防火墙管理工具
iptables
在早期的Linux系统中,默认使用的是iptables防火墙管理服务来配置防火墙。
策略与规则链
防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
1.在进行路由选择前处理数据包(PREROUTING);
2.处理流入的数据包(INPUT); *外网–>内网
3.处理流出的数据包(OUTPUT); *外网<–内网
4.处理转发的数据包(FORWARD); *通过第三方
5.在进行路由选择后处理数据包(POSTROUTING)。
匹配策略规则采取的动作:
1.ACCEPT(允许):允许流量通过
2.LOG(登记):允许流量通过,但记录日志信息
3.REJECT(拒绝):拒绝流量通过且明确给予拒绝的响应
4.DROP(丢弃):拒绝流量通过但不响应
基本的命令参数
iptables中常用的参数以及作用
1.iptables -L
#查看已有的防火墙规则链
2.iptables -F
#清空已有的防火墙规则链
3.iptables -L
#再次查看防火墙规则链,发现之前存在的规则链均已被删除
4.iptables -P INPUT DROP
#把INPUT规则链的默认策略设置为拒绝,规则链的默认拒绝动作只能是DROP,不能是REJECT
5.iptables -L
#查看规则链,显示Chain INPUT (policy DROP)
6.iptables -I INPUT -p icmp -j ACCEPT
#向INPUT链头部中添加允许ICMP流量进入的策略规则
7.ping -c 4 192.168.10.10
#此时可以ping通,但是其余的ssh什么的是不行的
8.iptables -D INPUT 1
#删除INPUT规则链的第1条规则(即刚刚允许ICMP那条)
9.iptables -P INPUT ACCEPT
#把INPUT规则链默认策略设置为允许
10.iptables -L
#查看规则链,显示Chain INPUT (policy ACCEPT),ping,ssh什么的都允许
11.iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
#将INPUT规则链设置为只允许指定网段的主机访问本机的22端口(必须先指明协议才能指明端口号)
12.iptables -A INPUT -p tcp --dport 22 -j REJECT
#向INPUT规则链尾部添加拒绝来自所有主机访问本机22端口的规则(结合上一条规则的效果就是只允许指定网段主机访问本机22端口,拒绝其他主机访问)
13.iptables -L
#查看已有规则链,此时应有2条,一条允许一条拒绝
14.iptables -I INPUT -p tcp --dport 12345 -j REJECT
#向INPUT规则链中添加拒绝所有人访问本机12345端口(tcp+udp)的策略规则
15.iptables -I INPUT -p udp --dport 12345 -j REJECT
16.iptables -L
17.iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
#向INPUT规则链中添加拒绝192.168.10.5主机访问本机80端口(Web服务)的策略规则
18.iptables -L
19.iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
#向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则
20.iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
21.iptables -L
22service iptables save
#让配置的防火墙策略永久生效(防火墙规则默认会在系统下一次重启时失效)
Firewalld
RHEL 7系统中集成了多款防火墙管理工具,其中firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。
终端管理工具
命令行终端是一种极富效率的工作方式,firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。它的参数一般都是以“长格式”来提供的,因为RHEL 7系统支持部分命令的参数补齐,其中就包含这条命令。也就是说,现在除了能用Tab键自动补齐命令或文件名等内容之外,还可以用Tab键来补齐表中所示的长格式参数了。
使用firewalld配置的防火墙策略有两个模式:
1.运行时(Runtime)模式:默认的firewall防火墙策略模式,又称为当前生效模式,策略会随着系统的重启会失效。
2.永久(Permanent)模式:在用firewall-cmd命令正常设置防火墙策略时添加–permanent参数,配置的防火墙策略就可以永久生效。但是,使用永久生效模式设置的策略只有在系统重启之后才能自动生效。如果想让永久模式下配置的策略立即生效,需要手动执行firewall-cmd --reload命令。
firewall防火墙常用配置
1.firewall-cmd --get-default-zone
#查看firewalld服务当前所使用的区域(默认应该是public)
2.firewall-cmd --get-zone-of-interface=eno16777728
#查询eno16777728网卡当前在firewalld服务中的区域(默认也应该是public)
3.firewall-cmd --permanent --zone=externalchangeinterface=eno16777728 #把firewalld服务中eno16777728网卡的默认区域修改为external,并在系统重启后永久生效。
4.firewall-cmd --get-zone-of-interface=eno16777728
#查看eno16777728网卡在当前的区域(应该仍为public)
5.firewall-cmd --permanent --get-zone-of-interface=eno16777728
#查看eno16777728网卡在永久模式下的区域(应该为external)
6.firewall-cmd --set-default-zone=public
#把firewalld服务的当前默认区域设置为public
7.firewall-cmd --get-default-zone
#查看firewall当前默认区域
8.firewall-cmd --panic-on
#启动firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用)
9.firewall-cmd --panic-off
#关闭firewall防火墙服务的应急状况模式
10.firewall-cmd --zone=public --query-service=ssh
#查询public区域当前是否允许SSH服务的流量(查到为yes)
11.firewall-cmd --zone=public --query-service=https
#查询public区域当前是否允许HTTPS服务的流量(查到为no)
12.firewall-cmd --zone=public --add-service=https
#设置public区域当前允许请求HTTPS服务的流量通过
13.firewall-cmd --permanent --zone=public --add-service=https
#设置piblic区域允许请求HTTPS服务的流量通过,永久生效
14.firewall-cmd --reload
#让firewall服务永久模式下的策略设置立即生效
15.firewall-cmd --permanent --zone=public --remove-service=http
#设置public区域禁止HTTP服务的流量通过,永久生效
16.firewall-cmd --reload
17.firewall-cmd --zone=public --add-port=8080-8081/tcp
#设置public区域当前访问8080-8081端口的流量策略设置为允许
18firewall-cmd --zone=public --list-ports
#查看public区域当前允许通过的端口
流量转发命令格式:
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
图形管理工具
功能具体如下: