lin linux中的防火墙
RHEL中有几种防火墙共存:
iptables
firewalld
ip6tables
ebtables
这些软件本身其实并不具备防火墙功能,他们的作用都是在用户空间中管理和维护规则,只不过规则结构和使用方法不一样罢了,真正利用规则进行过滤是由内核的netfilter完成的。
扩展:整个linux内部结构可以分为三部分,从最底层到最上层依次是:硬件-->内核空间-->用户空间。
CentOS7默认采用的是firewalld管理netfilter子系统,底层调用的仍然是iptables命令。不同的防火墙软件相互间存在冲突,使用某个时应禁用其他的。
systemctl start/stop/enable/disable/status/is-active xxxx //systemctl服务管理命令
Netfilter
netfilter是Linux 2.4内核引入的全新的包过滤引擎。由一些数据包过滤表组成,这些表包含内核用来控制信息包过滤的规则集。iptables等等都是在用户空间修改过滤表规则的便捷工具。
netfilter在数据包必须经过且可以读取规则的位置,共设有5个控制关卡。这5个关卡处的检查规则分别放在5个规则链中(有的叫钩子函数(hook functions)。也就是说5条链对应着数据包传输路径中的5个控制关卡,链中的规则会在对应的关卡检查和处理。任何一个数据包,只要经过本机,必然经过5个链中的某个或某几个。
PREROUTING 数据包刚进入网络接口之后,路由之前,
INPUT 数据包从内核流入用户空间。
FORWARD 在内核空间中,从一个网络接口进入,到另一个网络接口去。转发过滤。
OUTPUT 数据包从用户空间流出到内核空间。
POSTROUTING 路由后,数据包离开网络接口前。
链其实就是包含众多规则的检查清单,每一条链中包含很多规则。当一个数据包到达一个链时,系统就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则就继续检查下一条规则,如果该数据包不符合链中任一条规则,系统就会根据该链预先定义的默认策略来处理数据包。
数据包的传输过程
当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
可以看出,刚从网络接口进入的数据包尚未进行路由决策,还不知道数据要走向哪里,所以进出口处没办法实现数据过滤,需要在内核空间设置转发关卡、进入用户空间关卡和离开用户空间关卡。
iptables
参考文档:http://drops.wooyun.org/tips/1424
起源于freeBSD的ipfirewall(内核1.x时代),所有规则都在内核中;2.0x后更名为ipchains,可以定义多条规则并串用;现在叫iptables,使用表组织规则链。
iptablses按照用途和使用场合,将5条链各自切分到五张不同的表中。也就是说每张表中可以按需要单独为某些链配置规则。例如,mangle表和filter表中都能为INPUT链配置规则,当数据包流经INPUT位置(进入用户空间),这两个表中INPUT链的规则都会用来做过滤检查。
五张表,每张表侧重于不同的功能
filter 数据包过滤功能。只涉及INPUT, FORWARD, OUTPUT三条链。是iptables命令默认操纵的表。
nat 地址转换功能。NAT转换只涉及PREROUTING, OUTPUT, POSTOUTING三条链。可通过转发让局域网机器连接互联网
mangle 数据包修改功能。每条链上都可以做修改操作。修改报文元数据,做防火墙标记等。
raw 快速通道功能。为了提高效率,优先级最高,符合raw表规则的数据包会跳过一些检查。
security 需要和selinux结合使用,内置规则比较复杂,通常都会被关闭
iptables还支持自定义规则链。自定义的链必须和某个特定的链关联起来。可在某个链中设定规则,满足一定条件的数据包跳转到某个目标链处理,目标链处理完成后返回当前链中继续处理后续规则。
因为链中规则是从头到尾依次检查的,所以规则的次序是非常重要的。越严格的规则应该越靠前。
iptablse服务管理
service --status-all
service iptables start|stop|restart|status
service iptables save
iptables-save
iptables-restore
iptables-restore < /etc/sysconfig/iptables2
echo "1">/proc/sys/net/ipv4/ip_forward
iptables命令参考
iptables [-t TABLE] COMMAND [CHAIN] [CRETIRIA]... [-j ACTION]
省缺表名为filter。命令中用到的序号(RULENUM)都基于1。
COMMAND 命令选项
-A|--append CHAIN
-D|--delete CHAIN [RULENUM]
-I|--insert CHAIN [RULENUM]
-R|--replace CHAIN RULENUM
-L|--list [CHAIN [RULENUM]]
-S|--list-urles [CHAIN [RULENUM]]
-F|--flush [CHAIN]
-Z|--zero [CHAIN [RULENUM]]
-N|--new-chain CHAIN
-X|--delete-cahin [CHAIN]
-E|--rename-chain OLDCHAIN NEWCHAIN
-P|-policy CHAIN TARGET
CRETIRIA 条件匹配
分为基本匹配和扩展匹配,扩展匹配又分为隐式匹配和显示匹配
基本匹配
-p|--proto PROTO
-s|--source ADDRESS[/mask]...
