一、iptables
1. iptables概述
Linux系統的防火牆:IP信息包過濾系統,它實際上由兩個組件netfilter和iptables組成。
主要工作在網絡層,針對IP數據包。體現在對包內的IP地址、端口等信息的處理上。
2. netfilter和iptables
(1)netfilter
netfilter屬於“內核態”(Kernel Space,又稱為內核空間)的防火牆功能體系;
是內核的一部分,由一些數據包過濾表組成,這些表包含內核用來控制數據包過濾處理的規則集。
(2)iptables
iptables屬於“用戶態”(User Space,又稱為用戶空間)的防火牆管理體系;
是一種用來管理Linux防火牆的命令程序,它使插入、修改和刪除數據包過濾表中的規則變得容易,通常位於/sbin/iptables目錄下。
(3)netfile/iptables
netfilter/iptables下文中統一簡稱為iptables。
iptables是基於內核的防火牆,其中內置了raw、mangle、nat和 filter四個規則表。
表中所有規則配置后,立即生效,不需要重啟服務。
3. 四表五鏈
(1)四表
規則表的作用:容納各種規則鏈,即表中有鏈。
| 規則表 | 說明 |
|---|---|
| raw表 | 確定是否對該數據包進行狀態跟蹤。包含兩個規則鏈,OUTPUT、PREROUTING |
| mangle表 | 修改數據包內容,用來做流量整形的,給數據包設置標記。包含五個規則鏈,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING |
| nat表 | 負責網絡地址轉換,用來修改數據包中的源、目標IP地址或端口。包含三個規則鏈,OUTPUT、PREROUTING、POSTROUTING。 |
| filter表 | 負責過濾數據包,確定是否放行該數據包(過濾)。包含三個規則鏈,INPUT、FORWARD、OUTPUT |
注:在iptables的四個規則表中,mangle表和raw表的應用相對較少
(2)五鏈
規則鏈的作用:容納各種防火牆規則,即鏈中有規則。
| 規則鏈 | 說明 |
|---|---|
| INPUT | 處理入站數據包,匹配目標IP為本機的數據包 |
| OUTPUT | 處理出站數據包,一般不在此鏈上做配置 |
| FORWARD | 處理轉發數據包,匹配流經本機的數據包 |
| PREROUTING | 在進行路由選擇前處理數據包,用來修改目的地址,用來做DNAT。相當於把內網中的80端口映射到路由器外網端口上 |
| POSTROUTING鏈 | 在進行路由選擇后處理數據包,用來修改源地址,用來做SNAT。相當於內網通過路由器NAT轉換功能實現內網主機通過一個公網IP地址上網 |
(3)規則表的匹配順序
raw>>mangle>>nat>>filter
(4)規則鏈之間的匹配順序
- 主機型防火牆
1)入站數據(來自外界的數據包,且目標地址是防火牆本機)
PREROUTING --> INPUT --> 本機的應用程序
2)出站數據(從防火牆本機向外部地址發送的數據包)
本機的應用程序 --> OUTPUT --> POSTROUTING - 網絡型防火牆
轉發數據(需要經過防火牆轉發的數據包)
PREROUTING --> FORWARD --> POSTROUTING - 規則鏈內的匹配順序
1)自上向下按順序依次進行檢查,找到相匹配的規則即停止(LOG策略例外,表示記錄相關日志)
2)若在該鏈內找不到相匹配的規則,則按該鏈的默認策略處理(未修改的狀況下,默認策略為允許)
4. iptables的安裝
CentOS 7默認使用firewalld防火牆,沒有安裝iptables,若想使用iptables防火牆。必須先關閉firewalld防火牆,再安裝iptables
#關閉防火牆 [root@localhost ~]# systemctl stop firewalld.service [root@localhost ~]# systemctl disable firewalld.service #安裝並開啟iptables服務 [root@localhost ~]# yum -y install iptables iptables-services [root@localhost ~]# systemctl start iptables.service 5. iptables防火牆的配置
(1)命令行配置格式
(2)注意事項
- 不指定表名時,默認指filter表
- 不指定鏈名時,默認指表內的所有鏈
- 除非設置鏈的默認策略,否則必須指定匹配條件
- 選項、鏈名、控制類型使用大寫字母,其余均為小寫
(3)常用的控制類型
| 控制類型 | 作用 |
|---|---|
| ACCEPT | 允許數據包通過。DROP直接丟棄數據包,不給出任何回應信息 |
| REJECT | 拒絕數據包通過,會給數據發送端一個響應信息 |
| SNAT | 修改數據包的源地址 |
| DNAT | 修改數據包的目的地址 |
| MASQUERADE | 偽裝成一個非固定公網IP地址 |
| LOG | 在/var/log/messages文件中記錄日志信息,然后將數據包傳遞給下一條規則。LOG只是一種輔助動作,並沒有真正處理數據包 |
