iptables与firewalld

iptables

Linux上常用的防火墙软件

1、防火墙的策略

防火墙策略一般分为两种，一种叫通策略，一种叫堵策略，通策略，默认门是关着的，必须要定义谁能进。堵策略则是，大门是洞开的，但是你必须有身份认证，否则不能进。所以我们要定义，让进来的进来，让出去的出去，所以通，是要全通，而堵，则是要选择。当我们定义的策略的时候，要分别定义多条功能，其中：定义数据包中允许或者不允许的策略，filter过滤的功能，而定义地址转换的功能的则是nat选项。为了让这些功能交替工作，我们制定出了“表”这个定义，来定义、区分各种不同的工作功能和处理方式。

我们现在用的比较多个功能有3个：

filter 定义允许或者不允许的，只能做在3个链上：INPUT ，FORWARD ，OUTPUT
nat 定义地址转换的，也只能做在3个链上：PREROUTING ，OUTPUT ，POSTROUTING
mangle功能:修改报文原数据，是5个链都可以做：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

2、选项

-t, --table table 对指定的表 table 进行操作， table 必须是 raw， nat，filter，mangle 中的一个。如果不指定此选项，默认的是 filter 表。

通用匹配：源地址目标地址的匹配

-p：指定要匹配的数据包协议类型； -s, --source [!] address[/mask] ：把指定的一个／一组地址作为源地址，按此规则进行过滤。当后面没有 mask 时，address 是一个地址，比如：192.168.1.1；当 mask 指定时，可以表示一组范围内的地址，比如：192.168.1.0/255.255.255.0。 -d, --destination [!] address[/mask] ：地址格式同上，但这里是指定地址为目的地址，按此进行过滤。 -i, --in-interface [!] <网络接口name> ：指定数据包的来自来自网络接口，比如最常见的 eth0 。注意：它只对 INPUT，FORWARD，PREROUTING 这三个链起作用。如果没有指定此选项，说明可以来自任何一个网络接口。同前面类似，"!" 表示取反。 -o, --out-interface [!] <网络接口name> ：指定数据包出去的网络接口。只对 OUTPUT，FORWARD，POSTROUTING 三个链起作用。

查看管理命令

-L, --list [chain] 列出链 chain 上面的所有规则，如果没有指定链，列出表上所有链的所有规则。

规则管理命令

-A, --append chain rule-specification 在指定链 chain 的末尾插入指定的规则，也就是说，这条规则会被放到最后，最后才会被执行。规则是由后面的匹配来指定。 -I, --insert chain [rulenum] rule-specification 在链 chain 中的指定位置插入一条或多条规则。如果指定的规则号是1，则在链的头部插入。这也是默认的情况，如果没有指定规则号。 -D, --delete chain rule-specification -D, --delete chain rulenum 在指定的链 chain 中删除一个或多个指定规则。 -R num：Replays替换/修改第几条规则

链管理命令（这都是立即生效的）

-P, --policy chain target ：为指定的链 chain 设置策略 target。注意，只有内置的链才允许有策略，用户自定义的是不允许的。 -F, --flush [chain] 清空指定链 chain 上面的所有规则。如果没有指定链，清空该表上所有链的所有规则。 -N, --new-chain chain 用指定的名字创建一个新的链。 -X, --delete-chain [chain] ：删除指定的链，这个链必须没有被其它任何规则引用，而且这条上必须没有任何规则。如果没有指定链名，则会删除该表中所有非内置的链。 -E, --rename-chain old-chain new-chain ：用指定的新名字去重命名指定的链。这并不会对链内部造成任何影响。 -Z, --zero [chain] ：把指定链，或者表中的所有链上的所有计数器清零。

-j, --jump target <指定目标> ：即满足某条件时该执行什么样的动作。target 可以是内置的目标，比如 ACCEPT，也可以是用户自定义的链。 -h：显示帮助信息；

3、基本参数

参数	作用
-P	设置默认策略:iptables -P INPUT (DROP
-F	清空规则链
-L	查看规则链
-A	在规则链的末尾加入新规则
-I	num 在规则链的头部加入新规则
-D	num 删除某一条规则
-s	匹配来源地址 IP /MASK，加叹号"!"表示除这个IP外。
-d	匹配目标地址
-i	网卡名称匹配从这块网卡流入的数据
-o	网卡名称匹配从这块网卡流出的数据
-p	匹配协议,如tcp,udp,icmp
--dport num	匹配目标端口号
--sport num	匹配来源端口号

Red Hat 8以上版本：iptable-save 保存

CentOS7 及以下版本：service iptables save 保存

命令选项输入顺序

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

工作机制

规则链名包括(也被称为五个钩子函数（hook functions）)：

INPUT链 ：处理输入数据包。
OUTPUT链 ：处理输出数据包。
FORWARD链 ：处理转发数据包。
PREROUTING链 ：用于目标地址转换（DNAT）。
POSTOUTING链 ：用于源地址转换（SNAT）。

4、实例

清空当前的所有规则和计数

iptables -F # 清空所有的防火墙规则 iptables -X # 删除用户自定义的空链 iptables -Z # 清空计数

配置允许ssh端口连接

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT

22为你的ssh端口， -s 192.168.1.0/24表示允许这个网段的机器来连接，其它网段的ip地址是登陆不了你的机器的。 -j ACCEPT表示接受这样的请求

设置默认的规则

iptables -P INPUT DROP # 配置默认的不让进 iptables -P FORWARD DROP # 默认的不允许转发 iptables -P OUTPUT ACCEPT # 默认的可以出去

配置白名单

iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT # 允许机房内网机器可以访问 iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT # 允许机房内网机器可以访问 iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT # 允许183.121.3.7访问本机的3380端口

开启相应的服务端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 开启80端口，因为web对外都是这个端口 iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT # 允许被ping iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 已经建立的连接得让它进来

保存规则到配置文件中

cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak # 任何改动之前先备份，请保持这一优秀的习惯

iptables-save > /etc/sysconfig/iptables cat /etc/sysconfig/iptables

firewall

Linux上新用的防火墙软件，跟iptables差不多的工具

firewall-cmd 是 firewalld的字符界面管理工具，firewalld是centos7的一大特性，最大的好处有两个：支持动态更新，不用重启服务；第二个就是加入了防火墙的“zone”概念。

firewalld跟iptables比起来至少有两大好处：

1. firewalld可以动态修改单条规则，而不需要像iptables那样，在修改了规则后必须得全部刷新才可以生效。
2. firewalld在使用上要比iptables人性化很多，即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。

firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现，也就是说firewalld和 iptables一样，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter，只不过firewalld和iptables的结构以及使用方法不一样罢了。

1、基本用法

Firewalld是一个用于管理Linux防火墙的工具。以下是一些基本用法：

1.启动firewalld服务：systemctl start firewalld

2.开机启动firewalld服务：systemctl enable firewalld

3.检查防火墙状态：firewall-cmd --state

4.列出所有已定义的区域：firewall-cmd --get-zones

5.查看特定区域的详细信息：firewall-cmd --zone=区域 --list-all

6.添加规则到指定区域：firewall-cmd --zone=区域 --add-规则

7.保存并激活防火墙规则：firewall-cmd --runtime-to-permanent

8.禁止某个端口：firewall-cmd --zone=public --remove-port=端口号/协议

9.允许某个端口：firewall-cmd --zone=public --add-port=端口号/协议

10.开放访问某个服务（如HTTP）：firewall-cmd --zone=public --add-service=http

11.禁止访问某个服务（如SSH）：firewall-cmd --zone=public --remove-service=ssh

2、常用参数：

参数	作用
--add-interface	将指定网卡的所有流量都导向某区域
--add-port	设置允许的端口
--add-service	设置允许的服务
--add-source	将指定IP地址的所有流量都导向某区域
--change-interface	设置网卡与区域进行关联
--get-active-zones	显示当前正在使用的区域与网卡名称
--get-default-zone	显示默认的区域名称
--get-services	显示预先定义的服务
--panic-on/off	开启/关闭紧急模式
--permanent	将策略写入到永久生效表中
--list-ports	显示所有正在运行的端口
--get-zones	显示可用的区域列表
--list-all	显示当前区域的网卡配置参数、资源、端口及服务
--list-all-zones	显示区域信息情况
--reload	立即加载永久生效策略，不重启服务
--remove-port	设置默认区域不再允许指定端口的流量
--remove-source	不要将指定IP地址的所有流量导向某区域
--set-default-zone	设置默认的区域
--remove-service	设置默认区域不再允许指定服务的流量
--state	显示当前服务运行状态

3、参考示例

查看当前防火墙状态：

[root@linuxcool ~]# firewall-cmd --state running

查看防火墙当前放行端口号列表：

[root@linuxcool ~]# firewall-cmd --zone=public --list-ports

重新加载防火墙策略，立即生效：

[root@linuxcool ~]# firewall-cmd --reload success

查看当前防火墙默认使用区域名称：

[root@linuxcool ~]# firewall-cmd --get-default-zone public

/etc/selinux/config是 Linux 系统中一个文件路径，用于保存 Security-Enhanced Linux（SELinux）的配置文件。

SELinux是一种提供强制访问控制的安全增强技术，它被集成到许多Linux发行版中。/etc/selinux/config文件通常用于设置全局的 SELinux 策略和参数，其内容格式通常为文本文件。

文件中包含了 SELinux 策略的各种参数和选项，可以通过更改这些参数来控制 SELinux 的工作方式。以下是文件中可以设置的一些参数：

- SELINUX：该参数用于控制 SELinux 的开启和关闭，默认值为 enforcing，可选值还包括 disabling 和permissive。
- SELINUXTYPE: 该参数用于指定当前 SELinux 支持的安全策略类型，通常有 targeted 和mcs 两种类型可选。
- SETLOCALDEFS：该参数用于控制是否应当加载本地SELinux策略定义，默认是“no”。

编辑/etc/selinux/config需要root权限，在更改SELinux策略前，需要对系统进行全面的评估和测试，确保更改后的策略不会影响到系统的正常运行和安全性。