一文解析linux中的防火墻

lin? ?linux中的防火墻

RHEL中有幾種防火墻共存：

iptables

firewalld

ip6tables

ebtables

這些軟件本身其實并不具備防火墻功能，他們的作用都是在用戶空間中管理和維護規(guī)則，只不過規(guī)則結構和使用方法不一樣罷了，真正利用規(guī)則進行過濾是由內核的netfilter完成的。

擴展：整個linux內部結構可以分為三部分，從最底層到最上層依次是：硬件-->內核空間-->用戶空間。

?

?

CentOS7默認采用的是firewalld管理netfilter子系統(tǒng)，底層調用的仍然是iptables命令。不同的防火墻軟件相互間存在沖突，使用某個時應禁用其他的。

systemctl?start/stop/enable/disable/status/is-active?xxxx????//systemctl服務管理命令

?

?

??

Netfilter?

netfilter是Linux 2.4內核引入的全新的包過濾引擎。由一些數(shù)據(jù)包過濾表組成，這些表包含內核用來控制信息包過濾的規(guī)則集。iptables等等都是在用戶空間修改過濾表規(guī)則的便捷工具。

netfilter在數(shù)據(jù)包必須經過且可以讀取規(guī)則的位置，共設有5個控制關卡。這5個關卡處的檢查規(guī)則分別放在5個規(guī)則鏈中（有的叫鉤子函數(shù)（hook functions）。也就是說5條鏈對應著數(shù)據(jù)包傳輸路徑中的5個控制關卡，鏈中的規(guī)則會在對應的關卡檢查和處理。任何一個數(shù)據(jù)包，只要經過本機，必然經過5個鏈中的某個或某幾個。

PREROUTING ? ? ?數(shù)據(jù)包剛進入網(wǎng)絡接口之后，路由之前，

INPUT ? ? ? ? ? ? ? ?數(shù)據(jù)包從內核流入用戶空間。

FORWARD ? ? ? ? 在內核空間中，從一個網(wǎng)絡接口進入，到另一個網(wǎng)絡接口去。轉發(fā)過濾。

OUTPUT ? ? ? ? ? ??數(shù)據(jù)包從用戶空間流出到內核空間。

POSTROUTING ? 路由后，數(shù)據(jù)包離開網(wǎng)絡接口前。

鏈其實就是包含眾多規(guī)則的檢查清單，每一條鏈中包含很多規(guī)則。當一個數(shù)據(jù)包到達一個鏈時，系統(tǒng)就會從鏈中第一條規(guī)則開始檢查，看該數(shù)據(jù)包是否滿足規(guī)則所定義的條件。如果滿足，系統(tǒng)就會根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包；否則就繼續(xù)檢查下一條規(guī)則，如果該數(shù)據(jù)包不符合鏈中任一條規(guī)則，系統(tǒng)就會根據(jù)該鏈預先定義的默認策略來處理數(shù)據(jù)包。

數(shù)據(jù)包的傳輸過程

當一個數(shù)據(jù)包進入網(wǎng)卡時，它首先進入PREROUTING鏈，內核根據(jù)數(shù)據(jù)包目的IP判斷是否需要轉送出去。

如果數(shù)據(jù)包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。數(shù)據(jù)包到了INPUT鏈后，任何進程都會收到它。本機上運行的程序可以發(fā)送數(shù)據(jù)包，這些數(shù)據(jù)包會經過OUTPUT鏈，然后到達POSTROUTING鏈輸出。

如果數(shù)據(jù)包是要轉發(fā)出去的，且內核允許轉發(fā)，數(shù)據(jù)包就會如圖所示向右移動，經過FORWARD鏈，然后到達POSTROUTING鏈輸出。

可以看出，剛從網(wǎng)絡接口進入的數(shù)據(jù)包尚未進行路由決策，還不知道數(shù)據(jù)要走向哪里，所以進出口處沒辦法實現(xiàn)數(shù)據(jù)過濾，需要在內核空間設置轉發(fā)關卡、進入用戶空間關卡和離開用戶空間關卡。

? ? ? iptables

參考文檔：http://drops.wooyun.org/tips/1424

起源于freeBSD的ipfirewall(內核1.x時代)，所有規(guī)則都在內核中；2.0x后更名為ipchains，可以定義多條規(guī)則并串用；現(xiàn)在叫iptables，使用表組織規(guī)則鏈。

iptablses按照用途和使用場合，將5條鏈各自切分到五張不同的表中。也就是說每張表中可以按需要單獨為某些鏈配置規(guī)則。例如，mangle表和filter表中都能為INPUT鏈配置規(guī)則，當數(shù)據(jù)包流經INPUT位置（進入用戶空間），這兩個表中INPUT鏈的規(guī)則都會用來做過濾檢查。

五張表，每張表側重于不同的功能

filter ? ? ? ?數(shù)據(jù)包過濾功能。只涉及INPUT, FORWARD, OUTPUT三條鏈。是iptables命令默認操縱的表。

nat ? ? ? ? ?地址轉換功能。NAT轉換只涉及PREROUTING, OUTPUT, POSTOUTING三條鏈。可通過轉發(fā)讓局域網(wǎng)機器連接互聯(lián)網(wǎng)

mangle ? ? 數(shù)據(jù)包修改功能。每條鏈上都可以做修改操作。修改報文元數(shù)據(jù)，做防火墻標記等。

raw ? ? ? ? ?快速通道功能。為了提高效率，優(yōu)先級最高，符合raw表規(guī)則的數(shù)據(jù)包會跳過一些檢查。

security ? ?需要和selinux結合使用，內置規(guī)則比較復雜，通常都會被關閉

iptables還支持自定義規(guī)則鏈。自定義的鏈必須和某個特定的鏈關聯(lián)起來?？稍谀硞€鏈中設定規(guī)則，滿足一定條件的數(shù)據(jù)包跳轉到某個目標鏈處理，目標鏈處理完成后返回當前鏈中繼續(xù)處理后續(xù)規(guī)則。

　因為鏈中規(guī)則是從頭到尾依次檢查的，所以規(guī)則的次序是非常重要的。越嚴格的規(guī)則應該越靠前。

iptablse服務管理

service --status-all

service iptables start|stop|restart|status
service iptables save   //定義的所有內容，在重啟時都會失效。調用save命令可以把規(guī)則保存到文件/etc/sysconfig/iptables中。
iptables-save           //保存規(guī)則
iptables-restore        //加載規(guī)則。開機的時候，會自動加載/etc/sysconfig/iptables
iptables-restore < /etc/sysconfig/iptables2     //加載自定義的規(guī)則文件


//iptables服務配置文件：/etc/sysconfig/iptables-config
//iptables規(guī)則文件：/etc/sysconfig/iptables


echo "1">/proc/sys/net/ipv4/ip_forward   //打開iptables轉發(fā)：

iptables命令參考

iptables [-t TABLE] COMMAND [CHAIN] [CRETIRIA]... ?[-j ?ACTION]

省缺表名為filter。命令中用到的序號(RULENUM)都基于1。

COMMAND 命令選項

-A|--append  CHAIN                                 //鏈尾添加新規(guī)則
-D|--delete  CHAIN [RULENUM]                       //刪除鏈中規(guī)則，按需序號或內容確定要刪除的規(guī)則
-I|--insert  CHAIN [RULENUM]                       //在鏈中插入一條新的規(guī)則，默認插在開頭
-R|--replace CHAIN  RULENUM                        //替換、修改一條規(guī)則，按序號或內容確定
-L|--list   [CHAIN [RULENUM]]                      //列出指定鏈或所有鏈中指定規(guī)則或所有規(guī)則
-S|--list-urles [CHAIN [RULENUM]]                  //顯示鏈中規(guī)則
-F|--flush [CHAIN]                                 //清空指定鏈或所有鏈中規(guī)則
-Z|--zero [CHAIN [RULENUM]]                        //重置指定鏈或所有鏈的計數(shù)器(匹配的數(shù)據(jù)包數(shù)和流量字節(jié)數(shù))
-N|--new-chain CHAIN                               //新建自定義規(guī)則鏈
-X|--delete-cahin [CHAIN]                          //刪除指定表中用戶自定義的規(guī)則鏈
-E|--rename-chain OLDCHAIN NEWCHAIN                //重命名鏈，移動任何引用
-P|-policy CHAIN TARGET                            //設置鏈的默認策略，數(shù)據(jù)包未匹配任意一條規(guī)則就按此策略處理

CRETIRIA?條件匹配??

分為基本匹配和擴展匹配，擴展匹配又分為隱式匹配和顯示匹配

基本匹配

-p|--proto  PROTO                      //按協(xié)議匹配，如tcp、udp、icmp，all表示所有協(xié)議。（/etc/protocols中的協(xié)議名）
-s|--source ADDRESS[/mask]...          //按數(shù)據(jù)包的源地址匹配，可使用IP地址、網(wǎng)絡地址、主機名、域名
-d|--destination ADDRESS[/mask]...     //按目標地址匹配，可使用IP地址、網(wǎng)絡地址、主機名、域名
-i|--in-interface INPUTNAME[ +]        //按入站接口(網(wǎng)卡)名匹配，+用于通配。如 eth0, eth+ 。一般用在INPUT和PREROUTING鏈
-o|--out-interface OUTPUTNAME[+]       //按出站接口(網(wǎng)卡)名匹配，+用于通配。如 eth0, eth+ 。一般用在OUTPUT和POSTROUTING鏈