(4)常用的管理選項
| 選項 | 說明 |
|---|---|
| -A | 在指定鏈的末尾追加(–append)一條新的規則 |
| -I | 在指定鏈的開頭插入(–insert)一條新的規則,未指定序號時默認作為第一條規則 |
| -R | 修改、替換(–replace)指定鏈中的某一條規則,可指定規則序號或具體內容 |
| -P | 設置指定鏈的默認策略(–policy) |
| -D | 刪除(–delete)指定鏈中的某一條規則,可指定規則序號或具體內容 |
| -F | 清空(–flush)指定鏈中的所有規則,若未指定鏈名,則清空表中的所有鏈 |
| -L | 列出(–list)指定鏈中所有的規則,若未指定鏈名,則列出表中的所有鏈 |
| -n | 使用數字形式(–numeric)顯示輸出結果,如顯示IP地址而不是主機名 |
| -v | 顯示詳細信息,包括每條規則的匹配包數量和匹配字節數 |
| –line-numbers | 查看規則時,顯示規則的序號 |
(5)匹配條件
| 匹配條件 | 說明 |
|---|---|
| -p | 指定要匹配的數據包的協議類型 |
| -s | 指定要匹配的數據包的源IP地址 |
| -d | 指定要匹配的數據包的目的IP地址 |
| -i | 指定數據包進入本機的網絡接口 |
| -o | 指定數據包離開本機做使用的網絡接口 |
| –sport | 指定源端口號 |
| –dport | 指定目的端口號 |
6. 匹配類型
①通用匹配
直接使用,不依賴於其他條件或擴展,包括網絡協議、IP地址、網絡接口等條件
協議匹配:-p 協議名 地址匹配:-s 源地址、-d 目的地址 #可以是IP、網段、域名、空(任何地址) 接口匹配:-i 入站網卡、-o 出站網卡 例: iptables -A FORWARD ! -p icmp -j ACCEPT iptables -A INPUT -s 192.168.80.11 -j DROP iptables -I INPUT -i ens33 -s 192.168.80.0/24 -j DROP ②隱含匹配
以特定的協議匹配作為前提,包括端口、TCP標記、ICMP類型等條件
- 端口匹配
--sport 源端口 --dport 目的端口 #可以是個別端口、端口范圍 --sport 1000 匹配源端口是1000的數據包 --sport 1000:3000 匹配源端口是1000-3000的數據包 --sport :3000 匹配源端口是3000及以下的數據包 --sport 1000: 匹配源端口是1000及以上的數據包 注意:--sport 和 --dport 必須配合 -p <協議類型> 使用 例: iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT iptables -I FORWARD -d 192.168.80.0/24 -p tcp --dport 24500:24600 -j DROP - TCP標記匹配
--tcp-flags TCP標記 iptables -I INPUT -i ens33 -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT #丟棄SYN請求包,放行其他包 - ICMP類型匹配
--icmp-type ICMP類型 #可以是字符串、數字代碼、、目標不可達 “Echo-Request”(代碼為 8)表示 請求 “Echo-Reply”(代碼為 0)表示 回顯 “Destination-Unreachable”(代碼為 3)表示 目標不可達 關於其它可用的 ICMP 協議類型,可以執行“iptables -p icmp -h”命令,查看幫助信息 例: iptables -A INPUT -p icmp --icmp-type 8 -j DROP #禁止其它主機ping 本機 iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT #允許本機ping其它主機 iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT #當本機ping不通其它主機時提示目標不可達 iptables -A INPUT -p icmp -j REJECT #此時其它主機需要配置關於icmp協議的控制類型為 REJECT ③顯示匹配
要求以“-m 擴展模塊”的形式明確指出類型,包括多端口、MAC地址、IP范圍、數據包狀態等條件
- 多端口匹配
-m multiport --sports 源端口列表 -m multiport --dports 目的端口列表 例: iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT - IP范圍匹配
-m iprange --src-range IP范圍 iptables -A FORWARD -p udp -m iprange --src-range 192.168.80.100-192.168.80.200 -j DROP - 狀態匹配
