20
2019
05
10:11:18

Linux从入门到精通——firewalld和iptables

####firewalld和iptables###

   防火墙是内核上的一个插件

   火墙有两种:firewalld 和 iptables
   都通过iptables往内核写入数据
      技术分享图片

 

一.firewalld

   firewall域:
   trusted home internal work public external dmz block drop
      技术分享图片

 

1.关于iptables

   yum install iptables
   systemctl stop firewalld       ##关闭火墙
   systemctl mask firewalld.service    ##冻结火墙

   iptables -nL               ##查看服务情况,显示策略
   Chain INPUT (policy ACCEPT)
   target     prot opt source               destination         
   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22

   REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

   Chain FORWARD (policy ACCEPT)
   target     prot opt source               destination         
   REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

   Chain OUTPUT (policy ACCEPT)
   target     prot opt source               destination         


2.火墙的使用

   systemctl stop iptables.service        ##关闭iptables
   systemctl mask iptables.service           ##冻结iptables
   systemctl unmask firewalld.service      ##解冻firewalld    
   systemctl start firewalld.service           ##开启firewalld
      技术分享图片

 

   cmd命令:
   firewall-cmd --state           ##查看火墙运行状态
   firewall-cmd --get-active-zones     ##查看正在使用的区域
   firewall-cmd --get-default-zone     ##查看当前默认区域
   firewall-cmd --get-zones       ##查看所有可使用区域
   firewall-cmd --zone=public --list-all   ##查看public域的允许的服务和开启的端口以及地址伪装功能的状态,和一些策略
   firewall-cmd --get-services     ##查看所有能设定的服务
   firewall-cmd --list-all-zones      ##查看所有区域的所有服务和端口
   firewall-cmd --set-default-zone=dmz     ##设定当前默认区域为非军事区
      技术分享图片

      技术分享图片

      技术分享图片

      技术分享图片

 

指定区域针对网段和设备进行操作:
   firewall-cmd --permanent --zone=internal --add-source=172.25.254.110    ##指定110的默认域为internal,并永久保存
   firewall-cmd --permanent --zone=internal --remove-source=172.25.254.110    ##将指定的110的域删除
   firewall-cmd --permanent --zone=internal --add-internal=eth0
        ##指定eth0这个端口的域为internal
   firewall-cmd --permanent --zone=internal --change-public=eth0
        ##更改eth0这个端口的域为public
   firewall-cmd --permanent --zone=internal --remove-interface=eth0
        ##删除eth0这个端口的域
      技术分享图片

      技术分享图片

 

指定区域针对服务和端口域进行操作:
   firewall-cmd --permanent --zone=public --add-service=http
        ##在publlic域中永久设定添加http服务
   firewall-cmd --permanent --zone=public --remove-service=http
   firewall-cmd --zone=public --list-ports         
        ##列出public所有端口   
   firewall-cmd --permanent --zone=public --add-port=8080/tcp
   firewall-cmd --permanent --zone=public --remove-port=8080/tcp
      技术分享图片

 

   注意:加--permanent参数的要使设定生效需要重新加载火墙
   firewall-cmd --reload


   /etc/firewalld/zones
   可以在该目录中修改对应区域名.xml文件,来添加或删除服务,编辑完后要重启服务或重加载

   /lib/firewalld/services 
   现在默认的firewalld域,系统会将etc下的默认域的文件,移动到lib下执行

   想要更改或添加服务要在etc下的文件里面改,这个是永久的;用命令添加的是暂时的,想要永久要加 --permanent,并且重启服务

   firewall-cmd --reload  ##重新加载,但是如果有程序正在运行,也不会阻止程序运行
   firewall-cmd --complete-reload  ##比较强制重新加载,但是如果有程序正在运行,就会立即阻止程序运行

3.directory rules

   通过firewall-cmd工具,可以使用--direct选项在运行时间里增加或者移除链。
         三表五链
访问本机的数据,经过内核的数据filter
不经过本机内核的东西,数据转换nat
包含所有数据(前两个所有数据)等到前两个表格不够用的时候才使用mangle

   firewall-cmd --direct --get-all-rules  ##获取全部的链
   firewall-cmd --direct --add-rule ipv4 filter INPUT 2 -s 172.25.254.110 -p tcp --dport 22 -j ACCEPT  ##添加一条链在filter的INPUT的下面,设定源110访问22端口时是允许的
   firewall-cmd --direct --add-rule ipv4 filter INPUT 2 ! -s 172.25.254.110 -p tcp --dport 22 -j ACCEPT    ##添加一条链在filter的INPUT的下面,设定除了源110以外的所有源访问22端口时是允许的
   firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 -s 172.25.254.110 -p tcp --dport 22 -j ACCEPT
   firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 !  -s 172.25.254.110 -p tcp --dport 22 -j ACCEPT
      技术分享图片

