Iptables AND Firewalld

iptables与firewalld都是防火墙规则生成工具。iptables设置好策略后交由内核层面的netfilter网络过滤来处理,而firewalld设置好策略后交由内核层面的nftables包过滤框架来管理。

1. iptables防火墙

  • 表和链
    四表:filter表(过滤),nat表(地址转换),mangle表(拆、改、封),raw表。

    五链:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

  • 执行动作
    ACCEPT,DROP,REJECT,DNAT,SNAT,REDIRECT,MASQUERADE,LOG,MARK

  • 常用选项
    A 在链尾添加一条新的规则
    I 插入一条新的规则,默认插入到第一条
    D 删除指定的规则
    R 替换指定的规则
    F 清空规则
    P 设定制定规则连的默认策略
    N 定义一个新的空链
    X 删除一个自定义链
    Z 将指定规则连中的规则置零
    E 重命名一条自定义的链
    L 查看规则(-n 以数字形式显示ip地址和端口;-v 显示详细信息;-x 显示精确值;--line-numbers 显示序号)

  • 匹配项
    通用匹配项:
    -s,--src 源ip地址
    -d.--dst 目标ip地址
    -p 指定协议
    -i [网卡名] 指定报文流入的接口
    -o [网卡名] 指定报文流出的接口
    -j 规则对应的动作
    隐含扩展
    -p tcp --sport 指定源端口
    -p tcp --dport 指定目标端口
    -p ICMP --icmp-type 0/8 0位响应报文,8为请求报文。
    显式扩展
    -m [扩展名] [选项]
    -m state --state [会话连接状态] -j [动作] 对处于某个会话状态的连接执行相应的动作

四种连接状态:
NEW:新的连接
ESTABLISHED:已经建立的连接
INBALID:非法连接/无效连接
RELATED:相关联的连接。如ftp命令连接状态。
  • 规则的保存
service iptables save
  • 案例
    添加防火墙规则使ftp主、被动模式能够正常被访问
    分析:
    主动模式 :首先客户端随机端口请求ftp服务端的21号命令端口,ftp服务器的20号端口主动连接客户端的随机数据端口。故此,在ftp服务器上添加防火墙规则为
没有添加规则之前:
[root@ftp-server ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:22 

添加规则:
[root@ftp-server ~]# iptables -t filter -I INPUT 2 -p tcp --dport 21 -j ACCEPT
[root@ftp-server ~]# iptables -t filter -I OUTPUT 2 -p tcp --sport 21 -j ACCEPT
[root@ftp-server ~]# iptables -t filter -I OUTPUT 3 -p tcp --sport 20 -j ACCEPT
[root@ftp-server ~]# iptables -t filter -I INPUT 3 -p tcp --dport 20 -j ACCEPT
在客户端访问测试:
[root@ftp-client ~]# ftp 10.1.1.20
Connected to 10.1.1.20 (10.1.1.20).
220 (vsFTPd 2.2.2)
Name (10.1.1.20:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> passive              #关闭了被动模式
Passive mode off.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 Mar 01  2013 pub
226 Directory send OK.

查看规则:
[root@ftp-server ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:22 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20 

被动模式:客户端开启一个大于1024的随机命令端口去连接ftp服务器的21号命令端口,客户端再开启一个大于1024的随机数据端口去连接服务器上的一个大于1024的随机数据端口。故此,在ftp服务器首先要先规定好一个随机数据端口的范围(3000~3005),然后添加防火墙规则。

命令行连接方式与主动模式相同,故省略。
[root@ftp-server ~]# vim /etc/vsftpd/vsftpd.conf
pasv_min_port=3000
pasv_max_port=3005

重启ftp服务:
[root@ftp-server ~]# service vsftpd restart

添加规则:
[root@ftp-server ~]# iptables -I INPUT 4 -p tcp --dport 3000:3005 -j ACCEPT
[root@ftp-server ~]# iptables -I OUTPUT 4 -p tcp --sport 3000:3005 -j ACCEPT

