防火墻：
保證數(shù)據(jù)的安全性是繼數(shù)據(jù)可用性之后的最為重要的一項工作

防火墻作為公網(wǎng)和內(nèi)網(wǎng)之間的保護屏障

防火墻種類：
硬件防火墻：網(wǎng)關(guān)服務(wù)器
軟件防火墻：裝在操作系統(tǒng)中的軟件

防火墻管理工具
主要功能：依據(jù)策略對穿越防火墻的自身流量進行過濾。

在centos和RHEL系統(tǒng)中：
firewalld：7版本以上(centos7.x,RHEL7.x)
iptables：6版本(centos6.x,RHEL6.x)

注：iptables和firewalld都不是真正的防火墻，他們都只是定義防火墻策略的防火墻管理工具而已，或者說，他們只是一種服務(wù)

firewalld和iptables的區(qū)別：
iptables服務(wù)會把配置好的防火墻策略交給內(nèi)核層的
netfilter網(wǎng)絡(luò)過濾器來處理

firewalld服務(wù)會把配置好的防火墻策略交給內(nèi)核層的nftables包過濾框架來處理

firewalld和iptables的區(qū)別：

	firewalld	iptables
配置文件	/usr/lib/firewalld/ 和 /etc/firewalld/	/etc/sysconfig/iptables
對規(guī)則的修改	不需要全部刷新策略，不丟失現(xiàn)行連接	需要全部刷新策略，丟失連接
防火墻類型	動態(tài)防火墻	靜態(tài)防火墻

第一個防火墻管理工具——firewalld

centos1版本以上默認使用的防火墻配置管理工具

擁有基于CLI（命令行界面）和GUI（圖形化用戶界面）兩種管理方式。

定義：基于firewalld服務(wù)的防火墻會查詢每個網(wǎng)絡(luò)數(shù)據(jù)包的頭部。
依據(jù)頭部中包含的信息，可以配置規(guī)則來過濾每個數(shù)據(jù)包。

通過網(wǎng)絡(luò)發(fā)送信息的過程：
信息在通過網(wǎng)絡(luò)發(fā)送之前，會被分解成更小的單元（稱為數(shù)據(jù)包）。
數(shù)據(jù)包：數(shù)據(jù)類型、源ip地址、目標(biāo)ip地址，還有源端口。

數(shù)據(jù)包通過網(wǎng)絡(luò)到達目的地，防火墻會檢查每一個數(shù)據(jù)包的頭部的字段，按照已配置好的規(guī)則，去采取以下動作：
1、允許數(shù)據(jù)包進入系統(tǒng)
2、如果當(dāng)前系統(tǒng)時網(wǎng)絡(luò)間的網(wǎng)關(guān)或者路由器，則將數(shù)據(jù)包轉(zhuǎn)發(fā)給其他系統(tǒng)
3、對數(shù)據(jù)包的傳輸速率進行限制
4、拒絕數(shù)據(jù)包，并給原始ip地址發(fā)送一條消息
5、丟棄數(shù)據(jù)包，并且不發(fā)送任何類型的信息。

-----------------------以上都是有關(guān)firewalld的基本概念-------------------------------

站在用戶的角度思考問題，與客戶深入溝通，找到咸豐網(wǎng)站設(shè)計與咸豐網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、國際域名空間、雅安服務(wù)器托管、企業(yè)郵箱。業(yè)務(wù)覆蓋咸豐地區(qū)。

相較于傳統(tǒng)的防火墻管理工具，firewalld支持動態(tài)更新技術(shù)，并加入了區(qū)域（zone）的概念

簡單來說，firewalld基于區(qū)域，區(qū)域就是firewalld預(yù)先準(zhǔn)備了幾套防火墻策略的結(jié)合（策略模板），用戶可以根據(jù)生產(chǎn)環(huán)境場景的不同選擇合適的策略集合

