iptables

策略与规则链

iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:

  • 在进行路由选择前处理数据包(PREROUTING);
  • 处理流入的数据包(INPUT);
  • 处理流出的数据包(OUTPUT);
  • 处理转发的数据包(FORWARD);
  • 在进行路由选择后处理数据包(POSTROUTING)。

一般来说,从内网向外网发送的流量一般都是可控且良性的,因此我们使用最多的就是INPUT规则链,该规则链可以增大黑客人员从外网入侵内网的难度。

iptables服务的术语中分别是

  • ACCEPT(允许流量通过)
  • REJECT(拒绝流量通过)
  • LOG(记录日志信息)
  • DROP(拒绝流量通过)

    iptables中基本的命令参数

    iptables中常用的参数以及作用
参数 作用
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I

num | 在规则链的头部加入新规则 | | -D num | 删除某一条规则 | | -s | 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外 | | -d | 匹配目标地址 | | -i网卡名称 | 匹配从这块网卡流入的数据 | | -o网卡名称 | 匹配从这块网卡流出的数据 | | -p | 匹配协议,如TCP、UDP、ICMP | | —dport num | 匹配目标端口号 | | —sport num | 匹配来源端口号 |

清空防火墙规则,并且把INPUT规则链的默认策略设置为拒绝
需要注意的是,规则链的默认拒绝动作只能是DROP,而不能是REJECT。

  1. [root@localhost ~]# iptables -F
  2. [root@localhost ~]# iptables -P INPUT DROP

向防火墙的INPUT规则链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为

  1. [root@localhost ~]# iptables -I INPUT -p icmp -j ACCEPT

将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量

  1. [root@localhost ~]# iptables -I INPUT -s 192.168.91.0/24 -p tcp --dport 22 -j ACCEPT
  2. [root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
  3. [root@localhost ~]# iptables -L
  4. Chain INPUT (policy DROP)
  5. target     prot opt source               destination         
  6. ACCEPT     tcp  --  192.168.91.0/24      anywhere             tcp dpt:ssh
  7. ACCEPT     icmp --  anywhere             anywhere            
  8. REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉
让配置的防火墙策略永久生效,还要执行保存命令

  1. [root@localhost ~]# service iptables save

firewalld

firewalld中常用的区域名称及策略规则

区域 默认策略规则
trusted 允许所有的数据包
home 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal 等同于home区域
work 拒绝流入的流量,除非与流出的流量数相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量
public 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
external 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block 拒绝流入的流量,除非与流出的流量相关
drop 拒绝流入的流量,除非与流出的流量相关

终端管理工具

firewall-cmd命令中使用的参数以及作用

参数 作用
—get-default-zone 查询默认的区域名称
—set-default-zone=<区域名称> 设置默认的区域,使其永久生效
—get-zones 显示可用的区域
—get-services 显示预先定义的服务
—get-active-zones 显示当前正在使用的区域与网卡名称
—add-source= 将源自此IP或子网的流量导向指定的区域
—remove-source= 不再将源自此IP或子网的流量导向某个指定区域
—add-interface=<网卡名称> 将源自该网卡的所有流量都导向某个指定区域
—change-interface=<网卡名称> 将某个网卡与区域进行关联
—list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息
—list-all-zones 显示所有区域的网卡配置参数、资源、端口以及服务等信息
—add-service=<服务名> 设置默认区域允许该服务的流量
—add-port=<端口号/协议> 设置默认区域允许该端口的流量
—remove-service=<服务名> 设置默认区域不再允许该服务的流量
—remove-port=<端口号/协议> 设置默认区域不再允许该端口的流量
—reload 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
—panic-on 开启应急状况模式
—panic-off 关闭应急状况模式

查看firewalld服务当前所使用的区域

  1. [root@localhost ~]# firewall-cmd --get-default-zone
  2. public

查询ens33网卡在firewalld服务中的区域

  1. [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
  2. public

把firewalld服务中ens33网卡的默认区域修改为external,并在系统重启后生效。分别查看当前与永久模式下的区域名称

  1. [root@localhost ~]# firewall-cmd --permanent --zone=external --change-interface=ens33
  2. The interface is under control of NetworkManager, setting zone to 'external'.
  3. success
  4. [root@localhost ~]# firewall-cmd --permanent --get-zone-of-interface=ens33
  5. no zone
  6. [root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
  7. external

把firewalld服务的当前默认区域设置为public

  1. [root@localhost ~]# firewall-cmd --set-default-zone=public
  2. Warning: ZONE_ALREADY_SET: public
  3. success
  4. [root@localhost ~]# firewall-cmd --get-default-zone
  5. public

启动/关闭firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用)

  1. [root@localhost ~]# firewall-cmd --panic-on
  2. [root@localhost ~]# firewall-cmd --panic-off