客户端访问测试:
ftp> passive              #开启被动模式
Passive mode on.
ftp> ls
227 Entering Passive Mode (10,1,1,20,11,186).
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 Mar 01  2013 pub
226 Directory send OK.
[root@ftp-server ~]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:20 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpts:3000:3005 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:22 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:21 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spt:20 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp spts:3000:3005 

规则优化

[root@ftp-server ~]# iptables -A INPUT -p tcp -m multiport --dports 22,20,21,3000:3005 -j ACCEPT 
[root@ftp-server ~]# iptables -A OUTPUT -p tcp -m multiport --sports 22,20,21,3000:3005 -j ACCEPT 
[root@ftp-server ~]# iptables -L -n --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 22,20,21,3000:3005 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 22,20,21,3000:3005 

除上述方法外,还可以调用iptables的conntrack模块来解决ftp服务被动模式规则。不过首先要将命令端口添加到防火墙规则。

打开iptables配置文件添加模块
[root@ftp-server ~]# vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="nf_conntrack_ftp"
重启iptables服务
[root@ftp-server ~]# service iptables restart
[root@ftp-server ~]# iptables -I INPUT -p tcp -m multiport --dports 21,22 -j ACCEPT
[root@ftp-server ~]# iptables -I OUTPUT -p tcp -m multiport --sports 21,22 -j ACCEPT
[root@ftp-server ~]# iptables -I INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@ftp-server ~]# iptables -I OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@ftp-server ~]# service iptables save

客户端访问测试:
[root@ftp-client ~]# ftp 10.1.1.20
Connected to 10.1.1.20 (10.1.1.20).
220 (vsFTPd 2.2.2)
Name (10.1.1.20:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (10,1,1,20,11,187).
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 Mar 01  2013 pub
226 Directory send OK.
ftp> passive
Passive mode off.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 Mar 01  2013 pub
226 Directory send OK.

查看规则:
[root@ftp-server ~]# iptables -L -n --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 21,22 
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 21,22 
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  • NAT表实现源地址转换和目标地址转换
    源地址转换:以局域网内某台主机访问外网为例
    要访问外网的主机server01:10.1.1.20(仅主机)
    作为路由转发的主机(可以访问外网)server02:10.1.1.21(仅主机) 10.2.2.99(NAT)
1:在server02 开启路由转发功能
[root@server02 ipv4]# echo 1 > /proc/sys/net/ipv4/ip_forward
2:在server02 添加防火墙策略
[root@server02 ipv4]# iptables -t nat -I POSTROUTING -s 10.1.1.20 -j SNAT --to 10.2.2.99
3:将server01 的网关指向server02
[root@server01 ~]# route add default gw 10.1.1.21
4:在server01上ping 8.8.8.8测试
[root@server01 ~]# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=127 time=203 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=127 time=205 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=127 time=208 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2376ms
rtt min/avg/max/mdev = 203.127/205.624/208.274/2.104 ms

另外,在开启路由转发的前提下,也可以直接在server02添加地址伪装策略实现server01访问外网。

[root@server02 ipv4]# iptables -t nat -I POSTROUTING -s 10.1.1.20 -j MASQUERADE

目标地址转换:
server01:内网web服务主机 10.1.1.20
server02:作为路由转发的主机 10.1.1.21 11.11.11.11
server03:模拟外网主机 11.11.11.12

1:在server01 搭建web服务
[root@server01 ~]# yum -y install httpd httpd-devel
2:创建首页测试文件并启动web服务,并在本机测试访问。
[root@server01 ~]# echo "server01 for test" > /var/www/html/index.html
[root@server01 ~]# service httpd start
[root@server01 ~]# curl 10.1.1.20
server01 for test
3:在server03访问测试:
[root@server03 ~]# curl 10.1.1.20
curl: (7) Failed to connect to 10.1.1.20: 网络不可达
4:在server02开启目标地址转发,开启路由转发功能:
[root@server02 ~]# iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 10.1.1.20
[root@server02 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
5:在server01指定网关为10.1.1.21:
[root@server01 ~]# route del default gw 10.1.1.21
6:在server03访问测试:
[root@server03 ~]# curl 11.11.11.11
server01 for test

2. Firewall防火墙

  • 域(zone)
    zone是指规则集,可以预先制定规则集,以后可以随意切换只用。
    查看所有的zone:
[root@server03 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
[root@server03 ~]# firewall-cmd --list-all-zones
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
    

dmz
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  ...