-m state --state 連接狀態 常見的連接狀態: NEW :與任何連接無關的,還沒開始連接 ESTABLISHED :響應請求或者已建立連接的,連接態 RELATED :與已有連接有相關性的(如FTP 主被動模式的數據連接),衍生態,一般與ESTABLISHED 配合使用 INVALID :不能被識別屬於哪個連接或沒有任何狀態 iptables -A FORWARD -m state --state NEW -p tcp ! --syn -j DROP #禁止轉發與正常 TCP 連接無關的非--syn 請求數據包(如偽造的網絡攻擊數據包) 7. SNAT原理與應用
(1)應用環境
局域網主機共享單個公網IP地址接入Internet(私有IP不能在Internet中正常路由)。
一個IP地址做SNAT轉換,一般可以讓內網 100到200 台主機實現上網。
(2)原理
修改數據包的源地址
(3)SNAT轉換前提條件
局域網各主機已正確設置IP地址、子網掩碼、默認網關地址
Linux網關開啟IP路由轉發
(4)路由轉發開啟方式
1.臨時打開: echo 1 > /proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.ip_forward=1 2.永久打開: vim /etc/sysctl.conf net.ipv4.ip_forward = 1 #將此行寫入配置文件 3.sysctl -p #讀取修改后的配置 (5)SNAT轉換具體格式
- 固定的公網IP地址:
iptables -t nat -A POSTROUTING -s 192.168.80.0/24(內網IP) -o(出站) ens33(外網網卡) -j SNAT --to 12.0.0.1(外網IP或地址池) 或 iptables -t nat -A POSTROUTING -s 192.168.80.0/24(內網IP) -o(出站) ens33(外網網卡) -j SNAT --to-source 12.0.0.1-12.0.0.10(外網IP或地址池) - 非固定的公網IP地址(共享動態IP地址):
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE 8. DNAT原理與應用
(1)應用環境
在Internet中發布位於局域網內的服務器。
主機型防火牆:主要使用INPUT、OUTPUT鏈,設置規則時一般要詳細的指定到端口。
網絡型防火牆:主要使用FORWARD鏈,設置規則時很少去指定到端口,一般指定到IP地址或者到網段即可。
(2)原理
修改數據包的目的地址
(3)DNAT轉換前提條件
局域網的服務器能夠訪問Internet
網關的外網地址有正確的DNS解析記錄
Linux網關開啟IP路由轉發
(4)DNAT轉換
使用DNAT時,同時配合SNAT使用,才能實現響應數據包的正確返回
- 發布內網的Web服務
#把從ens33進來的要訪問web服務的數據包目的地址轉換為 192.168.80.11 iptables -t nat -A PREROUTING -i(入站) ens33(外網網卡) -d 12.0.0.1(外網IP) -p tcp --dport 80 -j DNAT --to 192.168.80.11(內網服務器Ip) 或 iptables -t nat -A PREROUTING -i(入站) ens33(外網網卡) -d 12.0.0.1(外網IP) -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11(內網服務器IP) iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20(地址池) - 發布時修改目標端口
#發布局域網內部的OpenSSH服務器,外網主機需使用250端口進行連接 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22 ssh -p 250 root@12.0.0.1 #在外網環境中使用SSH測試 yum -y install net-tools #若沒有 ifconfig 命令可提前使用 yum 進行安裝 ifconfig ens33 9. 防火牆規則的備份和還原
(1)導出(備份)所有表的規則
iptables-save > /opt/ipt.txt (2)導入(還原)規則
iptables-restore < /opt/ipt.txt 將iptables規則文件保存在 /etc/sysconfig/iptables 中,iptables服務啟動時會自動還原規則 iptables-save > /etc/sysconfig/iptables systemctl stop iptables #停止iptables服務會清空掉所有表的規則 systemctl start iptables #啟動iptables服務會自動還原/etc/sysconfig/iptables 中的規則 10. linux系統抓包
(1)格式
例:tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(2)選項
| 選項 | 說明 |
|---|---|
| tcp | ip icmp arp rarp和tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據包的類型 |