       技术分享图片

 

4.icmp-block

用这个命令阻绝一个或者多个ICMP类型。ICMP类型是firewalld支持的ICMP类型之一。比如 ping 172.25.254.110 就是用的ICMP

   firewall-cmd --get-icmptypes   ##查看icmp含有的命令
   firewall-cmd --add-icmp-block=destination-unreachale  ##ping不通该主机的ip
   firewall-cmd --add-icmp-block=echo-request  ##ping不了
   firewall-cmd --add-icmp-block=echo-request --timeout=5   ##刚开始ping不通,5秒以后就能ping通

5.地址伪装与源地址转换

   firewall-cmd --add-masquerade      ##开启地址伪装功能
      技术分享图片

  firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.10    ##所有通过22端口访问110主机,都会被转到10这个主机上面
      技术分享图片

      技术分享图片

   firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.254.100 masquerade"    ##ip隐藏,比如说就是我的ip是10,我通过110这个主机的去连接100这台主机,在100这台主机上用 w -i 命令查看到的ip是110的,而不是10的
      技术分享图片

 

6.路由器功能 masquerade

    两个在不同网络区域内的电脑,比如192想要ping通172这个网段的,需要通过一个路由器做一次地址转换

测试前:
(1)用desktop当作路由器
要开通地址伪装功能,还需i要两块虚拟网卡,设定两个虚拟网卡的ip,一个为192的,另一个为172的。
(2)用server当作测试主机
修改server的ip为192的,并修改网关为192的
systemctl restart network
route -n   ##查看网关是否添加成功

测试:
(1)用server刚开始的时候ping 172是ping不通的
(2)在desktop里面
   firewall-cmd --permanent --add-masquerade  ##开启地址伪装功能
   sysctl -a | grep forward  ##查看一些功能是否开启
   vim /etc/sysctl.conf 
    net.ipv4.ip_forward = 1
   sysctl -p
    net.ipv4.ip_forward = 1
   firewall-cmd --reload
      技术分享图片

 

二.iptables

1.iptables的启用
   systemctl stop firewalld 
   systemctl mask firewalld   ##冻结firewalld
   systemctl start iptables   ##如果显示冻结,用unmask先打开
   systemctl unmask iptables   
   systemctl start iptables   
      技术分享图片

 

2.iptables的应用
   iptables -nL        ##查看所有表的情况
   iptables -t nat -nL ##查看nat表的情况
   iptables -F             ##刷新策略(仅清空链中规则)
   iptables -N redhat      ##添加自定义链名
   iptables -D redhat      ##删除自定义链下的策略
   iptables -X redhat      ##删除自定义链
   iptables -E rehdat      ##修改名称
   iptables --state        ##查看状态
   iptables -i lo          ##设置端口进来
   iptables -o eth0        ##设置从网络接口eth0出去
   iptables -s             ##source 来源
   iptables -A             ##增加
   iptables -I             ##插入 某一链表的第几行
   iptables -R             ##替换
   iptables -P             ##修改默认

       技术分享图片

 

3.重新写入策略(数据优化)

(1)清空原有策略,并添加新的策略并保存
   vim /etc/sysconfig/iptables  ##策略存放的路径
   iptables -F    ##(清空)刷新原有的策略
   cat /etc/sysconfig/iptables   ##查看后发现,原有策略被清空
      技术分享图片

       技术分享图片

 

(2)加入新的策略
   iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
   iptables -A INPUT -m state --state new -p tcp --dport 22 -j ACCEPT
   iptables -A INPUT -m state --state new -p tcp --dport 80 -j ACCEPT
   iptables -A INPUT -m state --state new -p tcp --dport 53 -j ACCEPT
   iptables -nL    ##查看新添加的策略
   service iptables save  ##保存添加的策略
   iptables -nL    ##新策略添加成功
   cat /etc/sysconfig/iptables  ##查看策略

      技术分享图片

      技术分享图片




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/755.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: