一、什么是Firewalld
Firewalld是Linux系统自带的防火墙工具,通过管理Firewalld可以实现对netfilter进行配置,而netfilter是真正在内核实现包过滤的组件。Firewalld是iptables的升级版,现在也习惯把Firewalld叫做iptables。虽然在Centos 7中使用firewalld替代了iptables服务,但依然可以使用熟悉的iptables命令进行管理
二、Firewalld(iptables)的构成
Firewalld由表和链构成,在表中去定义链的规则,如图:
1、filter表(默认表):最常用的表,用于过滤数据包的进出,其中又包含了3个规则链:
· INPUT:负责过滤进入主机的数据包
· OUTPUT:负责过滤主机发出的数据包
· FORWARD:负责转发该主机的数据包到其他目标地址
2、nat表(网络地址转换):多用于内外网地址转换,包含了3个链:
· PREROUTING:实现DNAT功能,改变数据包的目的地址,多用于局域网接收公网数据时将目标的地址转换为局域网的一个地址,实现内网跳板机的功能
· POSTROUTING:实现SNAT功能,改变数据包的源地址,多用于局域网向公网发送数据时将地址转换为公网地址
· OUTPUT:同filter表OUTPUT
3、mangle表:拆解、修改、重新封装数据包。不常用。
4、raw表:对数据包进行状态跟踪。不常用。
三、Firewalld(iptables)命令介绍
1、Firewalld(iptables)语法规则
# iptables [-t 表名] 选项 [链名] 条件匹配 -j 执行动作 #表名不写的话默认为filter表
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT #为filter表的INPUT链增加规则,当目标端口为80并且为tcp协议则放行
2、Firewalld(iptables)常用选项
-A |-D |-I [CHAINS]:给指定的链增加或者删除或者插入一个规则
iptables -A INPUT -p tcp --dport 80 -j DROP #增加一条规则用于测试
iptables -L --line-numbers #加上--line-numbers参数可以显示规则的编号,可以看到之前设置的编号为1
iptables -D INPUT 1 #删除编号为1的规则
-L:显示所有链下的所有规则,默认是filter表,可以用-t选项指定其他表。还可以跟上-n选项,对主机或端口信息不做反向解析;-v显示更详细信息;--line-numbers显示行号
iptables -t filter -L -n
Chain INPUT (policy ACCEPT) #INPUT链下的规则
target prot opt source destination
Chain FORWARD (policy ACCEPT) #FORWARD链下的规则
target prot opt source destination
Chain OUTPUT (policy ACCEPT) #OUTPUT链下的规则
target prot opt source destination
-N:创建自定义链,针对不同的场景创造不同的链,方便管理
iptables -I INPUT -p tcp --dport 80 -j IN_WEB #将80请求转发给自定义链IN_WEB
iptables -N IN_WEB #创建自定义链
iptables -I IN_WEB -s 192.168.1.0/24 -j ACCEPT #定义自定义链的具体规则
-X:清空用户自定义链
-Z:计数器归零
-F:清空所有规则或者指定规则
iptables -F #清空所有规则
iptables -F INPUT #清空filter表INPUT链中的规则
iptables -t nat -F PREROUTING #清空nat表PREROUTING中的规则
-j ACCEPT | DROP | REJECT | DNAT | SNAT | MASQUERADE | MARK:指定防火墙的行为,ACCEPT是允许;DROP是丢弃(放弃响应对方请求且不作答复);REJECT是拒绝(会明确给对方一个消息说自己拒绝请求);DNAT为目标地址转换;SNAT为源地址转换;MASQUERADE是地址伪装;MARK防火墙标记,可用于LVS持久连接
-p(小写):指定协议,如tcp、udp、icmp、all
-i:指定网络设备,如eth0
-P(大写):指定默认的规则。在生产环境中可以把默认规则设置为拒绝,然后对需要放行的服务设置允许规则,不过做这个设置时要注意把22端口放行,不然自己就无法远程上服务器了
iptables -P INPUT DROP #把INPUT链的默认规则改为DROP
-s:指定客户端源地址,通常是对访问来源做限制
-s 192.168.0.1 #匹配来自192.168.0.1的数据包
-s 192.168.1.0/24 #匹配来自192.168.1.0/24的数据包
--dport:指定目标端口,需配合-p选项。通常是对访问的端口做限制,可以指定连续的端口。
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 10000:10010 -j DROP
--sport:指定源端口,需配合-p选项。
--dport 80
--dport 1000:2000
--dport :3000
· -m multiport:可以定义多个端口或者范围,最多指定15个
[!] --sports port[,port|,port:port]...:指定多个源端口
[!] --dports port[,port|,port:port]...:指定多个目标端口
[!] --ports port[,port|,port:port]...:同时指定源端口和目标端口
iptables -t filter -A INPUT -s 192.168.100.10 -d 192.168.100.20 -p tcp -m multiport --dports 22,80 -j ACCEPT
· -m iprange:指明连续的IP地址范围
[!] --src-range from[-to]:源IP地址
[!] --dst-range from[-to]:目标IP地址
iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 192.168.100.50-192.168.100.60 -j DROP #拒绝192.168.100.50-60这几个IP对80端口的访问
· -m connlimit:根据客户端IP并发连接数做限制
--connlimit-upto n:连接的数量小于等于n时匹配
--connlimit-above n:连接的数量大于n时匹配
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP #对80端口连接数大于10个就拒绝
· -m limit:基于速率做限制
--limit N[/second|/minute|/hour|/day]:平均速率,比如每分钟允许N个请求
--limit-burst number:初始放行数量
iptables -I INPUT -d 192.168.100.10 -p icmp -m limit --limit 3/minute #每个客户端每分钟只能有3次请求
· -m string:根据字符串进行匹配
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string 'www.baidu.com' -j DROP #不允许访问baidu.com,--alog bm是一种算法
· -m time:根据时间进行匹配
-m time --datestart 2019-05-01 --datestop 2019-05-04 #匹配五一节
iptables -I OUTPUT -p tcp --dport 80 -m time --timestart 12:30 --timestop 13:30 --kerneltz 2019-05-04 -j DROP #午休拒绝上网
· -m state:根据连接追踪机制检查连接的状态
[!] --state state:state包含以下几种状态
NEW:新请求
ESTABLISHED:NEW状态后所建立好的连接
RELATED:相关联的连接,如FTP服务有2个端口且相关
INVALID:无效连接
iptables -A INPUT -d 192.168.100.10 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
wendy 