查询public区域是否允许请求SSH和HTTPS协议的流量

  1. [root@localhost ~]# firewall-cmd --zone=public --query-service=ssh
  2. yes
  3. [root@localhost ~]# firewall-cmd --zone=public --query-service=https
  4. no

把firewalld服务中请求HTTPS协议的流量设置为永久允许,并立即生效

  1. [root@localhost ~]# firewall-cmd --zone=public --add-service=https
  2. success
  3. [root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=https
  4. success
  5. [root@localhost ~]# firewall-cmd --reload
  6. success
  7. [root@localhost ~]# firewall-cmd --zone=public --query-service=https
  8. yes

把firewalld服务中请求HTTP协议的流量设置为永久拒绝,并立即生效

  1. [root@localhost ~]# firewall-cmd --zone=public --remove-service=https --permanent
  2. success
  3. [root@localhost ~]# firewall-cmd --reload
  4. success

把在firewalld服务中访问8080和8081端口的流量策略设置为允许,但仅限当前生效

  1. [root@localhost ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
  2. success
  3. [root@localhost ~]# firewall-cmd --zone=public --list-ports
  4. 8080-8081/tcp

把原本访问本机888端口的流量转发到22端口,要且求当前和长期均有效
firewall-cmd --permanent --zone=<区域> --add-forward-port=port= <源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址> 

  1. [root@localhost ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.91.128
  2. success
  1. [c:\~]$ ssh root@192.168.91.128 888
  4. Connecting to 192.168.91.128:888...
  5. Connection established.
  6. To escape to local shell, press 'Ctrl+Alt+]'.
  8. Last login: Thu Apr 18 16:20:23 2019 from 192.168.91.1
  9. [root@localhost ~]#

firewalld中的富规则表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。比如,我们可以在firewalld服务中配置一条富规则,使其拒绝192.168.91.0/24网段的所有用户访问本机的ssh服务(22端口)

  1. [root@localhost ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule \
  2. family="ipv4" \
  3. source address="192.168.91.0/24" \
  4. service name="ssh" \
  5. reject"
  6. success
  7. [root@localhost ~]# firewall-cmd --reload
  8. success
  1. [c:\~]$ ssh root@192.168.91.128
  4. Connecting to 192.168.91.128:22...
  5. Could not connect to '192.168.91.128' (port 22): Connection failed.

服务的访问控制列表

TCP Wrappers服务的控制列表文件中常用的参数

客户端类型 示例 满足示例的客户端列表
单一主机 192.168.10.10 IP地址为192.168.10.10的主机
指定网段 192.168.10. IP段为192.168.10.0/24的主机
指定网段 192.168.10.0/255.255.255.0 IP段为192.168.10.0/24的主机
指定DNS后缀 .eagleslab.com 所有DNS后缀为.eagleslab.com的主机
指定主机名称 www.eagleslab.com 主机名称为www.eagleslab.com的主机
指定所有客户端 ALL 所有主机全部包括在内

在配置TCP Wrappers服务时需要遵循两个原则:

  • 编写拒绝策略规则时,填写的是服务名称,而非协议名称;
  • 建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。

下面编写拒绝策略规则文件,禁止访问本机sshd服务的所有流量

  1. [root@localhost ~]# vim /etc/hosts.deny 
  2. #
  3. # hosts.deny    This file contains access rules which are used to
  4. #        deny connections to network services that either use
  5. #        the tcp_wrappers library or that have been
  6. #        started through a tcp_wrappers-enabled xinetd.
  7. #
  8. #        The rules in this file can also be set up in
  9. #        /etc/hosts.allow with a 'deny' option instead.
  10. #
  11. #        See 'man 5 hosts_options' and 'man 5 hosts_access'
  12. #        for information on rule syntax.
  13. #        See 'man tcpd' for information on tcp_wrappers
  14. #
  15. #
  16. sshd:*
  1. [c:\~]$ ssh root@192.168.91.128
  4. Connecting to 192.168.91.128:22...
  5. Connection established.
  6. To escape to local shell, press 'Ctrl+Alt+]'.
  7. Connection closing...Socket close.
  9. Connection closed by foreign host.
  11. Disconnected from remote host(192.168.91.128:22) at 16:35:31.

在允许策略规则文件中添加一条规则,使其放行源自192.168.10.0/24网段,访问本机sshd服务的所有流量

  1. [root@localhost ~]# vim /etc/hosts.allow 
  2. #
  3. # hosts.allow    This file contains access rules which are used to
  4. #        allow or deny connections to network services that
  5. #        either use the tcp_wrappers library or that have been
  6. #        started through a tcp_wrappers-enabled xinetd.
  7. #
  8. #        See 'man 5 hosts_options' and 'man 5 hosts_access'
  9. #        for information on rule syntax.
  10. #        See 'man tcpd' for information on tcp_wrappers
  11. #
  12. sshd:192.168.91.