Linux中配置 firewalld 防火墙与 iptables

  1. iptables 早期的 Linux 系统中,默认使用的是 iptables 防火墙管理服务来配置防火墙。
  2. 服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则 链,而规则链则依据数据包处理位置的不同进行分类
➢ 在进行路由选择前处理数据包(PREROUTING);
 ➢ 处理流入的数据包(INPUT); 
➢ 处理流出的数据包(OUTPUT);
 ➢ 处理转发的数据包(FORWARD); 
➢ 在进行路由选择后处理数据包(POSTROUTING)

从内网向外网发送的流量一般都是可控且良性的,因此我们使用最多的就是 INPUT 规则链,该规则链可以增大黑客人员从外网入侵内网的难度。

  1. iptables 中基本的命令参数

iptables 是一款基于命令行的防火墙策略管理工具,具有大量参数,学习难度较大。
iptables 命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配, 一旦匹配成功,iptables 就会根据策略规则所预设的动作来处理这些流量。

防火墙策略规则的匹配顺序是从上至下的,因此要把较为严格、优先级较高的策略规则 放到前面,以免发生错误。

-P 设置默认策略 
-F 清空规则链 
-L 查看规则链 
-A 在规则链的末尾加入新规则 
-I num 在规则链的头部加入新规则
 -D num 删除某一条规则 
-s 匹配来源地址 IP/MASK,加叹号“!”表示除这个 IP 外 
-d 匹配目标地址 
-i 网卡名称 匹配从这块网卡流入的数据 
-o 网卡名称 匹配从这块网卡流出的数据 
-p 匹配协议,如 TCP、UDP、ICMP 
--dport num 匹配目标端口号 
--sport num 匹配来源端口号

3.firewalld
firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命 令行界面)和基于GUI(图形用户界面)的两种管理方式。

trusted  允许所有的数据包 
home   拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh、mdns、ipp-client、 amba-client 与 dhcpv6-client 服务相关,则允许流量 
internal 等同于 home 区域 
work 拒绝流入的流量,除非与流出的流量数相关;而如果流量与 ssh、ipp-client 与 dhcpv6-client 服务相关,则允许流量 
public 拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh、dhcpv6-client 服务 相关,则允许流量 
external 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh 服务相关,则允许流量 
dmz 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh 服务相关,则允许流量 
block 拒绝流入的流量,除非与流出的流量相关 
drop 拒绝流入的流量,除非与流出的流量相关 

4.服务的访问控制列表
TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址 与本机的目标服务程序作出允许或拒绝的操作。换句话说,Linux 系统中其实有两个层面的防火 墙,第一种是前面讲到的基于 TCP/IP 协议的流量过滤工具,而 TCP Wrappers服务则是能允许或 禁止 Linux系统提供服务的防火墙,从而在更高层面保护了Linux系统的安全运行。
TCP Wrappers服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文 件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表 文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应 的允许策略则放行流量;如果没有匹配,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若 找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到,则默认放行流量。

单一主机       192.168.10.10          IP 地址为 192.168.10.10 的主机 
指定网段       192.168.10.             IP 段为 192.168.10.0/24 的主机 
指定网段       192.168.10.0/255.255.255.0       IP 段为 192.168.10.0/24 的主机 
指定 DNS 后缀     .linuxprobe.com               所有DNS后缀为.linuxprobe.com的主机 
指定主机名称        www.linuxprobe.com      主机名称为 www.linuxprobe.com的主机 
指定所有客户端     ALL                                   所有主机全部包括在内 
Last modification:October 13th, 2019 at 04:36 pm
如果觉得我的文章对你有用,请随意赞赏

Leave a Comment