可使用?!?可以否定一個子句，如-p !tcp

擴展匹配

-m|--match MATCHTYPE ?EXTENSIONMATCH...?? ?//擴展匹配，可能加載extension

如: -p tcp ?-m tcp ?--dport 80

隱式擴展匹配(對-p PROTO的擴展，或者說是-p PROTO的附加匹配條件)

-m PROTO 可以省略，所以叫隱式

-m tcp   //-p tcp的擴展
　　　　--sport  [!]N[:M]                      //源端口, 服務名、端口、端口范圍。
　　　　--dport  [!]N[:M]                      //目標端口，服務名、端口、端口范圍
　　　　--tcp-flags CHECKFLAGS FLAGSOFTRUE  //TCP標志位:SYN(同步),ACK(應答),RST(重置),FIN(結束),URG(緊急),PSH(強迫推送)。多個標志位逗號分隔。
　　　　　　　　　　　　　　　　　　　　　　　　　//CHECKFLAGS為要檢查的標志位，F(xiàn)LAGSOFTRUE為必須為1的標志位（其余的應該為0）
　　　　--syn                               //第一次握手。等效于 --tcpflags syn,ack,fin,rst syn   四個標志中只有syn為1
-m udp   //-p udp的擴展
　　　　--sport N[-M] 
　　　　--dport N[-M]
-m icmp  //隱含條件為-p icmp
　　　　--icmp-type  N             //8:echo-request  0:echo-reply

顯示擴展匹配

-m state
　　　　--state    //連接狀態(tài)檢測，NEW,ESTABLISHED,RELATED,INVALID
-m multiport 
　　　　--source-ports   PORT[,PORT]...|N:M            //多個源端口，多個端口用逗號分隔，
　　　　--destination-ports PORT[,PORT]...|N:M         //多個目的端口
　　　　--ports     　　　　　　　　　　　　　　　　　　　　 //多個端口，每個包的源端口和目的端口相同才會匹配
-m limit
　　　　--limit   N/UNIT    //速率，如3/minute, 1/s, n/second , n/day
　　　　--limit-burst N     //峰值速率，如100，表示最大不能超過100個數(shù)據(jù)包
-m connlimit
　　　　--connlimit-above N  //多于n個，前面加!取反
-m iprange
　　　　--src-range IP-IP
　　　　--dst-range IP-IP
-m mac                    
　　　　--mac-source         //mac地址限制，不能用在OUTPUT和POSTROUTING規(guī)則鏈上，因為封包要送到網(wǎng)卡后，才能由網(wǎng)卡驅動程序透過ARP 通訊協(xié)議查出目的地的MAC 地址
-m string
　　　　--algo [bm|kmp]      //匹配算法
　　　　--string "PATTERN"   //匹配字符模式
-m recent
　　　　--name               //設定列表名稱，默認為DEFAULT
　　　　--rsource            //源地址
　　　　--rdest              //目的地址
　　　　--set                //添加源地址的包到列表中
　　　　--update             //每次建立連接都更新列表
　　　　--rcheck             //檢查地址是否在列表
　　　　--seconds            //指定時間。必須與--rcheck或--update配合使用
　　　　--hitcount           //命中次數(shù)。必須和--rcheck或--update配合使用
　　　　--remove             //在列表中刪除地址
-m time
　　　　--timestart h:mm
　　　　--timestop  hh:mm
　　　　--days DAYS          //Mon,Tue,Wed,Thu,Fri,Sat,Sun; 逗號分隔
-m mark
　　　　--mark N            //是否包含標記號N
-m owner 
　　　　--uid-owner 500   //用來匹配來自本機的封包，是否為某特定使用者所產生的,可以避免服務器使用root或其它身分將敏感數(shù)據(jù)傳送出
　　　　--gid-owner O     //用來匹配來自本機的封包，是否為某特定使用者群組所產生的
　　　　--pid-owner 78    //用來匹配來自本機的封包，是否為某特定進程所產生的
　　　　--sid-owner 100   //用來匹配來自本機的封包，是否為某特定連接（Session ID）的響應封包

ACTION 目標策略(TARGET)

-j|--jump TARGET                //跳轉到目標規(guī)則，可能加載target extension
-g|--goto  CHAIN                //跳轉到指定鏈，不再返回

