Linux就该这么学 20181005(第八章防火墙)

vim /etc/sysconfig/network-scripts/ifcfg-ens32 网络配置0
nmtui 网络配置1
nm-connection-editor网络配置2
iptables,firewall-cmd,firewall-config

考试时用REJECT

cat /etc/services |grep ssh

Firewalld

firewall-cmd    命令
firewall-config    图形化

--permanent
firewall-cmd --reload 立即使用这个策略

firewall-cmd --zone=public --query-service=ssh 查询当前服务

端口转发 888端口转到22
firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.161.45
firewall-cmd --reload

富规则策略 优先级比一般规则高
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.161.0/24" service 

name="ssh" reject"

图形界面
firewall-config


iptables与firewall只是定义防火墙策略的防火墙管理工具
IPtable将策略交给内核岑冕的netfilter网络过滤器来处理
firewall服务则把其交给 内核层面的nftables包过滤框架处理

Iptables
在进行路由器选择处理数据包 PREROUTING
处理流入的数据包    INPUT
处理流出的数据包    OUTPUT
处理转发的数据包    FORWARD
在进行路由选择后处理数据包 POSTROUTING

ACCEPT（允许流量通过）、REJECT（拒绝流量通过）、LOG（记录日志信息）、DROP（拒绝流量通过）。
DROP来说，它是直接将流量丢弃而且不响应；REJECT则会在拒绝流量后再回复一条“您的信息已经收到，但是被扔掉了”信息，从而让流

量发送方清晰地看到数据被拒绝的响应信息。
如果设置为reject 会返回不可达响应
如果设置为drop    无法判断流量是被拒还是主机不在线

四表五链

-P    设置默认策略
-F    清空规则链
-L    查看规则链
-A    在规则链的尾部加入新规则
-I    在规则链头加入新规则
-D num    删除某一条规则
-s    匹配来源IP/MASK 加感叹号!表示除这个IP外
-d    匹配目标地址
-i 网卡名 匹配从这块网卡流入的数据
-o 网卡名 匹配从这个网卡流出的数据
-p    匹配协议  tcp udp icmp
--dport num 匹配目标端口号
--sport num 匹配来源端口号

#把INPUT规则链的默认策略设置为拒绝
iptables -P INPUT DROP

#向input链中添加拒绝所有人访问本机1234端口的策略
#iptables -I INPUT -p tcp --dport 1234 -j REJECT
#iptables -I INPUT -p udp --dport 1234 -j REJECT

#向INPUT规则链添加拒绝10.0.0.1主机访问本机80端口的规则
#iptables -I INPUT -p tcp -s 10.0.0.1 --dport 80 -j REJECT

#向INPUT规则链中添加拒绝所有主机访问本机1000-1024端口策略
#iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
最后保存
service iptables save

FIREWALLD拥有CLI命令行界面和基于GUI图形用户界面的两种管理方式

firewalld中常用的取悦名称和策略规则
trusted        允许所有数据包
home        拒绝流入的流量，除非流出的流量相关，如果流量与ssh,mdns相关，则允许流量
internal     等同home区域
work        拒绝流入的流量，除非与流出的流量数相关，如果流量与ssh相关，则允许流量
public        拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量
external    拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
dmz        拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量
block        拒绝流入的流量，除非与流出流量相关
drop        拒绝流入的流量，除非与流出流量相关

firewall-cmd是firewalld防火墙的管理工具，他参数是以‘长格式’来提供，TAB能补齐

firewall-cmd中使用的参数及作用

--get-default-zone        查询默认的区域名称
--set-default-zone=<区域名>    设置默认的区域，使其永久生效
--get-zones            显示可用的区域
--get-services            显示预先定义的服务
--get-active-zones        显示当前正在使用的区域与网卡名称
--add-source=            将源自此IP或子网流量包导向指定的区域
--remove-source            不再将源自此IP或子网的流量导向某个指定的区域
--add-interface=<网卡名>    将源自该网卡的所有流量导向某个指定区域
--change-interface=<网卡名>    将某个网卡与区域进行关联
--list-all            显示当前区域的网卡配置参数，资源，端口以及服务等信息
--list-all-zones        显示所有区域的网卡配置参数，资源，端口以及服务等信息
--add-service=<服务名>        设置默认区域允许该服务的流量
--add-port=<端口号/协议>    设置默认区域允许该端口的流量
--remove-service=<服务名>    移除默认区域不再允许该服务
--remove-port=<端口号/协议>    移除默认区域不再允许该端口
--reload            让‘永久生效’的规则立即生效，并覆盖当前的配置规则
--panic-on            开启应急状态模式
--panic-off            关闭应急状态模式
--permannent            表示永久生效

#查看firewall服务当前所使用的区域
#firewall-cmd --get-default-zone

查询eno16777728网卡在firewalld服务中的区域：

[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public
把firewalld服务中eno16777728网卡的默认区域修改为external，并在系统重启后生效。分别查看当前与永久模式下的区域名称：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=eno16777728
success
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
public
[root@linuxprobe ~]# firewall-cmd --permanent --get-zone-of-interface=eno16777728
external
把firewalld服务的当前默认区域设置为public：

[root@linuxprobe ~]# firewall-cmd --set-default-zone=public
success
[root@linuxprobe ~]# firewall-cmd --get-default-zone 
public
启动/关闭firewalld防火墙服务的应急状况模式，阻断一切网络连接（当远程控制服务器时请慎用）：

[root@linuxprobe ~]# firewall-cmd --panic-on
success
[root@linuxprobe ~]# firewall-cmd --panic-off
success
查询public区域是否允许请求SSH和HTTPS协议的流量：

[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https
no
把firewalld服务中请求HTTPS协议的流量设置为永久允许，并立即生效：

[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --reload
success
把firewalld服务中请求HTTP协议的流量设置为永久拒绝，并立即生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http 
success
[root@linuxprobe ~]# firewall-cmd --reload 
success
把在firewalld服务中访问8080和8081端口的流量策略设置为允许，但仅限当前生效：

[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
success
[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports 
8080-8081/tcp
把原本访问本机888端口的流量转发到22端口，要且求当前和长期均有效：

流量转发命令格式为firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口

号>:toaddr=<目标IP地址>

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-

port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@linuxprobe ~]# firewall-cmd --reload
success
在客户端使用ssh命令尝试访问192.168.10.10主机的888端口：

[root@client A ~]# ssh -p 888 192.168.10.10
The authenticity of host ‘[192.168.10.10]:888 ([192.168.10.10]:888)‘ can‘t be established.
ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘[192.168.10.10]:888‘ (ECDSA) to the list of known hosts.
root@192.168.10.10‘s password:此处输入远程root管理员的密码
Last login: Sun Jul 19 21:43:48 2017 from 192.168.10.10
firewalld中的富规则表示更细致、更详细的防火墙策略配置，它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对

性的策略配置。它的优先级在所有的防火墙策略中也是最高的。比如，我们可以在firewalld服务中配置一条富规则，使其拒绝

192.168.10.0/24网段的所有用户访问本机的ssh服务（22端口）：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source 

address="192.168.10.0/24" service name="ssh" reject"
success
[root@linuxprobe ~]# firewall-cmd --reload
success
在客户端使用ssh命令尝试访问192.168.10.10主机的ssh服务（22端口）：

[root@client A ~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to ‘192.168.10.10‘ (port 22): Connection failed.

8.3.2 图形管理工具
在各种版本的Linux系统中，几乎没有能让刘遄老师欣慰并推荐的图形化工具，但是firewall-config做到了。它是firewalld防火墙配置管

理工具的GUI（图形用户界面）版本，几乎可以实现所有以命令行来执行的操作。毫不夸张的说，即使读者没有扎实的Linux命令基础，也

完全可以通过它来妥善配置RHEL 7中的防火墙策略。firewall-config的界面如图8-2所示，其功能具体如下。

1：选择运行时（Runtime）模式或永久（Permanent）模式的配置。

2：可选的策略集合区域列表。

3：常用的系统服务列表。

4：当前正在使用的区域。

5：管理当前被选中区域中的服务。

6：管理当前被选中区域中的端口。

7：开启或关闭SNAT（源地址转换协议）技术。

8：设置端口转发策略。

9：控制请求icmp服务的流量。

10：管理防火墙的富规则。

11：管理网卡设备。

12：被选中区域的服务，若勾选了相应服务前面的复选框，则表示允许与之相关的流量。

13：firewall-config工具的运行状态


SNAT
前面在讲解firewall-config工具的功能时，曾经提到了SNAT（Source Network Address Translation，源网络地址转换）技术。SNAT是一

种为了解决IP地址匮乏而设计的技术，它可以使得多个内网中的用户通过同一个外网IP接入Internet。该技术的应用非常广泛，甚至可以

说我们每天都在使用，只不过没有察觉到罢了。比如，当我们通过家中的网关设备（比如无线路由器）访问本书配套站点

www.linuxprobe.com时，就用到了SNAT技术。

大家可以看一下在网络中不使用SNAT技术（见图8-6）和使用SNAT技术（见图8-7）时的情况。在图8-6所示的局域网中有多台PC，如果网关

服务器没有应用SNAT技术，则互联网中的网站服务器在收到PC的请求数据包，并回送响应数据包时，将无法在网络中找到这个私有网络的

IP地址，所以PC也就收不到响应数据包了。在图8-7所示的局域网中，由于网关服务器应用了SNAT技术，所以互联网中的网站服务器会将响

应数据包发给网关服务器，再由后者转发给局域网中的PC。


8.4 服务的访问控制列表
TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序，它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。

换句话说，Linux系统中其实有两个层面的防火墙，第一种是前面讲到的基于TCP/IP协议的流量过滤工具，而TCP Wrappers服务则是能允许

或禁止Linux系统提供服务的防火墙，从而在更高层面保护了Linux系统的安全运行。

TCP Wrappers服务的防火墙策略由两个控制列表文件所控制，用户可以编辑允许控制列表文件来放行对服务的请求流量，也可以编辑拒绝

控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效，系统将会先检查允许控制列表文件（/etc/hosts.allow），如

果匹配到相应的允许策略则放行流量；如果没有匹配，则去进一步匹配拒绝控制列表文件（/etc/hosts.deny），若找到匹配项则拒绝该流

量。如果这两个文件全都没有匹配到，则默认放行流量。

TCP Wrappers服务的控制列表文件配置起来并不复杂，常用的参数如表8-4所示。

表8-4                            TCP Wrappers服务的控制列表文件中常用的参数

客户端类型    示例    满足示例的客户端列表
单一主机    192.168.10.10    IP地址为192.168.10.10的主机
指定网段    192.168.10.    IP段为192.168.10.0/24的主机
指定网段    192.168.10.0/255.255.255.0    IP段为192.168.10.0/24的主机
指定DNS后缀    .linuxprobe.com    所有DNS后缀为.linuxprobe.com的主机
指定主机名称    www.linuxprobe.com    主机名称为www.linuxprobe.com的主机
指定所有客户端    ALL    所有主机全部包括在内
在配置TCP Wrappers服务时需要遵循两个原则：

编写拒绝策略规则时，填写的是服务名称，而非协议名称；
建议先编写拒绝策略规则，再编写允许策略规则，以便直观地看到相应的效果。
下面编写拒绝策略规则文件，禁止访问本机sshd服务的所有流量（无须/etc/hosts.deny文件中修改原有的注释信息）：

vim /etc/hosts.allow
 vim /etc/hosts.deny

sshd:*
sshd:192.168.10.
1.iptables和firewalld均可使用再RHEL7
2.DROP是丢包，不响应；REJECT是拒绝请求，同时向发送方回送拒绝信息
3.iptables -P INPUT DROP 将INPUT链的规则默认策略设置为DROP
4.可以根据不同的工作场景来调用不同的firewall区域，实现大量防火墙策略规则的快速切换
5.将firewalld的默认区域设置为DMZ firewall-cmd --set-default-zone=dmz
6.让firewalld的永久模式立即生效  firewall-cmd --reload
7.SNAT技术的目的是为了解决IP地址匮乏而设计，它可以使得多个内网中的用户通过一个外网IP接入Internet
8.TCP Wrappers服务会一次匹配允许策略的配置文件，然后再依次匹配拒绝策略文件，如果没有匹配到则放行流量