网络安全与防火墙

第八章 网络安全与防火墙

一.iptables基本操作

1.1 iptables简介

iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。

“四表”是指 iptables 的功能,默认的 iptables规则表有 filter 表(过滤规则表)、nat 表(地址转换规则表)、mangle(修改数据标记位规则表)、raw(跟踪数据表规则表):

  • filter 表:控制数据包是否允许进出及转发,可以控制的链路有 INPUT、FORWARD 和 OUTPUT。
  • nat 表:控制数据包中地址转换,可以控制的链路有 PREROUTING、INPUT、OUTPUT 和 POSTROUTING。
  • mangle:修改数据包中的原数据,可以控制的链路有 PREROUTING、INPUT、OUTPUT、FORWARD 和 POSTROUTING。
  • raw:控制 nat 表中连接追踪机制的启用状况,可以控制的链路有 PREROUTING、OUTPUT。

“五链”是指内核中控制网络的 NetFilter 定义的 5 个规则链。每个规则表中包含多个数据链:INPUT(入站数据过滤)、OUTPUT(出站数据过滤)、FORWARD(转发数据过滤)、PREROUTING(路由前过滤)和POSTROUTING(路由后过滤),防火墙规则需要写入到这些具体的数据链中。

Linux 防火墙的过滤框架,如图 1 所示。

可以看出,如果是外部主机发送数据包给防火墙本机,数据将会经过 PREROUTING 链与 INPUT 链;如果是防火墙本机发送数据包到外部主机,数据将会经过 OUTPUT 链与 POSTROUTING 链;如果防火墙作为路由负责转发数据,则数据将经过 PREROUTING 链、FORWARD 链以及 POSTROUTING 链。

iptables语法格式
iptables 命令的基本语法格式如下:

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

各参数的含义为:

  • -t:指定需要维护的防火墙规则表 filter、nat、mangle或raw。在不使用 -t 时则默认使用 filter 表。
  • COMMAND:子命令,定义对规则的管理。
  • chain:指明链表。
  • CRETIRIA:匹配参数。
  • ACTION:触发动作。
  • iptables 命令常用的选项及各自的功能如表 2 所示
选 项 功 能
-A 添加防火墙规则
-D 删除防火墙规则
-I 插入防火墙规则
-F 清空防火墙规则
-L 列出添加防火墙规则
-R 替换防火墙规则
-Z 清空防火墙数据表统计信息
-P 设置链默认规则

1.2 iptables基本操作例子

1.查看filter表的所有规则

[root@gzh-cs8 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

2.查看nat表的所有规则

[root@gzh-cs8 ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

因为我们并没有对iptables做什么配置所有他不会显示表的规则, centos8默认是firewalld作为默认防火墙的.

3.拒绝进入防火墙的所有ICMP协议数据包

[root@gzh-cs8 ~]# iptables -I INPUT -p icmp -j REJECT
[root@gzh-cs8 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

修改以后我们再查看规则就可以看到我们新加的这个规则了.

4.向filter表插入一条新的入栈规则,丢弃192.168.88.138主机发送给防火墙本机的所有数据包.

[root@gzh-cs8 ~]# iptables -A INPUT -s 192.168.88.138 -j DROP
[root@gzh-cs8 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
DROP       all  --  192.168.88.138       0.0.0.0/0

从规则中可以知道只要是192.168.88.138来的数据包都会drop

5.修改filter表中INPUT链的默认规则为接受数据包.

[root@gzh-cs8 ~]# iptables -t filter -P INPUT ACCEPT

6.丢弃外网接口(ens160)进入防火墙本机的源地址为私网地址的数据包

[root@gzh-cs8 ~]# iptables -A INPUT -i ens160 -s 192.168.0.0/16 -j DROP
[root@gzh-cs8 ~]# iptables -A INPUT -i ens160 -s 172.16.0.0/12 -j DROP
[root@gzh-cs8 ~]# iptables -A INPUT -i ens160 -s 10.0.0.0/8 -j DROP

运行完第一个你会发现你的ssh连不上了哈哈哈🤣,为什么呢他设置了不允许该段的主机访问,做完以后在虚拟机改回来就行.

