第7章 Iptables與Firewalld防火牆。

 

 

 

Chapter7_聽較強節奏的音樂能夠讓您更長時間的投入在學習中。

《Linux就該這么學》

00:00/00:00

 

 

 

 

 

104:01

204:13

304:12

402:47

502:57

605:39

702:52

803:55

903:59

1003:59

1102:56

1203:44

1303:19

1403:08

 

章節簡述：

紅帽RHEL7系統已經用firewalld服務替代了iptables服務，新的防火牆管理命令firewall-cmd與圖形化工具firewall-config。

本章節基於數十個防火牆需求，使用規則策略完整演示對數據包的過濾、SNAT/SDAT技術、端口轉發以及負載均衡等實驗。

不光光學習iptables命令與firewalld服務，還新增了Tcp_wrappers防火牆服務小節，簡單配置即可保證系統與服務的安全。

 

本章目錄結構 [收起]

• 7.1 了解防火牆管理工具
• 7.2 Iptables命令
  • 7.2.1 規則鏈與策略
  • 7.2.2 基本的命令參數
  • 7.2.3 SNAT與DNAT
• 7.3 Firewalld防火牆
  • 7.3.1 區域概念與作用
  • 7.3.2 字符管理工具
  • 7.3.3 圖形管理工具
• 7.4 服務的訪問控制列表

7.1 了解防火牆管理工具

防火牆雖有軟件或硬件之分但主要功能還是依據策略對外部請求進行過濾，成為公網與內網之間的保護屏障，防火牆會監控每一個數據包並判斷是否有相應的匹配策略規則，直到滿足其中一條策略規則為止，而防火牆規則策略可以是基於來源地址、請求動作或協議來定制的，最終僅讓合法的用戶請求流入到內網中，其余的均被丟棄。

在紅帽RHEL7系統中firewalld服務取代了iptables服務，但依然可以使用iptables命令來管理內核的netfilter。這對於接觸Linux系統比較早或學習過紅帽RHEL6系統的讀者來講，突然接觸firewalld服務會比較抵觸，可能會覺得新增Firewalld服務是一次不小的改變，其實這樣講也是有道理的。但其實Iptables服務與Firewalld服務都不是真正的防火牆，它們都只是用來定義防火牆規則功能的“防火牆管理工具”，將定義好的規則交由內核中的netfilter即網絡過濾器來讀取，從而真正實現防火牆功能，所以其實在配置規則的思路上是完全一致的，而我會在本章中將iptables命令與firewalld服務的使用方法都教授給你們，坦白講日常工作無論用那種都是可行的。

7.2 Iptables命令

iptables命令用於創建數據過濾與NAT規則，主流的Linux系統都會默認啟用iptables命令，但其參數較多且規則策略相對比較復雜。

7.2.1 規則鏈與策略

在iptables命令中設置數據過濾或處理數據包的策略叫做規則，將多個規則合成一個鏈。
舉例來說:小區門衛有兩條的規則，將這兩個規則可以合成一個規則鏈：

遇到外來車輛需要登記。
嚴禁快遞小哥進入社區。

但是光有策略還不能保證社區的安全，我們需要告訴門衛（iptables）這個策略（規則鏈）是作用於哪里的，並賦予安保人員可能的操作有這些，如：“允許”，“登記”，“拒絕”，“不理他”，對應到iptables命令中則常見的控制類型有：

ACCEPT:允許通過.
LOG:記錄日志信息,然后傳給下一條規則繼續匹配.
REJECT:拒絕通過,必要時會給出提示.
DROP:直接丟棄,不給出任何回應.

其中REJECT和DROP的操作都是將數據包拒絕，但REJECT會再回復一條“您的信息我已收到，但被扔掉了”。
通過ping命令測試REJECT情況會是這樣的：

[root@localhost ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
From 192.168.10.10 icmp_seq=1 Destination Port Unreachable
From 192.168.10.10 icmp_seq=2 Destination Port Unreachable
From 192.168.10.10 icmp_seq=3 Destination Port Unreachable
From 192.168.10.10 icmp_seq=4 Destination Port Unreachable

--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3002ms

但如果是DROP則不予響應：

[root@localhost ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.