-d|--destination ADDRESS[/mask]...
-i|--in-interface INPUTNAME[ +] //按入站接口(网卡)名匹配,+用于通配。如 eth0, eth+ 。一般用在INPUT和PREROUTING链
-o|--out-interface OUTPUTNAME[+] //按出站接口(网卡)名匹配,+用于通配。如 eth0, eth+ 。一般用在OUTPUT和POSTROUTING链
可使用 ! 可以否定一个子句,如-p !tcp
扩展匹配
-m|--match MATCHTYPE EXTENSIONMATCH... //扩展匹配,可能加载extension
如: -p tcp -m tcp --dport 80
隐式扩展匹配(对-p PROTO的扩展,或者说是-p PROTO的附加匹配条件)
-m PROTO 可以省略,所以叫隐式
-m tcp
--sport [!]N[:M]
--dport [!]N[:M]
--tcp-flags CHECKFLAGS FLAGSOFTRUE
--syn
-m udp
--sport N[-M]
--dport N[-M]
-m icmp
--icmp-type N
显示扩展匹配
-m state
--state
-m multiport
--source-ports PORT[,PORT]...|N:M
--destination-ports PORT[,PORT]...|N:M
--ports
-m limit
--limit N/UNIT
--limit-burst N
-m connlimit
--connlimit-above N
-m iprange
--src-range IP-IP
--dst-range IP-IP
-m mac
--mac-source
-m string
--algo [bm|kmp]
--string "PATTERN"
-m recent
--name
--rsource
--rdest
--set
--update
--rcheck
--seconds
--hitcount
--remove
-m time
--timestart h:mm
--timestop hh:mm
--days DAYS
-m mark
--mark N
-m owner
--uid-owner 500
--gid-owner O
--pid-owner 78
--sid-owner 100
ACTION 目标策略(TARGET)
-j|--jump TARGET
-g|--goto CHAIN
ACCEPT 规则验证通过,不再检查当前链的后续规则,直接跳到下一个规则链。
DROP 直接丢弃数据包,不给任何回应。中断过滤。
REJECT 拒绝数据包通过,会返回响应信息。中断过滤。
LOG 在/var/log/messages文件中记录日志,然后将数据包传递给下一条规则。详细位置可查看/etc/syslog.conf配置文件
ULOG 更广范围的日志记录信息
QUEUE 防火墙将数据包移交到用户空间,通过一个内核模块把包交给本地用户程序。中断过滤。
RETURN 防火墙停止执行当前链中的后续规则,并返回到调用链。主要用在自定义链中。
custom_chain 转向自定义规则链
DNAT 目标地址转换,改变数据包的目标地址。外网访问内网资源,主要用在PREROUTING。完成后跳到下一个规则链
SNAT 源地址转换,改变数据包的源地址。内网访问外网资源。主机的IP地址必须是静态的,主要用在POSTROUTING。完成后跳到下一个规则链。
MASQUERADE 源地址伪装,用于主机IP是ISP动态分配的情况,会从网卡读取主机IP。直接跳到下一个规则链。
REDIRECT 数据包重定向,主要是端口重定向,把包分流。处理完成后继续匹配其他规则。能会用这个功能来迫使站点上的所有Web流量都通过一个Web高速缓存,比如Squid。
MARK 打防火墙标记。继续匹配规则。
MIRROR 发送包之前交换IP源和目的地址,将数据包返回。中断过滤。
辅助选项
-t|--table TABLE
-n|--numeric
-x|--exact
-v|--verbose (x3)
-line-numbers
-V|--version
-h|--help
[option] --help
--fragment -f
--modprobe=
--set-counters PKTS BYTES
state TCP链接状态
NEW 第一次握手,要起始一个连接(重设连接或将连接重导向)
ESTABLISHED 数据包属于某个已经建立的连接。第二次和第三次握手 (ack=1)
INVALID 数据包的连接编号(Session ID)无法辨识或编号不正确。如SYN=1 ACK=1 RST=1
RELATED 表示该封包是属于某个已经建立的连接,所建立的新连接。如有些服务使用两个相关的端口,如FTP,21和20端口一去一回,FTP数据传输(上传/下载)还会使用特殊的端口
只允许NEW和ESTABLISHED进,只允许ESTABLISHED出可以阻止反弹式木马。
使用示例
iptables -F //删除iptables现有规则
iptables -L [-v[vv] -n] //查看iptables规则
iptables -A INPUT -i eth0 -p tcp
iptables -I INPUT 2 -i eth0 -p tcp
iptables -D INPUT 2 //删除INPUT链中第2条规则
iptables -R INPUT 3 -i eth0 -p tcp
iptables -P INPUT DROP //设置INPUT链的默认策略为DROP
//允许远程主机进行SSH连接
iptables -A INPUT -i eth0 -p tcp
iptables -A OUTPUT -o eth0 -p tcp
//允许本地主机进行SSH连接
iptables -A OUTPUT -o eth0 -p tcp
iptables -A INTPUT -i eth0 -p tcp
//允许HTTP请求
iptables -A INPUT -i eth0 -p tcp
iptables -A OUTPUT -o eth0 -p tcp
//限制ping 192.168.146.3主机的数据包数,平均2/s个,最多不能超过3个
iptables -A INPUT -i eth0 -d 192.168.146.3 -p icmp
//限制SSH连接速率(默认策略是DROP)
iptables -I INPUT 1 -p tcp
iptables -I INPUT 2 -p tcp
//防止syn攻击(限制syn的请求速度)
iptables -N syn-flood
iptables -A INPUT -p tcp
iptables -A syn-flood -m limit
iptables -A syn-flood -j DROP
//防止syn攻击(限制单个ip的最大syn连接数)
iptables –A INPUT –i eth0 –p tcp
iptables -I INPUT -p tcp -dport 22 -m connlimit
iptables -I INPUT -p tcp
Iptables -I INPUT -p tcp
iptables -I INPUT -p tcp
iptables –A OUTPUT –m state
iptables -A INPUT -p icmp
//只允许自己ping别人,不允许别人ping自己
iptables -A OUTPUT -p icmp
iptables -A INPUT -p icmp
//对于127.0.0.1比较特殊,我们需要明确定义它
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
//SNAT 基于原地址转换。许多内网用户通过一个外网 口上网的情况。将我们内网的地址转换为一个外网的IP,共用外网IP访问外网资源。
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT
//当外网地址不是固定的时候。将外网地址换成 MASQUERADE(动态伪装):它可以实现自动读取外网网卡获取的IP地址。
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
//DNAT 目标地址转换。目标地址转换要做在到达网卡之前进行转换,所以要做在PREROUTING这个位置上
iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp
firewalld
dynamic firewall daemon。支持ipv4和ipv6。Centos7中默认将防火墙从iptables升级为了firewalld。firewalld相对于iptables主要的优点有:
1.firewalld的主要概念
1.1.过滤规则集合:zone
一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。不同zone中规则粒度粗细、安全强度都不尽相同。可以把zone看作是一个个出站或入站必须经过的安检门,有的严格、有的宽松、有的检查的细致、有的检查的粗略。
每个zone单独对应一个xml配置文件,文件名为.xml。自定义zone只需要添加一个.xml文件,然后在其中添加过滤规则即可。
每个zone都有一个默认的处理行为,包括:default(省缺), ACCEPT, %%REJECT%%, DROP
firewalld提供了9个zone:
drop 任何流入的包都被丢弃,不做任何响应。只允许流出的数据包。
block 任何流入的包都被拒绝,返回icmp-host-prohibited报文(ipv4)或icmp6-adm-prohibited报文(ipv6)。只允许由该系统初始化的网络连接
public 默认的zone。部分公开,不信任网络中其他计算机,只放行特定服务。
external 只允许选中的服务通过,用在路由器等启用伪装的外部网络。认为网路中其他计算器不可信。
dmz 允许隔离区(dmz)中的电脑有限的被外界网络访问,只允许选中的服务通过。
work 用在工作网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。
home 用在家庭网络。信任网络中的大多数计算机,只允许选中的服务通过。
internal 用在内部网络。信任网络中的大多数计算机,只允许选中的服务通过。
trusted 允许所有网络连接,即使没有开放任何服务,那么使用此zone的流量照样通过(一路绿灯)。
zone配置文件示例:public.xml
<zone target="default">
<short>Publicshort>
<description>For use in public areas...description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
zone>
1.2.service
service示例:ssh.xml
<service>
<short>SSHshort>
<description>Secure Shell (SSH)...description>
<port protocol="tcp" port="22"/>
service>
1.3.过滤规则
source 根据数据包源地址过滤,相同的source只能在一个zone中配置。
interface 根据接收数据包的网卡过滤
service 根据服务名过滤(实际是查找服务关联的端口,根据端口过滤),一个service可以配置到多个zone中。
port 根据端口过滤
icmp-block icmp报文过滤,可按照icmp类型设置
masquerade ip地址伪装,即将接收到的请求的源地址设置为转发请求网卡的地址(路由器的工作原理)。
forward-port 端口转发
rule 自定义规则,与itables配置接近。rule结合--timeout可以实现一些有用的功能,比如可以写个自动化脚本,发现异常连接时添加一条rule将相应地址drop掉,并使用--timeout设置时间段,过了之后再自动开放。
1.4.过滤规则优先级
source 源地址
interface 接收请求的网卡
firewalld.conf中配置的默认zone
2.firewalld配置文件
2.1.firewalld配置方式
2.2.firewall-cmd命令
firewall-cmd --version
firewall-cmd --help
firewall-cmd --state
firewall-cmd --reload
firewall-cmd --complete-reload
firewall-cmd --panic-on/--panic-off/--query-panic
firewall-cmd --get-active-zones
firewall-cmd --set-default-zone=ZONE
firewall-cmd --zone=xxxx --list-all
firewall-cmd --get-zone-of-interface=interface
firewall-cmd --get-zone-of-source=source[/mask]
部分命令共同的参数说明:
--zone=ZONE 指定命令作用的zone,省缺的话命令作用于默认zone
--permanent 有此参数表示命令只是修改配置文件,需要reload才能生效;无此参数则立即在当前运行的实例中生效,不过不会改动配置文件,重启firewalld服务就没效果了。
--timeout=seconds 表示命令效果持续时间,到期后自动移除,不能和--permanent同时使用。例如因调试的需要加了某项配置,到时间自动移除了,不需要再回来手动删除。也可在出现异常情况时加入特定规则,过一段时间自动解除。
2.3.配置文件存储位置
firewalld的配置文件以xml为主(主配置文件firewalld.conf除外),有两个存储位置:
修改配置的话只需要将/usr/lib/firewalld中的配置文件复制到/etc/firewalld中修改。恢复配置的话直接删除/etc/firewalld中的配置文件即可。
2.4.配置文件结构
2.5.zone文件中配置规则
<zone target="default">
<short>Demoshort>
<description>demo...description>
<source address="address[/mask]">
<interface name="ifcfg-em1"/>
<service name="ssh"/>
<port port="portid[-portid]" protocol="tcp|udp"/>
<icmp-block name="echo-request"/>
<masquerade/>
<forward-port port="portid[-portid]" protocol="tcp|udp" [to-port="portid[-portid]"] [to-addr="ipv4address"]/>
<rule [family="ipv4|ipv6"]>
[ <source address="address[/mask]" [invert="bool"]/> ]
[ <destination address="address[/mask]" [invert="bool"]/> ]
[
<service name="string"/> |
<port port="portid[-portid]" protocol="tcp|udp"/> |
<protocol value="protocol"/> |
<icmp-block name="icmptype"/> |
<masquerade/> |
<forward-port port="portid[-portid]" protocol="tcp|udp" [to-port="portid[-portid]"] [to-addr="address"]/>
]
[ <log [prefix="prefixtext"] [level="emerg|alert|crit|err|warn|notice|info|debug"]/> [<limit value="rate/duration"/>] log> ]
[ <audit> [<limit value="rate/duration"/>] audit> ]
[ <accept/> | <reject [type="rejecttype"]/> | <drop/> ]
rule>
zone>
2.6.使用firewall-cmd配置规则
//zone的默认的行为
firewall-cmd --permanent [--zone=zone] --get-target
firewall-cmd --permanent [--zone=zone] --set-target=target
//配置source,相同的source只能在一个zone中配置,否则会提示Error: ZONE_CONFLICT 。
firewall-cmd [--permanent] [--zone=zone] --list-sources //显示绑定的source
firewall-cmd [--permanent] [--zone=zone] --query-source=source[/mask] //查询是否绑定了source
firewall-cmd [--permanent] [--zone=zone] --add-source=source[/mask] //绑定source,如果已有绑定则取消。
firewall-cmd [--zone=zone] --change-source=source[/mask] //修改source,如果原来未绑定则添加绑定。
