网站首页 > 技术文章 正文
防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。
在比较新的系统中,firewalld 防火墙取代了 iptables 防火墙,其实 firewalld 和 iptables 都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙工具而已,或者说,它们只是一种服务。
iptables 服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理,而 firewalld 服务则是把配置好的防火墙策略交由内核层面的 nftables 包过滤框架来处理。换句话说,当前的 linux 系统其实存在多个防火墙管理工具。
一、策略与规则链
防火墙会从上至下的读取配置的策略规则,如果在读取完所有的策略规则后没有匹配的,则执行默认的策略规则。防火墙策略规则的设置一般有两种:一种是“通”(放行),一种是“堵”(阻止)。
默认为拒绝时,就要设置允许规则,否则谁都进不来;默认为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
iptables 服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
+ PREROUTING:在进行路由选择前处理数据包
+ POSTROUTING:在进行路由选择后处理数据包
+ INPUT:处理流入的数据包
+ OUTPUT:处理流出的数据包
+ FORWARD:处理转发的数据包
但是仅有规则策略还不能保证安全,还应有相应动作来处理相应流量,在 iptables 服务中分别是:ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。其中 DROP 和 REJECT 的区别是,DROP 直接将流量进行丢弃而且不响应,REJECT 则会丢弃流量后进行响应,使得流量发送方可看到数据被拒绝的响应信息。
二、iptables基本命令
iptables 是一款基于命令行的防火墙策略管理工具,iptables 命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables 就会策略规则所预设的动作来处理这些流量。
iptables 常用命令参数如下:
参数作用-P设置默认策略-F清空规则链-L查看规则链-A在规则链的末尾加入新规则-I num在规则链的头部加入新规则-D num删除某一条规则-s匹配来源地址IP/MASK,加叹号“!”表示除这个ip外-d匹配目标地址-I 网卡名称匹配从这块网卡流入的数据-o 网卡名称匹配从这块网卡流出的数据-p匹配协议。如TCP、UDP、ICMP--dport num匹配目标端口号--sport num匹配来源端口号
注:防火墙的策略规则的匹配顺序是从上至下的,因此优先级较高的策略规则应放到前面,以免发生错误。
三、具体示例
1、查看已有的防火墙规则链
iptables -L
2、把INPUT规则链的默认策略设置为拒绝(DROP)
iptables -P INPUT DROP
然后查看防火墙规则链,已经设置为DROP
现在流量发送方会看到响应超时的提醒,但是无法判断流量是被拒绝,还是接收方主机不在线。
注:默认拒绝动作只能是DROP,而不能是REJECT。
3、把INPUT规则链的默认策略设置为允许(ACCEPT)
iptables -P INPUT ACCEPT
4、清空已有的防火墙规则链
iptables -F
当把INPUT链设置为默认拒绝后,所有流量都将被拒绝,所以需要在防火墙策略中写入允许策略。
5、向INPUT链中添加允许ICMP流量进入的策略规则
平时我们会使用 ping 命令来检测目标主机是否在线,而向防火墙的INPUT链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。
iptables -I INPUT -p icmp -j ACCEPT
然后即可使用ping命令检测,如下
6、删除INPUT链中刚才加入那条策略(允许ICMP流量),并把默认策略设置为允许
[root@localhost ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@localhost ~]# iptables -D INPUT 1
[root@localhost ~]# iptables -P INPUT ACCEPT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
7、将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量。
iptables -I INPUT -s 192.168.157.0/30 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.157.0/30 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
这里我们把允许的动作放到了拒绝的动作前面,因为防火墙策略是从上至下的顺序匹配的,否则拒绝在前,所有流量都被拒绝掉,任何主机都无法访问。
我们可以使用 ssh 服务来验证一下,因为ssh服务使用的就是22端口,首先使用IP地址为 192.168.157.132 的主机来访问,如下
[root@localhost ~]# ssh 192.168.157.133
ssh: connect to host 192.168.157.133 port 22: Connection refused
可以看到提示连接被拒绝了,接下来将这个ip加入iptables的允许策略中,允许这个ip访问22端口。
iptables -I INPUT -s 192.168.157.132 -p tcp --dport 22 -j ACCEPT
继续使用IP地址为192.168.157.132的主机来访问,如下
[root@localhost ~]# ssh 192.168.157.133
ssh: connect to host 192.168.157.133 port 22: Connection refused
[root@localhost ~]# ssh 192.168.157.133
The authenticity of host '192.168.157.133 (192.168.157.133)' can't be established.
