<網路卡名稱>將某個網路卡與區域進行關聯
–list-all顯示當前區域的網路卡設定引數、資源、埠以及服務等資訊
–list-all-zones顯示所有區域的網路卡設定引數、資源、埠以及服務等資訊
–add-service=<服務名>設定預設區域允許該服務的流量
–add-port=<埠號/協定>設定預設區域允許該埠的流量
–remove-service=<服務名>設定預設區域不再允許該服務的流量
–remove-port=<埠號/協定>設定預設區域不再允許該埠的流量
–reload讓「永久生效」的設定規則立即生效,並覆蓋當前的設定規則
–panic-on開啟應急狀況模式
–panic-off關閉應急狀況模式

案例:
檢視 firewall 防火牆程式是否正在執行:

[root@linuxprobe ~]# firewall-cmd --state

檢視已開啟的所有埠:

[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports

開啟指定埠:

[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent 
(--permanent 永久生效,沒有此引數重新啟動後失效)
重新載入 firewall,修改設定後,必須重新載入才能生效:
firewall-cmd --reload

關閉指定埠:

[root@linuxprobe ~]# ffirewall-cmd --zone=public --remove-port=8080/tcp --permanent
(--permanent 表示永久生效,沒有此引數重新啟動後失效)
重新載入 firewall,修改設定後,必須重新載入才能生效:
firewall-cmd --reload

firewall-cmd對埠的操作,如開放埠等資訊,都放在"/etc/firewall/zones/public.xml"中記錄,所以直接修改此檔案也是可以的


四、linux防火牆狀態命令

  1. iptables防火牆
目的命令
檢視防火牆狀態service iptables status
停止防火牆service iptables stop
啟動防火牆service iptables start
重新啟動防火牆service iptables restart
永久關閉防火牆chkconfig iptables off
永久關閉後重新啟動chkconfig iptables on

開啟80埠
vim /etc/sysconfig/iptables
加入如下程式碼
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

儲存退出後重新啟動防火牆
service iptables restart


  1. firewall防火牆
目的命令
檢視firewall服務狀態systemctl status firewalld
檢視firewall的狀態firewall-cmd --state
開啟防火牆,啟動 firewall 服務systemctl start firewalld
重新啟動防火牆,重新啟動 firewall 服務systemctl restart firewalld
關閉防火牆,停止 firewall 服務systemctl stop firewalld
開機自動啟動服務systemctl enable firewalld.service
檢視防火牆規則firewall-cmd --list-all
查詢埠是否開放firewall-cmd --query-port=8080/tcp
開放80埠firewall-cmd --permanent --add-port=80/tcp
移除埠firewall-cmd --permanent --remove-port=8080/tcp
重新啟動防火牆(修改設定後要重新啟動防火牆)firewall-cmd --reload

引數解釋
1、firwall-cmd:是Linux提供的操作firewall的一個工具;
2、–permanent:表示設定為持久;
3、–add-port:標識新增的埠;