firewall-cmd [--permanent] [--zone=zone] --remove-source=source[/mask] //删除绑定
//interface 如eth0, 也可以在网卡配置文件ifcfg-*中加入 ZONE=ZONE名
firewall-cmd [--permanent] [--zone=zone] --list-interfaces
firewall-cmd [--permanent] [--zone=zone] --add-interface=interface
firewall-cmd [--zone=zone] --change-interface=interface
firewall-cmd [--permanent] [--zone=zone] --query-interface=interface
firewall-cmd [--permanent] [--zone=zone] --remove-interface=interface
//service
firewall-cmd [--permanent] [--zone=zone] --list-services
firewall-cmd [--permanent] [--zone=zone] --add-service=service [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-service=service
firewall-cmd [--permanent] [--zone=zone] --query-service=service
//port
firewall-cmd [--permanent] [--zone=zone] --list-ports
firewall-cmd [--permanent] [--zone=zone] --add-port=portid[-portid]/protocol [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-port=portid[-portid]/protocol
firewall-cmd [--permanent] [--zone=zone] --query-port=portid[-portid]/protocol
//icmp-block, 默认允许所有ICMP通过
firewall-cmd --get-icmptypes //查看所有支持的ICMP类型:
// destination-unreachable echo-reply echo-request parameter-problemr-solicitation source-quench time-exceeded
firewall-cmd [--permanent] [--zone=zone] --list-icmp-blocks
firewall-cmd [--permanent] [--zone=zone] --add-icmp-block=icmptype [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-icmp-block=icmptype
firewall-cmd [--permanent] [--zone=zone] --query-icmp-block=icmptype
//masquerade
firewall-cmd [--permanent] [--zone=zone] --add-masquerade [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-masquerade
firewall-cmd [--permanent] [--zone=zone] --query-masquerade
//端口转发
firewall-cmd [--permanent] [--zone=zone] --list-forward-ports
firewall-cmd [--permanent] [--zone=zone] --add-forward-port=port=PORT[-PORT]:proto=PROTOCAL[:toport=PORT[-PORT]][:toaddr=ADDRESS[/MASK]][--timeout=SECONDS]
firewall-cmd [--permanent] [--zone=zone] --remove-forward-port=port=PORT[-PORT]:proto=PROTOCAL[:toport=PORT[-PORT]][:toaddr=ADDRESS[/MASK]]
firewall-cmd [--permanent] [--zone=zone] --query-forward-port=port=PORT[-PORT]:proto=PROTOCAL[:toport=PORT[-PORT]][:toaddr=ADDRESS[/MASK]]
//rule规则, 'rule'是将xml配置中的<和/>符号去掉后的字符串,如 'rule family="ipv4" source address="1.2.3.4" drop'
firewall-cmd [--permanent] [--zone=zone] --list-rich-rules
firewall-cmd [--permanent] [--zone=zone] --add-rich-rule='rule' [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-rich-rule='rule'
firewall-cmd [--permanent] [--zone=zone] --query-rich-rule='rule'
链接:https://www.cnblogs.com/pixy/p/5156739.html
(版权归原作者所有,侵删)