| -i ens33 | 只抓經過接口ens33的包 |
| -t | 不顯示時間戳 |
| -s 0 | 抓取數據包時默認抓取長度為68字節。加上-s 0后可以抓取完整的數據包 |
| -c 100 | 只抓取100個數據包 |
| dst port !22 | 不抓取目標端口是22的數據包 |
| src net 192.168.1.0/24 | 數據包的源網絡地址為192.168.1.0/24 |
| -w ./target.cap | 保存成cap文件,方便用ethereal(wireshark)分析 |
二、firewalld
1. firewalld防火牆簡介
firewalld防火牆是Centos7系統默認的防火牆管理工具,取代了之前的iptables防火牆,也是工作在網絡層,屬於包過濾防火牆
firewalld和iptables都是用來管理防火牆的工具(屬於用戶態)來定義防火牆的各種規則功能,內部結構都指向netfilter網絡過濾子系統(屬於內核態)來實現包過濾防火牆功能
firewalld提供了支持網絡區域所定義的網絡連接以及接口安全等級的動態防火牆管理工具
它支持IPv4、IPv6防火牆設置以及以太網橋(在某些高級服務可能會用到,比如雲計算),並且擁有兩種配置模式:運行時配置與永久配置
2. firewalld與iptables的區別
| 區別項 | firewalld | iptables |
|---|---|---|
| 配置文件 | /usr/lib/firewalld /etc/firewalld |
/etc/sysconfig/iptables |
| 對規則的修改 | 不需要全部刷新策略,不丟失現行連接 | 需要全部刷新策略,丟失連接 |
| 防火牆類型 | 動態防火牆 | 靜態防火牆 |
- iptables主要是基於接口,來設置規則,從而判斷網絡的安全性;firewalld是基於區域,根據不同的區域來設置不同的規則,從而保證網絡的安全。與硬件防火牆的設置相類似
- iptables在/etc/ sysconfig/iptables中儲存配置;firewalld將配置儲存在/etc/firewalld/(優先加載)和/usr/lib/ firewalld/ (默認的配置文件)中的各種XML文件里
- 使用iptables每一個單獨更改意味着清除所有舊有的規則和從/etc/sysconfig/iptables里讀取所有新的規則;使用firewalld卻不會再創建任何新的規則,僅僅運行規則中的不同之處。因此firewalld可以在運行時間內,改變設置而不丟失現行連接
- iptables防火牆類型為靜態防火牆;firewalld防火牆類型為動態防火牆
3. firewalld區域的概念
firewalld防火牆為了簡化管理,將所有網絡流量分為多個區(zone),然后根據數據包的源IP地址或傳入的網絡接口等條件將流量傳入相應區域。每個區域都定義了自己打開或者關閉的端口和服務列表
(1)firewalld防火牆9個區域
| 區域 | 說明 |
|---|---|
| trusted(信任區域) | 允許所有的傳入流量 |
| public(公共區域) | 允許與ssh或dhcpv6-client預定義服務匹配的傳入流量,其余均拒絕。是新添加網絡接口的默認區域 |
| external(外部區域) | 允許與 ssh 預定義服務匹配的傳入流量,其余均拒絕。 默認將通過此區域轉發的IPv4傳出流量將進行地址偽裝,可用於為 路由器啟用了偽裝功能的外部網絡 |
| home(家庭區域) | 允許與ssh、ipp-client、mdns、samba-client或dhcpv6-client預定義服務匹配的傳入流量,其余均拒絕 |
| internal(內部區域) | 默認值時與home區域相同 |
| work(工作區域) | 允許與 ssh、ipp-client、dhcpv6-client 預定義服務匹配的傳入流量,其余均拒絕 |
| dmz(隔離區域也稱為非軍事區域) | 允許與 ssh 預定義服務匹配的傳入流量,其余均拒絕 |
| block(限制區域) | 拒絕所有傳入流量 |
| drop(丟棄區域) | 丟棄所有傳入流量,並且不產生包含ICMP的錯誤響應 |
(2)區域介紹
- 最終一個區域的安全程度是取決於管理員在此區域中設置的規則
- 區域如同進入主機的安全門,每個區域都具有不同限制程度的規則,只會允許符合規則的流量傳入
- 可以根據網絡規模,使用一個或多個區域,但是任何一個 活躍區域 至少需要關聯 源地址或接口
- 默認情況下,public區域是默認區域,包含所有接口(網卡)
4. firewalld數據處理流程
firewalld對於進入系統的數據包,會根據數據包的源IP地址或傳入的網絡接口等條件,將數據流量轉入相應區域的防火牆規則。對於進入系統的數據包,首先檢查的就是其源地址
5. firewalld檢查數據包的源地址規則
- 若源地址關聯到特定的區域(即源地址或接口綁定的區域有沖突),則執行該區域所制定的規則
- 若源地址未關聯到特定的區域(即源地址或接口綁定的區域沒有沖突),則使用傳入網絡接口的區域並執行該區域所制定的規則
- 若網絡接口也未關聯到特定的區域(即源地址或接口都沒有綁定特定的某個區域),則使用默認區域並執行該區域所制定的規則
6. firewalld防火牆的配置方法
(1)使用firewall-cmd命令行工具
| 常用的firewall-cmd命令選項 | 說明 |
|---|---|
| --get-default-zone | 顯示當前默認區域 |
| --set-default-zone= | 設置默認區域 |
| --get-active-zones | 顯示當前正在使用的區域及其對應的網卡接口 |
| --get-zones | 顯示所有可用的區域 |
| --get-zone-of-interface= | 顯示指定接口綁定的區域 |
| --zone= --add-interface= | 為指定接口綁定區域 |
| --zone= --change-interface= | 為指定的區域更改綁定的網絡接口 |
| --zone= --remove-interface= | 為指定的區域刪除綁定的網絡接口 |
| --get-zone-of-source= |
顯示指定源地址綁定的區域 |
| --zone= --add-source= |
為指定源地址綁定區域 |
| --zone= --change-source= |
為指定的區域更改綁定的源地址 |
| --zone= --remove-source= |
為指定的區域刪除綁定的源地址 |
| --list-all-zones | 顯示所有區域及其規則 |
| [--zone=] --list-all | 顯示所有指定區域的所有規則,省略--zone=時表示僅對默認區域操作 |
| [--zone=] --list-services | 顯示指定區域內允許訪問的所有服務 |
| [--zone=] --add-service= | 為指定區域設置允許訪問的某項服務 |
| [--zone=] --remove-service= | 刪除指定區域已設置的允許訪問的某項服務 |
| [--zone=] --list-ports | 顯示指定區域內允許訪問的所有端口號 |
| [--zone=] --add-port=[-]/ | 為指定區域設置允許訪問的某個/某段端口號(包括協議名) |
| [--zone=] --remove-port=[-]/ | 刪除指定區域已設置的允許訪問的端口號(包括協議名) |
| [--zone=] --list-icmp-blocks | 顯示指定區域內拒絕訪問的所有 ICMP 類型 |
| [--zone=] --add-icmp-block= | 為指定區域設置拒絕訪問的某項 ICMP 類型 |
| [--zone=] --remove-icmp-block= | 刪除指定區域已設置的拒絕訪問的某項ICMP類型 |
| firewall-cmd --get-icmptypes | 顯示所有 ICMP 類型 |
(2)使用firewall-config圖形工具
(3)編寫/etc/firewalld/中的配置文件
7. 區域管理
- 顯示當前系統中的默認區域
firewall-cmd --get-default-zone - 顯示默認區域的所有規則
firewall-cmd --list-all - 顯示當前正在使用的區域及其對應的網卡接口
firewall-cmd --get-active-zones - 設置默認區域
firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone
8. 服務管理
- 查看默認區域內允許訪問的所有服務
firewall-cmd --list-service - 添加httpd 服務到public 區域
firewall-cmd --add-service=http --zone=public - 查看public 區域已配置規則
firewall-cmd --list-all --zone=public - 刪除public 區域的httpd 服務
firewall-cmd --remove-service=http --zone=public - 同時添加httpd、https 服務到默認區域,設置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --reload
firewall-cmd --list-all
注: - 添加使用 --permanent選項表示設置成永久生效,需要重新啟動firewalld服務或執行firewall-cmd --reload命令,重新加載防火牆規則時才會生效。若不帶有此選項,表示用於設置運行時規則,但是這些規則在系統或firewalld服務重啟、停止時配置將失效。
- --runtime-to-permanent:將當前的運行時配置寫入規則配置文件中,使之成為永久性配置
9. 端口管理
- 允許TCP的443端口到internal區域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal - 從internal 區域將TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp - 允許UDP的2048~2050端口到默認區域
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all