ECDSA key fingerprint is 5e:a5:c3:aa:f8:b2:e9:6c:55:37:bd:aa:d8:77:68:2b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.157.133' (ECDSA) to the list of known hosts.
root@192.168.157.133's password:
Last login: Thu Mar 19 15:27:46 2020 from 192.168.157.1
可以看到已经成功连接。
8、向INPUT规则链中添加拒绝所有人访问本机8888端口的策略规则
[root@localhost ~]# iptables -I INPUT -p tcp --dport 8888 -j REJECT
[root@localhost ~]# iptables -I INPUT -p udp --dport 8888 -j REJECT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT udp -- anywhere anywhere udp dpt:ddi-udp-1 reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:ddi-tcp-1 reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.157.132 anywhere tcp dpt:ssh
ACCEPT tcp -- 192.168.157.0/30 anywhere
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
9、向INPUT规则链中添加拒绝192.168.157.128访问本机80端口的策略规则
iptables -I INPUT -s 192.168.157.128 -p tcp --dport 80 -j REJECT
10、向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则
iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
四、策略永久生效
由于使用 iptables 命令配置的防火墙策略默认会在系统下一次重启时失效,所以需要让配置的防火墙策略永久生效,执行如下命令:
[root@localhost ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[确定]
保存之后也可在 /etc/sysconfig/iptables 中查看到配置的策略,如下
觉得有帮助点个赞吧!!!最后感兴趣的可以关注下我的公众号(公众号搜索 chaodev )。
原创不易,转载请注明出处。
猜你喜欢
- 2024-11-04 /etc/passwd格式说明(etcpasswd 详解)
- 2024-11-04 centos7关闭防火墙firewalld 绝对不能在服务器上执行命令
- 2024-11-04 Linux系统搭建NFS网络文件系统,实现文件共享
- 2024-11-04 Linux上使用tinyproxy快速搭建HTTP/HTTPS代理器
- 2024-11-04 「神马课堂」Linux操作系统中主DNS服务器的配置(基于CentOS 7)
- 2024-11-04 Linux命令笔记-01(linux命令教程)
- 2024-11-04 Linux更改ssh端口的详细教程(提升系统安全)
- 2024-11-04 如何加固Linux系统?8种操作示例(linux主机加固)
- 2024-11-04 如何解决 Open /etc/postfix/main.cf: Permission denied ?
- 2024-11-04 Linux服务管理之Systemd配置详解,呕心沥血,匠心之作
- 最近发表
-
- 使用Knative部署基于Spring Native的微服务
- 阿里p7大佬首次分享Spring Cloud学习笔记,带你从0搭建微服务
- ElasticSearch进阶篇之搞定在SpringBoot项目中的实战应用
- SpringCloud微服务架构实战:类目管理微服务开发
- SpringBoot+SpringCloud题目整理
- 《github精选系列》——SpringBoot 全家桶
- Springboot2.0学习2 超详细创建restful服务步骤
- SpringCloud系列:多模块聚合工程基本环境搭建「1」
- Spring Cloud Consul快速入门Demo
- Spring Cloud Contract快速入门Demo
- 标签列表
-
- cmd/c (57)
- c++中::是什么意思 (57)
- sqlset (59)
- ps可以打开pdf格式吗 (58)
- phprequire_once (61)
- localstorage.removeitem (74)
- routermode (59)
- vector线程安全吗 (70)
- & (66)
- java (73)
- org.redisson (64)
- log.warn (60)
- cannotinstantiatethetype (62)
- js数组插入 (83)
- resttemplateokhttp (59)
- gormwherein (64)
- linux删除一个文件夹 (65)
- mac安装java (72)
- reader.onload (61)
- outofmemoryerror是什么意思 (64)
- flask文件上传 (63)
- eacces (67)
- 查看mysql是否启动 (70)
- java是值传递还是引用传递 (58)
- 无效的列索引 (74)