删除刚才加的那个规则,看是第几条规则再删别删错了.

[root@gzh-cs8 ~]# iptables -D INPUT 3

二.firewalld基本操作

2.1firewalld简介

firewalld是自CentOS 7以来带有一个动态的、可定制而无需重新启动防火墙守护程序或服务。firewall-cmd就是iptables/nftable的前端。在CentOS 8中,nftables取代iptables成为默认的Linux网络包过滤框架。本文介绍如何为您的CentOS 8设置防火墙,并借助firewall-cmd管理工具进行管理。

在CentOS7之后,当你使用firewalld时,有两个基本概念,你必须要知道的

  • 服务(service)
  • 区域(zone)

在传统的iptables基于规则的顺序的匹配先后顺序来多数据包进行处理,处理的动作基本上非黑即白这个逻辑,因此iptables的基于规则列表的运行机制相对固化,缺少灵活性。而firewalld将传入的流量分类到由源IP和/或网络接口定义的区域中。每个区域都有的配置,可以根据指定的标准接受或拒绝数据包。

firewalld不仅打破来规则列表固化的先后顺序,而且将以往iptables规则中的tcp/ip信息,使用了一个叫service(服务)来独立封装在一个xml文本中,让使用者更加容易记忆和理解.

什么叫service?粗暴地说,就是应用协议,而与该协议相关的应用能为你做什么。
例如,我上网经常用到tcp协议的80端口和443端口,还有域名解析要用到udp协议的35端口,访问共享文件夹需要用到udp端口的137和138端口,OK,我们这些常用的应用,firewalld都已经内置了。因此在防火墙的配置和管理会变得简单以及人性化。

而理解区域就更简单了,就是对各种内置服务预分组的集合。您可以通过运行以下ls命令查看所有区域,没错,区域也是以XML文档内容预定义在Linux系统中的:

[root@gzh-cs8 ~]# ls -l /usr/lib/firewalld/zones/
总用量 40
-rw-r--r--. 1 root root 299 2月   4 2021 block.xml
-rw-r--r--. 1 root root 293 2月   4 2021 dmz.xml
-rw-r--r--. 1 root root 291 2月   4 2021 drop.xml
-rw-r--r--. 1 root root 304 2月   4 2021 external.xml
-rw-r--r--. 1 root root 397 2月   4 2021 home.xml
-rw-r--r--. 1 root root 412 2月   4 2021 internal.xml
-rw-r--r--. 1 root root 729 2月   1 2021 nm-shared.xml
-rw-r--r--. 1 root root 343 2月   4 2021 public.xml
-rw-r--r--. 1 root root 162 2月   4 2021 trusted.xml
-rw-r--r--. 1 root root 339 2月   4 2021 work.xml

2.2 了解预定义区域

1.获取所有可用的区域

[root@gzh-cs8 ~]# firewall-cmd --get-zones 
block dmz drop external home internal nm-shared public trusted work
  • block–拒绝所有传入的网络连接。仅从系统内部启动的网络连接是可能的。
  • dmz –经典非军事区(DMZ)区域,它提供对LAN的有限访问,并且仅允许选定的传入端口。
  • drop –丢弃所有传入网络连接,并且仅允许传出网络连接。
  • external-对于路由器连接类型很有用。您还需要LAN和WAN接口,以使伪装(NAT)正常工作。
  • home –适用于您信任其他计算机的局域网内的家用计算机,例如笔记本电脑和台式机。仅允许选择的TCP / IP端口。
  • internal–当您主要信任LAN上的其他服务器或计算机时,用于内部网络。
  • public–您不信任网络上的任何其他计算机和服务器。您仅允许所需的端口和服务。对于云服务器或您所托管的服务器,请始终使用公共区域。
  • trust–接受所有网络连接。我不建议将该区域用于连接到WAN的专用服务器或VM。
  • work–在信任同事和其他服务器的工作场所中使用。

2.如何查找您的默认区域

默认区域为public,所有网络接口都分配给此区域,用户可以将网络接口和源分配给区域。其中一个区域设置为默认区域。

获取默认区域运行

[root@gzh-cs8 ~]# firewall-cmd --get-default-zone 
public
# 查看活动区域和分配给它们的网络接口
[root@gzh-cs8 ~]# firewall-cmd --get-active-zones 
public
  interfaces: ens160

3.查看与公共区域关联的防火墙规则或服务

[root@gzh-cs8 ~]# firewall-cmd --list-all 
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

2.3区域的target

这个跟iptables的target是相似的,它可以设置为以下选项之一:

  • default:不做任何事情
  • ACCEPT:接受数据包
  • REJECT 拒绝数据包,返回拒绝的信息
  • DROP:丢弃数据包,并且不做任何答应

要设置区域的target,使用–zone选项指定区域,–set-target选项指定目标。

例如,要将公共区域的目标更改为DROP

[root@gzh-cs8 ~]# firewall-cmd --zone=public --set-target=DROP

2.4创建新的区域

firewalld还可以您创建自己的区域。

示例:创建一个名为memcached的新分区,打开端口11211,并仅允许从IP地址192.168.88.138进行访问:

firewall-cmd --new-zone=visitors --permanent

放某些端口和添加

firewall-cmd --zone=visitors --add-port=80/tcp --permanent 
firewall-cmd --zone=visitors --add-port=53/tcp --permanent
firewall-cmd --zone=visitors --add-source=192.168.88.138/24 --permanent

重新加载Firewalld:

firewall-cmd --reload

2.5服务(services)

服务只不过是本地端口、协议、源端口、目的地和防火墙助手模块的列表。举个例子,服务器就是包含一组tcp/ip协议细节的集合:

  • 端口: 443,21或22
  • 服务: ssh,http或https
  • 协议: tcp/udp/icmp

我们可以查看一下防火墙所支持的服务类型

[root@gzh-cs8 ~]# firewall-cmd --get-services 
RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

如何查看当前区域允许哪些服务

[root@gzh-cs8 ~]# firewall-cmd --list-service 
cockpit dhcpv6-client ssh

以上命令表明我的默认区域是public的,并且我允许CentOS 8/RHEL 8上的传入SSH连接(端口22)、dhcpv6-client和cockpit服务端口。默认情况下会丢弃所有其他流量。

如果CentOS 8上配置nginx,我需要使用firewall-cmd打开端口80/443。假设您不需要cockpit或dhcpv6-client等不必要的服务,可以通过修改规则将其删除。例如,删除服务dhcpv6-client和cockpit:

[root@gzh-cs8 ~]# firewall-cmd --remove-service=cockpit --permanent firewall-cmd --remove-service=dhcpv6-client --permanent firewall-cmd --reload

运行时Firewalld配置更改是临时的。当您重新启动CetnOS8服务器时,它们就消失了。例如,以下命令将临时打开Nginx/Apache Web服务器的TCP端口80/443(Https):

[root@gzh-cs8 ~]# firewall-cmd --zone=public --add-service=http firewall-cmd --zone=public --add-service=https

当您重新启动Linux机器或重新启动Firewalld服务本身时,不会保留上述规则。

如何将规则添加到永久集并重新加载Firewalld?只需将添加–permanent参数即可

[root@gzh-cs8 ~]# firewall-cmd --zone=public --add-service=http --permanent firewall-cmd --zone=public --add-service=https --permanent firewall-cmd --reload

如何拒绝/阻止TCP/UDP端口/协议

[root@gzh-cs8 ~]# firewall-cmd --zone=public --remove-port=23/tcp --permanent

开放源IP

要允许来自特定IP地址(或范围)的所有传入流量,请使用–zone选项指定区域,并使用–add-source选项指定源IP。例如,要允许公共区域中来自192.168.172.32的所有传入流量,请运行:

[root@gzh-cs8 ~]# firewall-cmd --zone=public --add-source=192.168.88.138