iptables与firewalld都是防火墙规则生成工具。iptables设置好策略后交由内核层面的netfilter网络过滤来处理,而firewalld设置好策略后交由内核层面的nftables包过滤框架来管理。
1. iptables防火墙
-
表和链
四表:filter表(过滤),nat表(地址转换),mangle表(拆、改、封),raw表。五链:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING
-
执行动作
ACCEPT,DROP,REJECT,DNAT,SNAT,REDIRECT,MASQUERADE,LOG,MARK -
常用选项
A 在链尾添加一条新的规则
I 插入一条新的规则,默认插入到第一条
D 删除指定的规则
R 替换指定的规则
F 清空规则
P 设定制定规则连的默认策略
N 定义一个新的空链
X 删除一个自定义链
Z 将指定规则连中的规则置零
E 重命名一条自定义的链
L 查看规则(-n 以数字形式显示ip地址和端口;-v 显示详细信息;-x 显示精确值;--line-numbers 显示序号) -
匹配项
通用匹配项:
-s,--src 源ip地址
-d.--dst 目标ip地址
-p 指定协议
-i [网卡名] 指定报文流入的接口
-o [网卡名] 指定报文流出的接口
-j 规则对应的动作
隐含扩展
-p tcp --sport 指定源端口
-p tcp --dport 指定目标端口
-p ICMP --icmp-type 0/8 0位响应报文,8为请求报文。
显式扩展
-m [扩展名] [选项]
-m state --state [会话连接状态] -j [动作] 对处于某个会话状态的连接执行相应的动作
四种连接状态:
NEW:新的连接
ESTABLISHED:已经建立的连接
INBALID:非法连接/无效连接
RELATED:相关联的连接。如ftp命令连接状态。
- 规则的保存
service iptables save
- 案例
添加防火墙规则使ftp主、被动模式能够正常被访问
分析:
主动模式 :首先客户端随机端口请求ftp服务端的21号命令端口,ftp服务器的20号端口主动连接客户端的随机数据端口。故此,在ftp服务器上添加防火墙规则为
没有添加规则之前:
[root@ftp-server ~]# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
添加规则:
[root@ftp-server ~]# iptables -t filter -I INPUT 2 -p tcp --dport 21 -j ACCEPT
[root@ftp-server ~]# iptables -t filter -I OUTPUT 2 -p tcp --sport 21 -j ACCEPT
[root@ftp-server ~]# iptables -t filter -I OUTPUT 3 -p tcp --sport 20 -j ACCEPT
[root@ftp-server ~]# iptables -t filter -I INPUT 3 -p tcp --dport 20 -j ACCEPT
在客户端访问测试:
[root@ftp-client ~]# ftp 10.1.1.20
Connected to 10.1.1.20 (10.1.1.20).
220 (vsFTPd 2.2.2)
Name (10.1.1.20:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> passive #关闭了被动模式
Passive mode off.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x 2 0 0 4096 Mar 01 2013 pub
226 Directory send OK.
查看规则:
[root@ftp-server ~]# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
被动模式:客户端开启一个大于1024的随机命令端口去连接ftp服务器的21号命令端口,客户端再开启一个大于1024的随机数据端口去连接服务器上的一个大于1024的随机数据端口。故此,在ftp服务器首先要先规定好一个随机数据端口的范围(3000~3005),然后添加防火墙规则。
命令行连接方式与主动模式相同,故省略。
[root@ftp-server ~]# vim /etc/vsftpd/vsftpd.conf
pasv_min_port=3000
pasv_max_port=3005
重启ftp服务:
[root@ftp-server ~]# service vsftpd restart
添加规则:
[root@ftp-server ~]# iptables -I INPUT 4 -p tcp --dport 3000:3005 -j ACCEPT
[root@ftp-server ~]# iptables -I OUTPUT 4 -p tcp --sport 3000:3005 -j ACCEPT
客户端访问测试:
ftp> passive #开启被动模式
Passive mode on.
ftp> ls
227 Entering Passive Mode (10,1,1,20,11,186).
150 Here comes the directory listing.
drwxr-xr-x 2 0 0 4096 Mar 01 2013 pub
226 Directory send OK.
[root@ftp-server ~]# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:3000:3005
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:3000:3005
规则优化
[root@ftp-server ~]# iptables -A INPUT -p tcp -m multiport --dports 22,20,21,3000:3005 -j ACCEPT
[root@ftp-server ~]# iptables -A OUTPUT -p tcp -m multiport --sports 22,20,21,3000:3005 -j ACCEPT
[root@ftp-server ~]# iptables -L -n --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22,20,21,3000:3005
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy DROP)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 22,20,21,3000:3005
除上述方法外,还可以调用iptables的conntrack模块来解决ftp服务被动模式规则。不过首先要将命令端口添加到防火墙规则。
打开iptables配置文件添加模块
[root@ftp-server ~]# vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="nf_conntrack_ftp"
重启iptables服务
[root@ftp-server ~]# service iptables restart
[root@ftp-server ~]# iptables -I INPUT -p tcp -m multiport --dports 21,22 -j ACCEPT
[root@ftp-server ~]# iptables -I OUTPUT -p tcp -m multiport --sports 21,22 -j ACCEPT
[root@ftp-server ~]# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@ftp-server ~]# iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@ftp-server ~]# service iptables save
客户端访问测试:
[root@ftp-client ~]# ftp 10.1.1.20
Connected to 10.1.1.20 (10.1.1.20).
220 (vsFTPd 2.2.2)
Name (10.1.1.20:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (10,1,1,20,11,187).
150 Here comes the directory listing.
drwxr-xr-x 2 0 0 4096 Mar 01 2013 pub
226 Directory send OK.
ftp> passive
Passive mode off.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x 2 0 0 4096 Mar 01 2013 pub
226 Directory send OK.
查看规则:
[root@ftp-server ~]# iptables -L -n --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,22
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy DROP)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 21,22
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
- NAT表实现源地址转换和目标地址转换
源地址转换:以局域网内某台主机访问外网为例
要访问外网的主机server01:10.1.1.20(仅主机)
作为路由转发的主机(可以访问外网)server02:10.1.1.21(仅主机) 10.2.2.99(NAT)
1:在server02 开启路由转发功能
[root@server02 ipv4]# echo 1 > /proc/sys/net/ipv4/ip_forward
2:在server02 添加防火墙策略
[root@server02 ipv4]# iptables -t nat -I POSTROUTING -s 10.1.1.20 -j SNAT --to 10.2.2.99
3:将server01 的网关指向server02
[root@server01 ~]# route add default gw 10.1.1.21
4:在server01上ping 8.8.8.8测试
[root@server01 ~]# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=127 time=203 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=127 time=205 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=127 time=208 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2376ms
rtt min/avg/max/mdev = 203.127/205.624/208.274/2.104 ms
另外,在开启路由转发的前提下,也可以直接在server02添加地址伪装策略实现server01访问外网。
[root@server02 ipv4]# iptables -t nat -I POSTROUTING -s 10.1.1.20 -j MASQUERADE
目标地址转换:
server01:内网web服务主机 10.1.1.20
server02:作为路由转发的主机 10.1.1.21 11.11.11.11
server03:模拟外网主机 11.11.11.12
1:在server01 搭建web服务
[root@server01 ~]# yum -y install httpd httpd-devel
2:创建首页测试文件并启动web服务,并在本机测试访问。
[root@server01 ~]# echo "server01 for test" > /var/www/html/index.html
[root@server01 ~]# service httpd start
[root@server01 ~]# curl 10.1.1.20
server01 for test
3:在server03访问测试:
[root@server03 ~]# curl 10.1.1.20
curl: (7) Failed to connect to 10.1.1.20: 网络不可达
4:在server02开启目标地址转发,开启路由转发功能:
[root@server02 ~]# iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 10.1.1.20
[root@server02 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
5:在server01指定网关为10.1.1.21:
[root@server01 ~]# route del default gw 10.1.1.21
6:在server03访问测试:
[root@server03 ~]# curl 11.11.11.11
server01 for test
2. Firewall防火墙
- 域(zone)
zone是指规则集,可以预先制定规则集,以后可以随意切换只用。
查看所有的zone:
[root@server03 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
[root@server03 ~]# firewall-cmd --list-all-zones
block
target: %%REJECT%%
icmp-block-inversion: no
interfaces:
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
dmz
target: default
icmp-block-inversion: no
interfaces:
sources:
...