--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3000ms

而規則鏈則依據處理數據包的位置不同而進行分類：

PREROUTING:在進行路由選擇前處理數據包
INPUT:處理入站的數據包
OUTPUT:處理出站的數據包
FORWARD:處理轉發的數據包
POSTROUTING:在進行路由選擇后處理數據包

Iptables中的 規則表是用於容納 規則鏈， 規則表默認是允許狀態的，那么 規則鏈就是設置被禁止的規則，而反之如果 規則表是禁止狀態的，那么 規則鏈就是設置被允許的規則。

raw表:確定是否對該數據包進行狀態跟蹤

mangle表:為數據包設置標記

nat表:修改數據包中的源、目標IP地址或端口

filter表:確定是否放行該數據包（過濾）

規則表的先后順序:raw→mangle→nat→filter

規則鏈的先后順序:

入站順序:PREROUTING→INPUT

出站順序:OUTPUT→POSTROUTING

轉發順序:PREROUTING→FORWARD→POSTROUTING

還有三點注意事項：

1.沒有指定規則表則默認指filter表。

2.不指定規則鏈則指表內所有的規則鏈。

3.在規則鏈中匹配規則時會依次檢查，匹配即停止（LOG規則例外），若沒匹配項則按鏈的默認狀態處理。

 

7.2.2 基本的命令參數

iptables命令用於管理防火牆的規則策略，格式為：“iptables [-t 表名] 選項 [鏈名] [條件] [-j 控制類型]”。

表格為讀者總結了幾乎所有常用的iptables參數，如果記不住也沒關系，用時來查就行，看完后來學習下如何組合並使用吧：

參數	作用
-P	設置默認策略:iptables -P INPUT (DROP|ACCEPT)
-F	清空規則鏈
-L	查看規則鏈
-A	在規則鏈的末尾加入新規則
-I num	在規則鏈的頭部加入新規則
-D num	刪除某一條規則
-s	匹配來源地址IP/MASK，加嘆號"!"表示除這個IP外。
-d	匹配目標地址
-i 網卡名稱	匹配從這塊網卡流入的數據
-o 網卡名稱	匹配從這塊網卡流出的數據
-p	匹配協議,如tcp,udp,icmp
--dport num	匹配目標端口號
--sport num	匹配來源端口號

 

查看已有的規則：

[root@linuxprobe ~]# iptables -L

清空已有的規則：

[root@linuxprobe ~]# iptables -F

將INPUT鏈的默認策略設置為拒絕：

當INPUT鏈默認規則設置為拒絕時，我們需要寫入允許的規則策略。

這個動作的目地是當接收到數據包時，按順序匹配所有的允許規則策略，當全部規則都不匹配時，拒絕這個數據包。

[root@linuxprobe ~]# iptables -P INPUT DROP

允許所有的ping操作：

[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT

在INPUT鏈的末尾加入一條規則，允許所有未被其他規則匹配上的數據包：

因為默認規則表就是filter，所以其中的"-t filter"一般省略不寫，效果是一樣的。

[root@linuxprobe ~]# iptables -t filter -A INPUT -j ACCEPT

刪除上面的那條規則：

[root@linuxprobe ~]# iptables -D INPUT 2

既然讀者已經掌握了iptables命令的基本參數，那么來嘗試解決模擬訓練吧：

模擬訓練A:僅允許來自於192.168.10.0/24域的用戶連接本機的ssh服務。

Iptables防火牆會按照順序匹配規則，請一定要保證“允許”規則是在“拒絕”規則的上面。

[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT

模擬訓練B:不允許任何用戶訪問本機的12345端口。

[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT

模擬實驗C(答案模式):拒絕其他用戶從"eno16777736"網卡訪問本機http服務的數據包。

答案：[rootlinuxprobe ~]# iptables -I INPUT -i eno16777736 -p tcp --dport 80 -j REJECT

