3.18 Linux 防火墙

1、iptables 概述

a. 概念介绍

自Centos7.X开始,系统自带的防火墙是filewalld,但是也同样支持iptables, 我们仍然可以用iptables来作为防火墙。

netfilter/iptables：IP信息包过滤系统，它实际上由两个组件netfilter 和 iptables 组成。

netfilter 组件也称为内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具，也称为用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。

netfilter/iptables 简称为iptables。 iptables是基于内核的防火墙，功能非常强大，iptables内置了filter，nat和mangle、raw四张表。所有规则配置后，立即生效，不需要重启服务

-----------------------

四张表介绍：

① filter：负责过滤数据包，包括的规则链有，input，output和forward；

② nat：则涉及到网络地址转换，包括的规则链有，prerouting，postrouting和output；

③ mangle：表则主要应用在修改数据包内容上，用来做流量整形的，给数据包打个标识，默认的规则链有：INPUT、OUTPUT、forward、POSTROUTING、PREROUTING；

④ raw：主要用于异常处理，PREROUTING、OUTPUT

注意：表间的优先顺序：raw > mangle > nat > filter

五个链介绍：

① input：匹配目标IP是本机的数据包，

② output：出口数据包，一般不在此链上做配置

③ forward：匹配流经本机的数据包，

④ prerouting：用来修改目的地址，用来做DNAT，如：把内网中的80端口映射到路由器外网端口上，来自公网数据包

⑤ postrouting：用来修改源地址用来做SNAT，如：内网通过路由器NAT转换功能实现内网PC机通过一个公网IP地址上网。发往公网数据包

链间的匹配顺序

入站数据：PREROUTING、INPUT
出站数据：OUTPUT、POSTROUTING
转发数据：PREROUTING、FORWARD、POSTROUTING

链内的匹配顺序

自顶向下按书序依次进行检查，找到相匹配的规则即停止
若在该链内找不到相匹配的规则，则按该链的默认策略处理

注意：规则的次序非常关键，谁的规则越严格，应该放在越靠前，而检查规则的时候，是按照从上往下的方式进行检查。

整体数据包分三类：1、发给防火墙本身的数据包；2、需要经过防火墙转发的数据包；3、由运行在本机的程序封装的并发出去的数据包；

① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

b. 安装配置

# 关闭firewalld
systemctl stop firewalld
systemctl disable firewalld

# 安装iptables
yum install -y iptables-services

# 查看配置文件
cat /etc/sysconfig/iptables

# 启动服务
systemctl start iptables

c. iptables 命令

语法：iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]

注意事项：

不指定表名时，默认是filter表
不指定链名时，默认表示该表内所有链
除非设置规则链的缺省策略，否则需要指定匹配条件。

管理选项

-A <链名> 追加一条规则（放到最后）APPEND
-I <链名> [规则号码] 插入一条规则
-D <链名><规则号码 | 具体规则内容> 删除一条规则
-P <链名><动作> 设置某个链的默认规则
-F [链名] 清空规则
-Z 将封包计数器归零
-L [链名] 列出规则

- v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
- x：在v 的基础上，禁止自动单位换算（K、M）
- n：只显示IP 地址和端口号码，不显示域名和服务名称

添加注意：

-t filter 可不写，不写则自动默认是 filter 表
-I 链名 [规则号码]，如果不写规则号码，则默认是 1
确保规则号码 ≤ （已有规则数 + 1），否则报错

删除注意：

若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条
按号码匹配删除时，确保规则号码 ≤ 已有规则数，否则报错
按内容匹配删除时，确保规则存在，否则报错

# 拒绝所有人访问服务器，
# 在filter表的INPUT链里追加一条规则（作为最后一条规则），所有访问本机 IP 的数据包，匹配到的丢弃
iptables -t filter -A INPUT -j DROP   

# 在 filter 表的 INPUT 链里插入一条规则（插入成第 1 条）
iptables -I INPUT -s 192.168.1.1 -j DROP
# 在 filter 表的 INPUT 链里插入一条规则（插入成第 5 条）
iptables -I INPUT 5 -j DROP

# 删除filter表中的第五条规则
iptables -D INPUT 5

# 按照内容匹配删除
iptables -D INPUT -s 192.168.1.1 -j DROP


# 设置 filter 表 INPUT 链的默认规则是 DROP
iptables -P INPUT DROP

当数据包没有被规则列表里的任何规则匹配到时，按此默认规则处理。
动作前面不能加-j，这也是唯一一种匹配动作前面不加 -j 的情况。

# 清除INPUT链上的规则
iptables -F INPUT   
# 清除filter表中所有链上的规则
iptables -F  
# 清空NAT表中所有链上的规则
iptables -t nat -F  
# 清空NAT表中  PREROUTING
iptables -t nat -F PREROUTING

-F 仅仅是清空链中规则，并不影响 -P 设置的默认规则。需要手动改：
-P 设置了 DROP 后，使用 -F 一定要小心！！！在生产环境中，使用-P DROP 这条规则，一定要小心，设置之前最好配置下面两个任务计划，否则容易把自己drop掉，链接不上远程主机。
如果不写链名，默认清空某表里所有链里的所有规则

 # 粗略列出 filter 表所有链及所有规则
iptables -L

# 用详细方式列出 nat 表所有链的所有规则，只显示 IP 地址和端口号
iptables -t nat -vnL 

# 用详细方式列出filter表所有字段的所有规则以及详细数字
iptables -vxnL

匹配条件

-p 协议类型。可以是TCP、UDP、ICMP 等，也可为空
-i、-o 流入、流出接口。-i 参数主要应用于nat表，例如目标地址转换
-s、-d 来源、目的地址。可以是IP、网段、域名，也可空（任何地址）
--sport、--dport 来源、目的端口。可以是个别端口，可以是端口范围。必须联合-p 使用，必须指明协议类型是什么

# 匹配是否从网络接口 eth0 进来
-i eth0  
# 匹配是否从网络接口 ppp0 进来
-i ppp0 
# 匹配是否从网络接口 eth0 出去
-o eth0  
# 匹配是否从网络接口 ppp0 出去
-o ppp0  


# 匹配来自 192.168.0.1 的数据包
-s 192.168.0.1
# 匹配来自 192.168.1.0/24 网络的数据包
-s 192.168.1.0/24
# 匹配来自 192.168.0.0/16 网络的数据包
-s 192.168.0.0/16  


# 按协议类型匹配
-p tcp
-p udp
-p icmp --icmp-type

# 匹配源端口是 1000 的数据包
--sport 1000
# 匹配源端口是 1000-3000 的数据包（含1000、3000）
--sport 1000:3000 
# 匹配源端口是 3000 以下的数据包（含 3000）
--sport :3000 
# 匹配源端口是 1000 以上的数据包（含 1000）
--sport 1000: 



# 匹配网络中目的端口是 53 的 UDP 协议数据包
-p udp --dport 53 

# 匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包
-s 10.1.0.0/24 -d 172.17.0.0/16 

# 匹配来自 192.168.0.1，去往 www.abc.com 的 80 端口的 TCP 协议数据包
-s 192.168.0.1 -d www.abc.com -p tcp --dport 80

处理方式

-j ACCEPT 通过，允许数据包通过本链而不拦截它
-j DROP 丢弃，阻止数据包通过本链而丢弃它
-j SNAT --to IP[-IP][:端口-端口] 源地址转换（nat表的POSTROUTING 链)。SNAT 支持转换为单IP，也支持转换到IP 地址池（一组连续的IP 地址。
-j DNAT --to IP[-IP][:端口-端口] 目的地址转换（nat 表的 PREROUTING 链）。DNAT 支持转换为单 IP，也支持转换到 IP 地址池。
-j MASQUERADE 伪装，动态源地址转换（动态IP 的情况下使用）

# 允许所有访问本机 IP 的数据包通过
iptables -A INPUT -j ACCEPT  

# 阻止来源地址为 192.168.80.39 的数据包通过本机
iptables -A FORWARD -s 192.168.80.39 -j DROP 

# 将内网 192.168.0.0/24 的原地址修改为 1.1.1.1，用于 NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1 
# 将内网 192.168.0.0/24 的原地址修改地址池IP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24  -j SNAT --to 1.1.1.1-1.1.1.10

# 把从eth0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1 
# 把从 eth0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1-192.168.0.10
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.0.10

# 将源地址是 192.168.0.0/24 的数据包进行地址伪装，转换成eth0上的IP地址。eth0为路由器外网出口IP地址
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

按包状态匹配

语法：-m state --state 状态

状态	描述
NEW	如果我们发送一个连接的初始化包，状态就会在OUTPUT链里被设置为NEW，当我们收到回应的包时，状态就会在PREROUTING链里被设置为ESTABLISHED。如果第一个包不是本地产生的，那就会在PREROUTING链里被设置为NEW状态。
ESTABLISHED	连接态
RELATED	衍生态（如FTP的数据连接是与控制连接相关的，所以数据连接在规则链被设置为RELATED状态）
INVALID	不能被识别属于哪个连接或没有任何状态

iptables -A INPUT -m state --state RELATED,ESTABLISHED  -j ACCEPT

按来源MAC匹配

语法：-m mac --mac-source MAC

注意：报文经过路由后，数据包中原有的mac 信息会被替换，所以在路由后的 iptables 中使用 mac 模块是没有意义的。

# 阻断来自某 MAC 地址的数据包，通过本机
iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

按包速率匹配

语法：-m limit --limit 匹配速率 [--burst 缓冲数量]

注意：limit 英语上看是限制的意思，但实际上只是按一定速率去匹配而已，50/s表示1秒中转发50个数据包，要想限制的话后面要再跟一条 DROP。

iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s  -j ACCEPT
iptables -A FORWARD -d 192.168.0.1 -j DROP

多端口匹配

语法：-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]

注意：必须与-p 参数一起使用

d. 实验案例

① 配置vsftp服务器主动模式iptables规则

iptables -F
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 默认情况一般服务与本机通讯以127.0.0.1来通讯的。
iptables -A INPUT -i lo -j ACCEPT 
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许其他机器 ping 本机
iptables -A INPUT -p icmp -j ACCEPT  
iptables -A INPUT -j DROP

② 配置web服务器iptables防火墙

iptables  -F
iptables -A INPUT -i lo -j ACCEPT   #放行环回口所有数据
iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 允许已经建立tcp连接的包以及该连接相关的包通过。
# 状态防火墙能识别TCP或者UDP会话。非状态防火墙只能根据端口识别，不能识别会话
iptables -P INPUT DROP

注：一般iptables，OUTPUT出口一般都放行，不需要在出口上做限制。这样允许服务器主动访问外网

保存：service iptables save

-----------------------------------

2、firewalld 概念介绍

Firewalld 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。

我们首先需要弄明白的第一个问题是到底什么是动态防火墙。为了解答这个问题，我们先来回忆一下iptables service 管理防火墙规则的模式：用户使用命令添加防火墙的规则,如果想让规则永久保存,还需要再执行命令 iptables-save>/etc/sysconfig/iptables使变更的规则保存到配置文件里。在这整个过程的背后，iptables service 会对防火墙的规则列表全部重读一次,加载到内核.

如果我们把这种哪怕只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话，那么firewalld 所提供的模式就可以叫做动态防火墙，它的出现就是为了解决这一问题，任何规则的变更都不需要对整个防火墙规则列表进行重新加载，只需要将变更部分保存并更新到运行中的iptables 即可。

a. firewalld 和 iptables

firewalld 提供了一个 daemon 和 service，还有命令行和图形界面配置工具，它仅仅是替代了 iptables service 部分，其底层还是使用 iptables 作为防火墙规则管理入口。firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现，也就是说firewalld和iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter，只不过firewalld和iptables的结构以及使用方法不一样罢了。

b. 区域(zone)概念

一个zone就是一套过滤规则，数据包必须要经过某个zone才能入站或出站。不同zone中规则粒度粗细、安全强度都不尽相同。可以把zone看作是一个个出站或入站必须经过的安检门，有的严格、有的宽松、有的检查的细致、有的检查的粗略。

zone 默认共有9个,不同的区域之间的差异是其对待数据包的默认行为不同，根据区域名字我们可以很直观的知道该区域的特征，在CentOS7系统中，默认区域被设置为public.

c. firewalld 配置文件

/etc/firewalld/ 存放修改过的配置（优先查找，找不到再找默认的配置）

/usr/lib/firewalld/ 默认的配置

修改配置的话只需要将/usr/lib/firewalld中的配置文件复制到/etc/firewalld中修改。恢复配置的话直接删除/etc/firewalld中的配置文件即可。

比如 ssh服务默认运行在22端口,如果你的ssh服务运行在220端口(不是默认),此时需要放行220端口,就需要把/usr/lib/firewalld/ssh.xml 文件拷贝到 /etc/firewalld/services/ 目录下,修改文件端口为220。重启firewalld服务或者重新加载设置，以激活这些设置firewall-cmd --reload。

d. service 配置的优点

第一，通过服务名字来管理规则更加人性化，

第二，通过服务来组织端口分组的模式更加高效，如果一个服务使用了若干个网络端口，则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。每加载一项service 配置就意味着开放了对应的端口访问。

firewall-cmd --get-services   #列出所有支持的 service
firewall-cmd --list-services     #查看当前 zone 种加载的 service

3、firewalld 命令

你可以使用任何一种firewalld 配置工具来配置或者增加区域，以及修改配置。工具有 firewall-config 图形界面工具,firewall-cmd命令行工具。

# 安装
yum install firewalld

# 启动
systemctl start firewalld
# 查看状态
systemctl status firewalld 或者 firewall-cmd --state

# 停止
systemctl stop firewalld
# 禁用
systemctl disable firewalld

a. 查看命令

firewall-cmd --version 查看版本
firewall-cmd --help 查看帮助
firewall-cmd --state 获取firewalld状态
firewall-cmd --get-active-zones 查看区域信息
firewall-cmd --get-zone-of-interface=ens33 查看指定接口所属区域
firewall-cmd --get-zones 获取支持的区域列表
firewall-cmd --get-services 获取所有支持的服务
firewall-cmd --get-icmptypes 获取所有支持的ICMP类型

b. 更新防火墙规则

firewall-cmd --reload 在不改变当前连接状态的条件下重新加载防火墙
firewall-cmd --complete-reload 当前连接的状态信息将会丢失

c. 查看设置区域zone

firewall-cmd --get-zones 列出所有支持的zone
firewall-cmd --get-default-zone 列出默认的zone
firewall-cmd --get-active-zones 获取活动的区域
firewall-cmd --get-zone-of-interface=<interface> 根据接口获取区域
firewall-cmd --set-default-zone=public 设置默认的zone区域，立即生效无需重启
firewall-cmd [–zone=<zone>] –list-all 输出区域<zone> 全部启用的特性。如果省略区域，将显示默认区域的信息。

# 根据ens33接口获取活动区域
firewall-cmd --get-zone-of-interface=ens33

# 显示默认区域中的启动的全部特性
firewall-cmd --list-all

# 显示work区域中的启动的全部特性
firewall-cmd --zone=work --list-all

d. zone中的端口和接口

firewall-cmd --zone=public --add-interface=ens33 向区域中添加接口，永久生效再加上--permanent 然后reload防火墙
firewall-cmd [--zone=<zone>] --query-interface=<interface> 查询区域中是否包含某个接口
firewall-cmd --zone=public --list-ports 查看区域端口
firewall-cmd --zone=public --add-port=8080/tcp 向区域中添加端口
firewall-cmd [--zone=<zone>] --change-interface=<interface> 修改区域中的接口
firewall-cmd [--zone=<zone>] --remove-interface=<interface> 从区域中移除一个接口

e. zone中的服务

firewall-cmd --zone=work --add-service=smtp 向zone中添加服务
firewall-cmd --zone=work --remove-service=smtp 在zone中移除服务

f. 应急模式

firewall-cmd --query-panic 查询应急模式
firewall-cmd --panic-off 启用应急模式阻断所有网络连接
firewall-cmd --panic-on 关闭应急模式

firewall-cmd --panic-off和firewall-cmd --panic-on实际就是断网和连网

g. Rich 规则

当基本firewalld语法规则不能满足要求时，可以使用以下更复杂的规则。rich-rules 富规则：功能强，更细致、更详细的防火墙规则策略，它的优先级在所有的防火墙策略中也是最高的。

man 5 firewalld.richlanguage 查看帮助
firewall-cmd --list-rich-rules 列出所有富规则
firewall-cmd [--zone=zone] --query-rich-rule=’rule’ 检查某一富规则是否存在
firewall-cmd [--zone=zone] --remove-rich-rule=’rule’ 移除某一富规则
firewall-cmd [--zone=zone] --add -rich-rule=’rule’ 新建富规则

# 允许来自主机 192.168.0.14 的所有 IPv4 流量
firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.0.14 accept' 
# 拒绝来自主机 192.168.1.10 到 22 端口的 IPv4 的 TCP 流量
firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port protocol=tcp port=22 reject'
# 每分钟允许2个新连接访问ftp服务 
firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'

h. Firewalld过滤数据包的原则

对于一个接收到的请求具体使用哪个zone，firewalld是通过三种方式来判断的：

如果一个客户端数据包的源IP 地址匹配 zone 的 sources，那么该 zone 的规则就适用这个客户端。注：一个源只能属于一个zone，不能同时属于多个zone。
如果一个客户端数据包进入服务器的某一个接口（如eth0）区配zone的interfaces，则么该 zone 的规则就适用这个客户端。注：一个接口只能属于一个zone，不能同时属于多个zone。
如果上述两个原则都不满足，那么缺省的 zone 将被应用。

这三个方式的优先级按顺序依次降低，也就是说如果按照source可以找到就不会再按interface去找，如果前两个都找不到才会使用第三个默认区域。