常見區(qū)域：

drop（丟棄）	任何接收的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄，沒有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接
block（限制）	任何接收的網(wǎng)絡(luò)連接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohited信息所拒絕
public（公共）	在公共區(qū)域內(nèi)使用，不能相信網(wǎng)絡(luò)的其他計算機不會對寧的計算機造成危害，只能接收經(jīng)過選取的連接
external（外部）	特別是為路由器啟用了偽裝功能的外部網(wǎng)。您不能信任來自網(wǎng)絡(luò)的其他計算，不能相信他們不會對您的計算機造成危害，只能接收經(jīng)過選擇的連接
dmz（非軍事區(qū)）	用于您的非軍事區(qū)內(nèi)的電腦，此區(qū)域內(nèi)可公開訪問，可以有限地進入您的內(nèi)部網(wǎng)絡(luò)，僅僅接收經(jīng)過選擇的連接
work（工作）	用于工作區(qū)。您可以基本相信網(wǎng)絡(luò)內(nèi)的其他電腦不會危害您的電腦。僅僅接收過選擇的連接
home（家庭）	用于家庭網(wǎng)絡(luò)。您可以基本信任網(wǎng)絡(luò)內(nèi)的其他計算機不會危害您的計算機。僅僅接收經(jīng)過選擇的連接
internal（內(nèi)部）	用于內(nèi)部網(wǎng)絡(luò)。您可以基本上信任網(wǎng)絡(luò)內(nèi)的其他計算機。僅僅接收經(jīng)過限制的連接
trusted（信任）	可接收所有的網(wǎng)絡(luò)連接

9大區(qū)域：trusted  home  internal  work  public  external  dmz  block  drop

常見區(qū)域元素：

interfaces（接口）網(wǎng)卡	與區(qū)域相關(guān)的網(wǎng)絡(luò)接口
sources（源地址）	與區(qū)域相關(guān)的源ip地址
services（服務(wù)）	允許通過區(qū)域的入戰(zhàn)服務(wù)
ports（端口）	允許通過區(qū)域的目標(biāo)端口
protocols（協(xié)議）	目標(biāo)端口的協(xié)議，tcp、udp
masquerade（偽裝）	指定是否啟用源網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）
forward-ports（轉(zhuǎn)發(fā)端口）	端口轉(zhuǎn)發(fā)規(guī)則（將發(fā)送給本地端口的流量映射到同一臺或另一臺主機上的其他端口上）
source-ports（源端口）
icmp-blocks（ICMP堵塞）	用于堵塞ICMP信息
rich rules（福規(guī)則）	寫高級的防火墻規(guī)則

注：如果使用多個區(qū)域的話，必須有關(guān)聯(lián)源地址或接口

firewalld擁有兩種配置模式：
1、運行時配置（runtime）  當(dāng)前生效模式，重啟會生效
2、永久配置模式（permanent） 不會立即生效，只會重新啟動或者重加載才會生效。

firewalld配置方法：
1、firewall-cmd  命令行，終端管理工具
2、firewall-config  圖形化界面工具
3、/etc/firewalld中的配置文件
/etc/firewalld：用戶自定義配置文件存放目錄，可以在、/usr/lib/firewalld中拷貝模板，優(yōu)先讀取
/usr/bil/firewalld：默認配置文件

firewalld操作：
查看：
firewall-cmd --get-區(qū)域元素名        //查看指定的元素有哪些
firewall-cmd --get-default-zone      //查看firewall默認區(qū)域
firewall-cmd --set-default-zone=區(qū)域名     //設(shè)置firewalld默認區(qū)域
firewalld默認區(qū)域是public區(qū)域
firewall-cmd --get-zones          //列出所有fiewalld區(qū)域
注：firewall-cmd  是firewalld防火墻配置管理工具CLI版本使用的命令

永久生效：
firewall-cmd --set-default-zone=區(qū)域名 --permanent

firewall-cmd --get-active-zone      //查看當(dāng)前正在運行的區(qū)域

網(wǎng)卡
firewall-cmd --zone=work --add-interface=網(wǎng)卡名稱      //添加一塊網(wǎng)卡到指定區(qū)域中

firewall-cmd --get-zone-of-interfce=網(wǎng)卡名稱                //查看指定網(wǎng)卡所在區(qū)域

firewall-cmd --zone=work --change-interface=網(wǎng)卡名稱    //為指定區(qū)域更改網(wǎng)卡

firewall-cmd --zone=work --remove-interface=網(wǎng)卡名稱    //為指定區(qū)域刪除某塊網(wǎng)卡

firewall-cmd --zone=區(qū)域名 --query-unterface=網(wǎng)卡名稱    //判斷指定區(qū)域中有沒有該網(wǎng)卡

firewall-cmd --list-all-zones        //查看所有區(qū)域里面的詳細信息

firewall-cmd --zone=區(qū)域 --list-all   //   查看指定區(qū)域的詳細信息

firewall-cmd --list-all     當(dāng)沒有 --zone的選項，查看的是默認區(qū)域中詳細信息

源ip地址：
firewall-cmd --zone=work --add-source=源ip地址     為指定區(qū)域添加源ip地址
firewall-cmd --zone=work --remove-source=源ip地址       為指定區(qū)域刪除ip地址

寫一個富規(guī)則，規(guī)則內(nèi)容為：將來自192.168.80.0/24的訪問流量，從端口的80端口轉(zhuǎn)發(fā)到本地的25端口。
firewall-cmd  --add-rich-rule='rule family=ipv4 source address=192.168.80.0/24 forward-port port=80 protocol=tcp to-port=25' --permanent

firewalld防火墻富規(guī)則，規(guī)則內(nèi)容為：將來自192.168.10.0/24的訪問流量，從端口的8080端口轉(zhuǎn)發(fā)到本地的5423端口
firewall-cmd --add-rich-rule=’rule family=ipv4 source address=192.168.10.0/24 forward-port port=8080 protocol=tcp toport=5423’ --permanent

firewalld防火墻富規(guī)則，規(guī)則內(nèi)容為：允許來自192.168.80.0/24的流量訪問http服務(wù)
firewall-cmd --add-rich-rule=’rule family=ipv4 source address=192.168.80.0/24 service name=http ACCEPT’

firewalld防火墻富規(guī)則，規(guī)則內(nèi)容為：拒絕來自192.168.90.0/24的流量訪問端口3260.
firewall-cmd --add-rich-rule=’rule family=ipv4 source address=192.168.90.0/24 port port=3260 protocol=tcp drop’

防火墻firewalld，將80端口，轉(zhuǎn)換為2000端口：
firewall-cmd  --add-forward-port=port=80:proto=tcp:to-port=2000  --permanent

在同一臺服務(wù)器中端口轉(zhuǎn)發(fā)：
firewall-cmd --add-forward-port=port=源端口:proto=協(xié)議:toport=目的端口

firewall-cmd --add-forward-port=port=8000:proto=tcp:toport=80

在不同服務(wù)器上端口轉(zhuǎn)發(fā)：
firewall-cmd --add-forward-port=port=源端口:proto=協(xié)議:toport=目的端口:toaddr=目標(biāo)服務(wù)器IP地址

192.168.80.101:8000相當(dāng)于訪問192.168.80.101:80

例子:
192.168.80.105
firewall-cmd --add-forward-port=port=8000:proto=tcp:toport=80:toaddr=192.168.80.100

永久打開轉(zhuǎn)發(fā)功能：
方法一：（centos6和7）
echo 1 > /proc/sys/net/ipv4/ip_forward
方法二：（centos7）
vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p //生效

iptables防火墻富規(guī)則：

1、讓內(nèi)網(wǎng)通過外網(wǎng)卡上網(wǎng)
方法一：
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens37 -j SNAT --to 192.168.90.100
方法二：
iptables -t nat -A POSTROUTING -s 192.168.80.100 -o ens37 -j SNAT --to 192.168.90.100

注：192.168.80.100是內(nèi)網(wǎng)卡ip地址
       192.168.90.100是外網(wǎng)卡ip地址
客戶端和內(nèi)網(wǎng)服務(wù)器必須都要指定網(wǎng)關(guān)，否則無效

2、當(dāng)外部客戶端訪問外部地址（90.100）時，服務(wù)器將請求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器（80.102）
iptables -t nat -A PREROUTING -i ens33 -d 192.168.90.100 -p tcp --dport 80 -j DNAT --to 192.168.80.102

注：同樣客戶端和內(nèi)網(wǎng)服務(wù)器都需要網(wǎng)關(guān)

iptables策略，訪問192.168.90.100的時候，訪問的是192.168.80.101

iptables -t nat -A PREROUTING -i ens32 -d 192.168.90.100 -j DNAT --to-destination 192.168.80.101

備份保存：iptables-save > /opt/a.txt
還原：iptables-restore < /opt/a.txt

iptables -nL --line              //查看 iptables 當(dāng)前所有規(guī)則的命令

請求或禁止來自 10.0.0.188 ip 地址訪問 80 端口的請求
iptables -A INPUT -s 10.0.0.188 -p tcp --dport 80 -j DROP/ACCEPT