模擬訓練D:禁止用戶訪問www.my133t.org。

[root@linuxprobe ~]# iptables -I FORWARD -d www.my133t.org -j DROP

模擬訓練E:禁止IP地址是192.168.10.10的用戶上網

[root@linuxprobe ~]# iptables -I FORWARD -s 192.168.10.10 -j DROP

iptables命令執行后的規則策略僅當前生效，若想重啟后依然保存規則需執行"service iptables save"。

 

7.2.3 SNAT與DNAT

SNAT即源地址轉換技術，能夠讓多個內網用戶通過一個外網地址上網，解決了IP資源匱乏的問題，確實很實用。

例如讀者們來訪問《Linux就該這么學》的網頁，則就是通過家中的網關設備（您的無線路由器）進行的SNAT轉換。

（多用戶局域網共享上網的拓撲）

（因未使用SNAT技術，所以在網站服務器應答后找不到192.168.10.10這台主機，無法正常瀏覽網頁）

(因使用了SNAT地址轉換技術，服務器應答后先由網關服務器接收，再分發給內網的用戶主機。)

現在需要將" 192.168.10.0"網段的內網IP用戶經過地址轉換技術變成外網IP地址" 111.196.211.212"，這樣一來內網IP用戶就都可以通過這個外網IP上網了，使用iptables防火牆即可實現SNAT源地址轉換，根據需求命令如下：

不知讀者有無這種經歷，當使用聯通或者電信上網的時候，每次撥號都會重新分配新的IP地址，那么若網關IP經常變動怎么辦？

這種外網IP地址不穩定的情況即可使用MASQUERADE( 動態偽裝):能夠自動的尋找外網地址並改為當前正確的外網IP地址

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

DNAT即目地地址轉換技術，則能夠讓外網IP用戶訪問局域網內不同的服務器。

（互聯網中的客戶機訪問網站時的拓撲）

（DNAT的數據包轉換過程）

現在希望互聯網中的客戶機訪問到內網" 192.168.10.6"這台提供網站服務的主機，那么只需在網關系統上運行這條命令：

出現問題?大膽提問!

因讀者們硬件不同或操作錯誤都可能導致實驗配置出錯，請耐心再仔細看看操作步驟吧，不要氣餒~

您可以將報錯的屏幕截圖與自己的操作過程帖到“會員互助問答區”，一般問題都會在24小時內被解決。

7.3 Firewalld防火牆

Firewalld服務是紅帽RHEL7系統中默認的防火牆管理工具，特點是擁有運行時配置與永久配置選項且能夠支持動態更新以及"zone"的區域功能概念，使用圖形化工具firewall-config或文本管理工具firewall-cmd，下面實驗中會講到~

7.3.1 區域概念與作用

防火牆的網絡區域定義了網絡連接的可信等級，我們可以根據不同場景來調用不同的firewalld區域，區域規則有：

區域	默認規則策略
trusted	允許所有的數據包。
home	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh,mdns,ipp-client,samba-client與dhcpv6-client服務則允許。
internal	等同於home區域
work	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh,ipp-client與dhcpv6-client服務則允許。
public	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh,dhcpv6-client服務則允許。
external	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh服務則允許。
dmz	拒絕流入的數據包，除非與輸出流量數據包相關或是ssh服務則允許。
block	拒絕流入的數據包，除非與輸出流量數據包相關。
drop	拒絕流入的數據包，除非與輸出流量數據包相關。

 