查看当前默认zone:
[root@server03 ~]# firewall-cmd --get-default-zone
public
更改默认zone:
[root@server03 ~]# firewall-cmd --set-default-zone=home
success
[root@server03 ~]# firewall-cmd --get-default-zone
home
- 端口(port)
通过端口来制定防火墙策略
1:查看当前规则集下的策略:
[root@server03 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 ens37
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
2:当前规则集允许tcp80端口通过(删除该端口只需将 --add 改为 --remove 即可)
[root@server03 ~]# firewall-cmd --add-port=80/tcp
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 ens37
sources:
services: ssh dhcpv6-client
ports: 80/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
3:添加多个连续的端口:
[root@server03 ~]# firewall-cmd --add-port=3333-4444/tcp
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 ens37
sources:
services: ssh dhcpv6-client
ports: 80/tcp 3333-4444/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
- 服务(service)
firewall支持通过添加指定的服务来指定防火墙规则,这样例如ftp这样的服务就不用担心端口的问题了。
[root@server03 ~]# firewall-cmd --add-service=http
success
[root@server03 ~]# firewall-cmd --add-service=ftp
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 ens37
sources:
services: ssh dhcpv6-client http ftp
ports: 80/tcp 3333-4444/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
- 富规则(rich-rule)
精细化的制定规则策略
1:不允许10.1.1.22访问本机http服务
[root@server03 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address=10.1.1.22 service name="http" drop'
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 ens37
sources:
services: ssh dhcpv6-client http ftp samba
ports: 80/tcp 3333-4444/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="10.1.1.22" service name="http" drop
2: 允许11.11.11.11访问本机http服务,但每分钟只允许有两次连接。
[root@server03 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address=11.11.11.11 service name="http" limit value=2/m accept'
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 ens37
sources:
services: ssh dhcpv6-client http ftp samba
ports: 80/tcp 3333-4444/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="10.1.1.22" service name="http" drop
rule family="ipv4" source address="11.11.11.11" service name="http" accept limit value="2/m"
- runtime模式和permanent模式
runtime模式为默认模式,规则制定后立即生效,重启firewalld服务则规则失效
permanent模式,规则不会立即生效,重启firewalld服务后才生效。
[root@server03 ~]# firewall-cmd --add-service=nfs
success
[root@server03 ~]# firewall-cmd --permanent --add-service=ntp
success
[root@server03 ~]#
[root@server03 ~]# systemctl restart firewalld
[root@server03 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33 ens37
sources:
services: ssh dhcpv6-client ntp
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
一般在写规则的时候不用指定模式,在写完所有规则后执行下面命令即可保存
[root@server03 ~]# firewall-cmd --runtime-to-permanent
success
- 重载
若使用了permanent模式,需要重载firewalld服务。
[root@server03 ~]# firewall-cmd --reload
success
- 禁行模式(panic)
开启该模式后,所有进出的包都将被丢弃。
1:查看是否开启了panic模式
[root@server03 ~]# firewall-cmd --query-panic
no
2:开启panic模式
[root@server03 ~]# firewall-cmd --panic-on
3:关闭panic模式
[root@server03 ~]# firewall-cmd --panic-off
- 开启图形化配置模式
[root@server03 ~]# firewall-config
- firewall实现源地址转换和目标地址转换
开启源地址转换命令(如前文中iptables情景中)
[root@server03 ~]# firewall-cmd --add-masquerade
success
开启目标地址转换命令(如前文iptables情景中)
[root@server03 ~]# firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=10.1.1.20
success
网友评论