firewalld和iptables 詳解

在RHEL7裡有幾種防火牆共存：firewalld、iptables、ebtables，預設是使用firewalld來管理netfilter子系統，不過底層呼叫的命令仍然是iptables等。

firewalld跟iptables比起來至少有兩大好處：

1、firewalld可以動態修改單條規則，而不需要像iptables那樣，在修改了規則後必須得全部重新整理才可以生效；

2、firewalld在使用上要比iptables人性化很多，即使不明白“五張表五條鏈”而且對TCP/IP協定也不理解也可以實現大部分功能。

firewalld跟iptables比起來，不好的地方是每個服務都需要去設定才能放行，因為預設是拒絕。而iptables裡預設是每個服務是允許，需要拒絕的才去限制。

firewalld自身並不具備防火牆的功能，而是和iptables一樣需要通過核心的netfilter來實現，也就是說firewalld和 iptables一樣，他們的作用都是用於維護規則，而真正使用規則幹活的是核心的netfilter，只不過firewalld和iptables的結構以及使用方法不一樣罷了。

一個重要的概念：區域管理

通過將網路劃分成不同的區域，制定出不同區域之間的存取控制策略來控制不同程式區域間傳送的資料流。例如，網際網路是不可信任的區域，而內部網路是高度信任的區域。網路安全模型可以在安裝，初次啟動和首次建立網路連線時選擇初始化。該模型描述了主機所連線的整個網路環境的可信級別，並定義了新連線的處理方式。有如下幾種不同的初始化區域：

阻塞區域（block）：任何傳入的網路封包都將被阻止。

工作區域（work）：相信網路上的其他計算機，不會損害你的計算機。

家庭區域（home）：相信網路上的其他計算機，不會損害你的計算機。

公共區域（public）：不相信網路上的任何計算機，只有選擇接受傳入的網路連線。

隔離區域（DMZ）：隔離區域也稱為非軍事區域，內外網路之間增加的一層網路，起到緩衝作用。對於隔離區域，只有選擇接受傳入的網路連線。

信任區域（trusted）：所有的網路連線都可以接受。

丟棄區域（drop）：任何傳入的網路連線都被拒絕。

內部區域（internal）：信任網路上的其他計算機，不會損害你的計算機。只有選擇接受傳入的網路連線。

外部區域（external）：不相信網路上的其他計算機，不會損害你的計算機。只有選擇接受傳入的網路連線。

註：FirewallD的預設區域是public。

firewalld預設提供了九個zone組態檔：block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml，他們都儲存在“/usr/lib /firewalld/zones/”目錄下。

設定方法

firewalld的設定方法主要有三種：firewall-config、firewall-cmd和直接編輯xml檔案，其中 firewall-config是圖形化工具，firewall-cmd是命令列工具，而對於linux來說大家應該更習慣使用命令列方式的操作，所以 firewall-config我們就不給大家介紹了。

安裝設定：

1、安裝firewalld

root執行 # yum install firewalld firewall-config

2、執行、停止、禁用firewalld

啟動：# systemctl start  firewalld

檢視狀態：# systemctl status firewalld 或者 firewall-cmd --state

停止：# systemctl disable firewalld

禁用：# systemctl stop firewalld

systemctl mask firewalld

systemctl unmask firewalld

4、設定firewalld

檢視版本：$ firewall-cmd --version

檢視幫助：$ firewall-cmd --help

檢視設定：

顯示狀態：$ firewall-cmd --state

檢視區域資訊: $ firewall-cmd --get-active-zones

檢視指定介面所屬區域：$ firewall-cmd --get-zone-of-interface=eth0

拒絕所有包：# firewall-cmd --panic-on

取消拒絕狀態：# firewall-cmd --panic-off

檢視是否拒絕：$ firewall-cmd --query-panic

更新防火牆規則：# firewall-cmd --reload

# firewall-cmd --complete-reload

兩者的區別就是第一個無需斷開連線，就是firewalld特性之一動態新增規則，第二個需要斷開連線，類似重新啟動服務

將介面新增到區域，預設介面都在public

# firewall-cmd --zone=public --add-interface=eth0

永久生效再加上 --permanent 然後reload防火牆

設定預設介面區域

# firewall-cmd --set-default-zone=public

立即生效無需重新啟動

開啟埠（貌似這個才最常用）

檢視所有開啟的埠：

# firewall-cmd --zone=dmz --list-ports

加入一個埠到區域：

# firewall-cmd --zone=dmz --add-port=8080/tcp

若要永久生效方法同上

開啟一個服務，類似於將埠視覺化，服務需要在組態檔中新增，/etc/firewalld 目錄下有services資料夾，這個不詳細說了，詳情參考文件

# firewall-cmd --zone=work --add-service=smtp

移除服務

# firewall-cmd --zone=work --remove-service=smtp

還有埠轉發功能、自定義複雜規則功能、lockdown

iptables 是與最新的 3.5 版本 Linux 核心整合的 IP 資訊包過濾系統。如果 Linux 系統連線到因特網或 LAN、伺服器或連線 LAN 和因特網的代理伺服器， 則該系統有利於在 Linux 系統上更好地控制 IP 資訊包過濾和防火牆設定。

iptables 基本命令使用舉例

一、鏈及NAT的基本操作

1、清除所有的規則。

1）清除預設表filter中所有規則鏈中的規則。

# iptables -F

2）清除預設表filter中使用者自定鏈中的規則。

#iptables -X

#iptables -Z

3)清楚NAT表規則

#iptables -F -t nat

4)NAT表的顯示

#iptables -t nat -nL

2、設定鏈的預設策略。一般有兩種方法。

1）首先允許所有的包，然後再禁止有危險的包通過放火牆。

#iptables -P INPUT ACCEPT

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD ACCEPT

2）首先禁止所有的包，然後根據需要的服務允許特定的包通過防火牆。

#iptables -P INPUT DROP

#iptables -P OUTPUT DROP

#iptables -P FORWARD DROP

3、列出表/鏈中的所有規則。預設只列出filter表。

#iptables -L

4、向鏈中新增規則。下面的語句用於開放網路介面：

#iptables -A INPUT -i lo -j ACCEPT

#iptables -A OUTPUT -o lo -j ACCEPT

#iptables -A INPUT -i eth0 -j ACEPT

#iptables -A OUTPUT -o eth1 -j ACCEPT

#iptables -A FORWARD -i eth1 -j ACCEPT

#iptables -A FORWARD -0 eth1 -j ACCEPT

注意:由於本地進程不會經過FORWARD鏈，因此回環介面lo只在INPUT和OUTPUT兩個鏈上作用。

5、使用者自定義鏈。

#iptables -N custom

#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP

#iptables -A INPUT -s 0/0 -d 0/0 -j DROP

二、設定基本的規則匹配

1、指定協定匹配。

1）匹配指定協定。

#iptables -A INPUT -p tcp

2）匹配指定協定之外的所有協定。

#iptables -A INPUT -p !tcp

2、指定地址匹配。

1）指定匹配的主機。

#iptables -A INPUT -s 192.168.0.18

2）指定匹配的網路。

#iptables -A INPUT -s 192.168.2.0/24

3）匹配指定主機之外的地址。

#iptables -A FORWARD -s !192.168.0.19

4）匹配指定網路之外的網路。

#iptables -A FORWARD -s ! 192.168.3.0/24

3、指定網路介面匹配。

1）指定單一的網路介面匹配。

#iptables -A INPUT -i eth0

#iptables -A FORWARD -o eth0

2）指定同型別的網路介面匹配。

#iptables -A FORWARD -o ppp+

4、指定埠匹配。

1）指定單一埠匹配。

#iptables -A INPUT -p tcp --sport www

#iptables -A INPUT -p udp –dport 53

2）匹配指定埠之外的埠。

#iptables -A INPUT -p tcp –dport !22

3）匹配埠範圍。

#iptables -A INPUT -p tcp –sport 22:80

4）匹配ICMP埠和ICMP型別。

#iptables -A INOUT -p icmp –icimp-type 8

5）指定ip碎片。

每

個網路介面都有一個MTU（最大傳輸單元），這個引數定義了可以通過的封包的最大尺寸。如果一個封包大於這個引數值時，系統會將其劃分成更小的封包

（稱為ip碎片）來傳輸，而接受方則對這些ip碎片再進行重組以還原整個包。這樣會導致一個問題：當系統將巨量資料包劃分成ip碎片傳輸時，第一個碎片含有

完整的包頭資訊（IP+TCP、UDP和ICMP），但是後續的碎片只有包頭的部分資訊（如源地址、目的地址）。因此，檢查後面的ip碎片的頭部（象有

TCP、UDP和ICMP一樣）是不可能的。假如有這樣的一條規則：

#iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 –dport 80 -j ACCEPT

並且這時的FORWARD的policy為DROP時，系統只會讓第一個ip碎片通過，而餘下的碎片因為包頭資訊不完整而無法通過。可以通過—fragment/-f 選項來指定第二個及以後的ip碎片解決上述問題。

#iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT

注意現在有許多進行ip碎片攻擊的範例，如DoS攻擊，因此允許ip碎片通過是有安全隱患的，對於這一點可以採用iptables的匹配擴充套件來進行限制。

三、設定擴充套件的規則匹配（舉例已忽略目標動作）

1、多埠匹配。

1）匹配多個源埠。

#iptables -A INPUT -p tcp -m multiport –sport 22,53,80,110

2）匹配多個目的埠。

#iptables -A INPUT -p tcp -m multiport –dpoort 22,53,80

3）匹配多埠(無論是源埠還是目的埠）

#iptables -A INPUT -p tcp -m multiport –port 22,53,80,110

2、指定TCP匹配擴充套件

使用 –tcp-flags 選項可以根據tcp包的標誌位進行過濾。

#iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN

#iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK

上範例中第一個表示SYN、ACK、FIN的標誌都檢查，但是只有SYN匹配。第二個表示ALL（SYN，ACK，FIN，RST，URG，PSH）的標誌都檢查，但是只有設定了SYN和ACK的匹配。

#iptables -A FORWARD -p tcp --syn

選項—syn相當於”--tcp-flags SYN,RST,ACK SYN”的簡寫。

3、limit速率匹配擴充套件。

1）指定單位時間內允許通過的封包個數，單位時間可以是/second、/minute、/hour、/day或使用第一個子母。

#iptables -A INPUT -m limit --limit 300/hour

2 )指定觸發事件的閥值。

#iptables -A INPUT -m limit –limit-burst 10

用來比對一次同時湧入的封包是否超過10個，超過此上限的包將直接丟棄。

3）同時指定速率限制和觸發閥值。

#iptables -A INPUT -p icmp -m limit –-limit 3/m –limit-burst 3

表示每分鐘允許的最大包數量為限制速率（本例為3）加上當前的觸發閥值burst數。任何情況下，都可保證3個封包通過，觸發閥值burst相當於允許額外的包數量。

4）基於狀態的匹配擴充套件（連線跟蹤）

每個網路連線包括以下資訊：源地址、目標地址、源埠、目的埠，稱為通訊端對（socket pairs）；協定型別、連線狀態（TCP協定）

和超時時間等。防火牆把這些資訊稱為狀態（stateful）。狀態包過濾防火牆能在記憶體中維護一個跟蹤狀態的表，比簡單包過濾防火牆具有更大的安全性，命令格式如下：

iptables -m state –-state [!]state [,state,state,state]

其中，state表是一個逗號分割的列表，用來指定連線狀態，4種：

>NEW: 該包想要開始一個新的連線（重新連線或連線重定向）

>RELATED:該包是屬於某個已經建立的連線所建立的新連線。舉例：

FTP的資料傳輸連線和控制連線之間就是RELATED關係。

>ESTABLISHED：該包屬於某個已經建立的連線。

>INVALID:該包不匹配於任何連線，通常這些包被DROP。

例如：

（1）在INPUT鏈新增一條規則，匹配已經建立的連線或由已經建立的連線所建立的新連線。即匹配所有的TCP回應包。

#iptables -A INPUT -m state –state RELATED,ESTABLISHED

（2）在INPUT鏈鏈新增一條規則，匹配所有從非eth0介面來的連線請求包。

#iptables -A INPUT -m state -–state NEW -i !eth0

又如，對於ftp連線可以使用下面的連線跟蹤：

（1）被動（Passive）ftp連線模式。

#iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state –-state ESTABLISHED -j ACCEPT

#iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m

state -–state ESTABLISHED,RELATED -j ACCEPT

（2）主動（Active）ftp連線模式

#iptables -A INNPUT -p tcp --sport 20 -m state –-state ESTABLISHED,RELATED -j ACCEPT

#iptables -A OUTPUT -p tcp –OUTPUT -p tcp –dport 20 -m state --state ESTABLISHED -j ACCEPT

本文永久更新連結地址：http://www.linuxidc.com/Linux/2017-03/141434.htm