簡單來講就是為用戶預先准備了幾套規則集合，我們可以根據場景的不同選擇合適的規矩集合，而默認區域是 public。

7.3.2 字符管理工具

如果想要更高效的配置妥當防火牆，那么就一定要學習字符管理工具firewall-cmd命令,命令參數有：

參數	作用
--get-default-zone	查詢默認的區域名稱。
--set-default-zone=<區域名稱>	設置默認的區域，永久生效。
--get-zones	顯示可用的區域。
--get-services	顯示預先定義的服務。
--get-active-zones	顯示當前正在使用的區域與網卡名稱。
--add-source=	將來源於此IP或子網的流量導向指定的區域。
--remove-source=	不再將此IP或子網的流量導向某個指定區域。
--add-interface=<網卡名稱>	將來自於該網卡的所有流量都導向某個指定區域。
--change-interface=<網卡名稱>	將某個網卡與區域做關聯。
--list-all	顯示當前區域的網卡配置參數，資源，端口以及服務等信息。
--list-all-zones	顯示所有區域的網卡配置參數，資源，端口以及服務等信息。
--add-service=<服務名>	設置默認區域允許該服務的流量。
--add-port=<端口號/協議>	允許默認區域允許該端口的流量。
--remove-service=<服務名>	設置默認區域不再允許該服務的流量。
--remove-port=<端口號/協議>	允許默認區域不再允許該端口的流量。
--reload	讓“永久生效”的配置規則立即生效，覆蓋當前的。

 

特別需要注意的是firewalld服務有兩份規則策略配置記錄，必需要能夠區分：

RunTime:當前正在生效的。

Permanent:永久生效的。

當下面實驗修改的是永久生效的策略記錄時，必須執行"--reload"參數后才能立即生效，否則要重啟后再生效。

查看當前的區域：

[root@linuxprobe ~]# firewall-cmd --get-default-zone
public

查詢eno16777728網卡的區域：

[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public

在public中分別查詢ssh與http服務是否被允許：

[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=http
no

設置默認規則為dmz：

[root@linuxprobe ~]# firewall-cmd --set-default-zone=dmz

讓“永久生效”的配置文件立即生效：

[root@linuxprobe ~]# firewall-cmd --reload
success

啟動/關閉應急狀況模式，阻斷所有網絡連接：

應急狀況模式啟動后會禁止所有的網絡連接，一切服務的請求也都會被拒絕，當心，請慎用。

[root@linuxprobe ~]# firewall-cmd --panic-on
success
[root@linuxprobe ~]# firewall-cmd --panic-off
success

如果您已經能夠完全理解上面練習中firewall-cmd命令的參數作用，不妨來嘗試完成下面的模擬訓練吧：
模擬訓練A:允許https服務流量通過public區域，要求立即生效且永久有效：
方法一:分別設置當前生效與永久有效的規則記錄：

[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https

方法二:設置永久生效的規則記錄后讀取記錄：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
[root@linuxprobe ~]# firewall-cmd --reload

模擬訓練B:不再允許http服務流量通過public區域，要求立即生效且永久生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http
 success

使用參數"--reload"讓永久生效的配置文件立即生效：

[root@linuxprobe ~]# firewall-cmd --reload
success

模擬訓練C:允許8080與8081端口流量通過public區域，立即生效且永久生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp
[root@linuxprobe ~]# firewall-cmd --reload

模擬訓練D:查看模擬實驗C中要求加入的端口操作是否成功：

[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports
8080-8081/tcp
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --list-ports
8080-8081/tcp

模擬實驗E:將eno16777728網卡的區域修改為external，重啟后生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=eno16777728
success
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public

 

①:選擇"立即生效"或"重啟后依然生效"配置。
②:區域列表。
③:服務列表。
④:當前選中的區域。
⑤:被選中區域的服務。
⑥:被選中區域的端口。
⑦:被選中區域的偽裝。
⑧:被選中區域的端口轉發。
⑨:被選中區域的ICMP包。
⑩:被選中區域的富規則。
⑪:被選中區域的網卡設備。
⑫:被選中區域的服務，前面有√的表示允許。
⑬:firewalld防火牆的狀態