查看当前默认zone:

[root@server03 ~]# firewall-cmd --get-default-zone
public

更改默认zone:

[root@server03 ~]# firewall-cmd --set-default-zone=home
success
[root@server03 ~]# firewall-cmd --get-default-zone
home
  • 端口(port)
    通过端口来制定防火墙策略
1:查看当前规则集下的策略:
[root@server03 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33 ens37
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
2:当前规则集允许tcp80端口通过(删除该端口只需将 --add 改为 --remove 即可)
[root@server03 ~]# firewall-cmd --add-port=80/tcp
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33 ens37
  sources: 
  services: ssh dhcpv6-client
  ports: 80/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
3:添加多个连续的端口:
[root@server03 ~]# firewall-cmd --add-port=3333-4444/tcp
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33 ens37
  sources: 
  services: ssh dhcpv6-client
  ports: 80/tcp 3333-4444/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
  • 服务(service)
    firewall支持通过添加指定的服务来指定防火墙规则,这样例如ftp这样的服务就不用担心端口的问题了。
[root@server03 ~]# firewall-cmd --add-service=http
success
[root@server03 ~]# firewall-cmd --add-service=ftp
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33 ens37
  sources: 
  services: ssh dhcpv6-client http ftp
  ports: 80/tcp 3333-4444/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
  • 富规则(rich-rule)
    精细化的制定规则策略
1:不允许10.1.1.22访问本机http服务
[root@server03 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address=10.1.1.22 service name="http" drop'
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33 ens37
  sources: 
  services: ssh dhcpv6-client http ftp samba
  ports: 80/tcp 3333-4444/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
    rule family="ipv4" source address="10.1.1.22" service name="http" drop
2: 允许11.11.11.11访问本机http服务,但每分钟只允许有两次连接。
[root@server03 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address=11.11.11.11 service name="http" limit value=2/m accept'
success
[root@server03 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33 ens37
  sources: 
  services: ssh dhcpv6-client http ftp samba
  ports: 80/tcp 3333-4444/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
    rule family="ipv4" source address="10.1.1.22" service name="http" drop
    rule family="ipv4" source address="11.11.11.11" service name="http" accept limit value="2/m"
  • runtime模式和permanent模式
    runtime模式为默认模式,规则制定后立即生效,重启firewalld服务则规则失效
    permanent模式,规则不会立即生效,重启firewalld服务后才生效。
[root@server03 ~]# firewall-cmd --add-service=nfs
success
[root@server03 ~]# firewall-cmd --permanent --add-service=ntp
success
[root@server03 ~]# 
[root@server03 ~]# systemctl restart firewalld
[root@server03 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33 ens37
  sources: 
  services: ssh dhcpv6-client ntp
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

一般在写规则的时候不用指定模式,在写完所有规则后执行下面命令即可保存

[root@server03 ~]# firewall-cmd --runtime-to-permanent
success
  • 重载
    若使用了permanent模式,需要重载firewalld服务。
[root@server03 ~]# firewall-cmd --reload
success
  • 禁行模式(panic)
    开启该模式后,所有进出的包都将被丢弃。
1:查看是否开启了panic模式
[root@server03 ~]# firewall-cmd --query-panic
no
2:开启panic模式
[root@server03 ~]# firewall-cmd --panic-on
3:关闭panic模式
[root@server03 ~]# firewall-cmd --panic-off
  • 开启图形化配置模式
[root@server03 ~]# firewall-config
  • firewall实现源地址转换和目标地址转换

开启源地址转换命令(如前文中iptables情景中)

[root@server03 ~]# firewall-cmd --add-masquerade 
success

开启目标地址转换命令(如前文iptables情景中)

[root@server03 ~]# firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=10.1.1.20
success
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,904评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,581评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,527评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,463评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,546评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,572评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,582评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,330评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,776评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,087评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,257评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,923评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,571评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,192评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,436评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,145评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,127评论 2 352

推荐阅读更多精彩内容