防火墙
一、iptables
基于数据链路层的防火墙服务,将配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理。
防火墙策略一般设置两种:一种是放行,一种是阻止。
iptables规则链根据数据包处理位置的不同进行分类:
- 在进行路由选择前处理数据包(PREROUTING)
- 处理流入的数据包(INPUT)
- 处理流出的数据包(OUTPUT)
- 处理转发的数据包(FORWARD)
- 在进行路由选择后处理数据包(POSTROUTING)
对于命中的数据流量,iptables服务有四种操作:
- ACCEPT——允许流量通过
- REJECT——有respond的拒绝流量通过
- LOG——记录日志信息
- DROP—— 无respond的拒绝流量通过
iptables中常用的参数及作用
| 参数 | 作用 |
| -P | 设置默认策略 |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -A | 在规则链尾部加入新规则 |
| -I | 在规则链头部加入新规则 |
| -D | 删除某条规则 |
| -s | 匹配来源地址IP/MASK,加“!”表示除这个IP外 |
| -d | 匹配目标地址 |
| -i 网卡名称 | 匹配从该网卡流入的数据包 |
| -o 网卡名称 | 匹配从该网卡流出的数据包 |
| -p | 匹配协议 |
| -j 执行动作 | 匹配规则后,执行处理数据包的动作 |
| --dport | 匹配目的端口号 |
| --sport | 匹配源端口号 |
tips:规则链的默认拒绝动作只能是DROP,而不能是REJECT
二、firewall
firewall支持动态更新技术并加入了区域(zone)。firewalld服务把配置好的防火墙策略交由内核层面的nftables包过滤框架处理。
firewalld中常用的区域名称及策略规则
| 区域 | 默认策略规则 |
| trusted | 允许所有的数据包 |
| home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量 |
| internal | 等同于home区域 |
| work | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量 |
| public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量(当前正在使用的默认区域) |
| external | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| dmz | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| block | 拒绝流入的流量,除非与流出的流量相关 |
| drop | 拒绝流入的流量,除非与流出的流量相关 |
1.firewall-cmd 命令
firewall-cmd命令中使用的参数及作用
| 参数 | 作用 |
| --get-default-zone | 查询默认的区域名称 |
| --set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
| --get-zones | 显示可用的区域 |
| --add-source= | 将源自此IP或子网的流量导向指定的区域 |
| --remove-source= | 不再将源自此IP或子网的流量导向某个指定区域 |
| --add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
| --list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| --list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
| --add-service=<服务名> | 设置默认区域允许该服务的流量 |
| --add-port=<端口号/协议> | 设置默认区域允许该端口的流量 |
| --remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
| --remove-port=<端口号/协议> | 设置默认区域不再允许该端口的流量 |
| --reload | 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则 |
| --panic-on | 开启应急状况模式(断网) |
| --panic-off | 关闭应急状况模式 |
firewalld服务又分为运行模式(Runtime)和永久模式(Permanent)。
- Runtime:当前生效。仅当前生效,重启后失效。
- Permanent:永久生效。当前并不生效,重启才能生效。
2.firewall-config 图形化
图形化firewall配置。
三、TCP Wrappers
TCP Wrappers服务是允许或禁止Linux系统提供服务的防火墙。TCP Wrappers服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;如果没有匹配,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到,则默认放行流量。
配置TCP Wrappers服务时,需要遵循的两个原则:
- 编写拒绝策略规则时,填写的是服务名称,而非协议名称;
- 建议先编写拒绝策略规则,在编写允许策略规则。
tips:/etc/services文件中 包含所有的服务,及所有端口号,协议,介绍
来源:oschina
链接:https://my.oschina.net/u/4450343/blog/3194804