實現(xiàn)把訪問 10.0.0.8:80 的請求轉(zhuǎn)到 172.16.1.17:80
iptables -t nat -A PREROUTING -i ens32 -d 10.0.0.8 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.17:80

實現(xiàn) 192.168.80.0/24 段所有主機通過 10.0.0.8 外網(wǎng) IP 共享上網(wǎng)。
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens32 -j SNAT --to 10.0.0.8

禁止ping本機，但是本機可以ping通其它主機
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -j DROP

iptables防火墻規(guī)則:當(dāng)一個公網(wǎng)主機去訪問 服務(wù)器的外網(wǎng)口公網(wǎng)地址（80.182）的時候，服務(wù)器把請求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)真正提供服務(wù)的內(nèi)網(wǎng)服務(wù)器（90.181）。
iptables -t nat -A PREROUTING -i ens33 -d 192.168.80.182 -j DNAT --to 192.168.90.181 

實現(xiàn)172.16.1.0/24段所有主機通過124.32.54.26外網(wǎng)IP共享上網(wǎng)。
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o ens32 -j SNAT --to 124.32.54.26

將來自192.168.10.0/24的數(shù)據(jù)，其源地址轉(zhuǎn)換為192.168.90.100
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ens34 -j SNAT --to-source 192.168.90.100

iptables策略，訪問192.168.90.100的時候，訪問的是192.168.80.101
iptables -t nat -A PREROUTING -i ens32 -d 192.168.90.100 -j DNAT --to-destination 192.168.80.101

iptables防火墻規(guī)則: 拒絕轉(zhuǎn)發(fā)源地址是80網(wǎng)段的，目的地址是192.168.90.100，且協(xié)議是TCP21端口的數(shù)據(jù)包。
iptables -A INPUT -s 192.168.80.0/24 -d 192.168.90.100 -p tcp --dport 21 -j REJECT

拒絕192.168.0.0/24網(wǎng)段的1024-65534的源端口訪問SSH
iptables -A INPUT -p tcp -s 192.168.0.0/24 --sport 1024-65534 --dport ssh -j REJECT

寫一個防火墻配置腳本，只允許遠程主機訪問本機的80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP

拒絕源地址是80網(wǎng)段的，目的地址是90網(wǎng)段的，且協(xié)議是TCP的21端口的數(shù)據(jù)包。
iptables -I FORWARD -s 192.168.80.0/24 -d 192.168.90.0/24 -p tcp --dport 21 -j DROP/REJECT

禁止轉(zhuǎn)發(fā)源IP地址位于192.168.80.21與192.168.80.28之間的TCP數(shù)據(jù)包。
iptables -A FORWARD -m iprange --src-range 192.168.80.21-192.168.80.28 -p tcp -j DROP/REJECT

允許192.168.80.20到192.168.80.100的ip地址主機的ICMP流量能夠訪問本服務(wù)器
iptables -A INPUT -p icmp -m iprange --src-range 192.168.80.20-192.168.80.100 -j ACCEPT

iptables的匹配類型：
通用匹配：協(xié)議-p，-s,-d,-i,-o
隱含匹配：--sport,--dport,TCP協(xié)議標(biāo)記，icmp類型
顯式匹配：多端口，mac地址，ip地址范圍，數(shù)據(jù)包狀態(tài)

iptables控制類型有哪些：
ACCEPT  允許
REJECT  拒絕
DROP    丟棄
LOG     記錄日志

iptables中規(guī)則、規(guī)則鏈、規(guī)則表的關(guān)系：
多條規(guī)則組成規(guī)則鏈，規(guī)則鏈在規(guī)則表中，規(guī)則鏈中設(shè)置默認策略。

將nat的默認策略設(shè)置為drop：
iptables -t nat -P INPUT DROP

刪除nat表OUTPUT鏈中的第5條策略：
iptables -t nat -D OUTPUT 5
iptables -t nat -F OUTPUT

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章標(biāo)題：防火墻（firewalld和iptables）-創(chuàng)新互聯(lián)
本文路徑：http://aaarwkj.com/article22/dpjjcc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)建站、做網(wǎng)站、移動網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計公司、動態(tài)網(wǎng)站、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)