請注意:firewall-config圖形化管理工具中沒有保存/完成按鈕，只要修改就會生效。

允許其他主機訪問http服務，僅當前生效：

允許其他主機訪問8080-8088端口且重啟后依然生效：

開啟偽裝功能，重啟后依然生效：

firewalld防火牆的偽裝功能實際就是SNAT技術，即讓內網用戶不必在公網中暴露自己的真實IP地址。

將向本機888端口的請求轉發至本機的22端口且重啟后依然生效：

過濾所有"echo-reply"的ICMP協議報文數據包，僅當前生效：

ICMP即互聯網控制報文協議" Internet Control  Message  Protocol"，歸屬於TCP/IP協議族，主要用於檢測網絡間是否可通信、主機是否可達、路由是否可用等網絡狀態，並不用於傳輸用戶數據。

僅允許192.168.10.20主機訪問本機的1234端口，僅當前生效：

富規則代表着更細致、更詳細的規則策略，針對某個服務、主機地址、端口號等選項的規則策略， 優先級最高。

查看網卡設備信息：

 

firewall-config圖形管理工具真的非常實用，很多原本復雜的長命令被用圖形化按鈕替代，設置規則也變得簡單了，日常工作中真的非常實用。所以有必要跟們讀者講清配置防火牆的原則——只要能實現需求的功能，無論用文本管理工具還是圖形管理工具都是可以的。

7.4 服務的訪問控制列表

Tcp_wrappers(即Transmission Control Protocol(TCP)Wrappers)是一款基於IP層的ACL訪問控制列表流量監控程序，它能夠根據來訪主機地址與本機目標服務程序做允許或拒絕規則，控制列表修改后會立即生效，系統將會先檢查允許規則，如果匹配允許則直接放行流量，若拒絕規則中匹配則直接拒絕，都不匹配默認也會放行。

允許名單:/etc/hosts.allow

拒絕名單:/etc/hosts.deny

指定客戶端的規則如下：

客戶端類型	示例	滿足示例的客戶端列表
單一主機	192.168.10.10	IP地址為192.168.10.10的主機。
指定網段	192.168.10.	IP段為192.168.10.0/24的主機。
指定網段	192.168.10.0/255.255.255.0	IP段為192.168.10.0/24的主機。
指定DNS后綴	.linuxprobe.com	所有DNS后綴為.linuxprobe.com的主機
指定主機名稱	boss.linuxprobe.com	主機名稱為boss.linuxprobe.com的主機。
指定所有客戶端	ALL	所有主機全部包括在內。

 

限制只有192.168.10.0/24網段的主機可以訪問本機的httpd服務：

編輯允許規則：

[root@linuxprobe ~]# vim /etc/hosts.allow
httpd:192.168.10.

拒絕其他所有的主機：

[root@linuxprobe ~]# vim /etc/hosts.deny
httpd:*

出現問題?大膽提問!

因讀者們硬件不同或操作錯誤都可能導致實驗配置出錯，請耐心再仔細看看操作步驟吧，不要氣餒~

您可以將報錯的屏幕截圖與自己的操作過程帖到“會員互助問答區”，一般問題都會在24小時內被解決。

 

本章節的復習作業(答案就在問題的下一行哦，用鼠標選中即可看到的~)

1:iptables服務已經被firewalld取代，iptables命令也不能使用了？

答案:錯，要區分iptables服務與iptables命令。

2:將iptables的INPUT規則鏈默認規則設置為REJECT。

答案:iptables -P INPUT REJECT。

3:SNAT與DNAT那個技術能夠實現讓多個內網用戶使用單一IP地址進入公網？

答案:SNAT技術。

4:firewalld防火牆管理工具區域的作用？

答案:我們需要根據不同的場景來調用不同的firewalld區域。

5:使用firewall-cmd查詢網卡eno16777728屬於那個區域的命令是？

答案:firewal