ACCEPT ? ? ? ? ? ??規(guī)則驗證通過，不再檢查當前鏈的后續(xù)規(guī)則，直接跳到下一個規(guī)則鏈。

DROP ? ? ? ? ? ? ? ?直接丟棄數(shù)據(jù)包，不給任何回應。中斷過濾。

REJECT ? ? ? ? ? ??拒絕數(shù)據(jù)包通過，會返回響應信息。中斷過濾。

--reject-with ?tcp-reset|port-unreachable|echo-reply

LOG ? ? ? ? ? ? ? ? ?在/var/log/messages文件中記錄日志，然后將數(shù)據(jù)包傳遞給下一條規(guī)則。詳細位置可查看/etc/syslog.conf配置文件

--log-prefix "INPUT packets"

ULOG ? ? ? ? ? ? ? ?更廣范圍的日志記錄信息

QUEUE ? ? ? ? ? ? ?防火墻將數(shù)據(jù)包移交到用戶空間，通過一個內核模塊把包交給本地用戶程序。中斷過濾。

RETURN ? ? ? ? ? ?防火墻停止執(zhí)行當前鏈中的后續(xù)規(guī)則，并返回到調用鏈。主要用在自定義鏈中。

custom_chain ? ?轉向自定義規(guī)則鏈

DNAT ? ? ? ? ? ? ? ?目標地址轉換，改變數(shù)據(jù)包的目標地址。外網(wǎng)訪問內網(wǎng)資源，主要用在PREROUTING。完成后跳到下一個規(guī)則鏈

--to-destination ADDRESS[-ADDRESS][:PORT[-PORT]]

SNAT ? ? ? ? ? ? ? ?源地址轉換，改變數(shù)據(jù)包的源地址。內網(wǎng)訪問外網(wǎng)資源。主機的IP地址必須是靜態(tài)的，主要用在POSTROUTING。完成后跳到下一個規(guī)則鏈。

--to-source ADDRESS[-ADDRESS][:PORT[-PORT]]

MASQUERADE ??源地址偽裝，用于主機IP是ISP動態(tài)分配的情況，會從網(wǎng)卡讀取主機IP。直接跳到下一個規(guī)則鏈。

--to-ports 1024-31000

REDIRECT ? ? ? ?數(shù)據(jù)包重定向，主要是端口重定向，把包分流。處理完成后繼續(xù)匹配其他規(guī)則。能會用這個功能來迫使站點上的所有Web流量都通過一個Web高速緩存，比如Squid。

--to-ports 8080

MARK ? ? ? ? ? ? ? ??打防火墻標記。繼續(xù)匹配規(guī)則。

--set-mark 2

MIRROR ? ? ? ? ??發(fā)送包之前交換IP源和目的地址，將數(shù)據(jù)包返回。中斷過濾。

輔助選項

-t|--table TABLE     //指定操作的表，默認的表為filter
-n|--numeric         //用數(shù)字形式顯示地址和端口，顯示主機IP地址而不是主機名
-x|--exact           //計數(shù)器顯示精確值，不做單位換算
-v|--verbose  (x3)   //查看規(guī)則列表時，顯示更詳細的信息
-line-numbers        //查看規(guī)則表時，顯示在鏈中的序號
-V|--version 
-h|--help   
[option]  --help     //查看特定選項的幫助，如iptables -p icmp --help


--fragment -f               //match second or further fragments only
--modprobe=        //try to insert modules using this command
--set-counters PKTS BYTES   //set the counter during insert/append

state ?TCP鏈接狀態(tài)

NEW ? ? ? ? ? ? ? ??第一次握手，要起始一個連接（重設連接或將連接重導向）?

ESTABLISHED ? 數(shù)據(jù)包屬于某個已經建立的連接。第二次和第三次握手 ? (ack=1)

INVALID ? ? ? ? ? 數(shù)據(jù)包的連接編號（Session ID）無法辨識或編號不正確。如SYN=1 ACK=1 RST=1 ??

RELATED ? ? ? ? ?表示該封包是屬于某個已經建立的連接，所建立的新連接。如有些服務使用兩個相關的端口，如FTP，21和20端口一去一回，F(xiàn)TP數(shù)據(jù)傳輸(上傳/下載)還會使用特殊的端口

只允許NEW和ESTABLISHED進，只允許ESTABLISHED出可以阻止反彈式木馬。

使用示例

iptables -F           //刪除iptables現(xiàn)有規(guī)則
iptables -L [-v[vv] -n]   //查看iptables規(guī)則
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT       //在INPUT鏈尾添加一條規(guī)則
iptables -I INPUT 2 -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT     //在INPUT鏈中插入為第2條規(guī)則
iptables -D  INPUT 2      //刪除INPUT鏈中第2條規(guī)則
iptables -R INPUT 3 -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT    //替換修改第三條規(guī)則
iptables -P INPUT DROP    //設置INPUT鏈的默認策略為DROP


//允許遠程主機進行SSH連接
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT 


//允許本地主機進行SSH連接
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 
iptables -A INTPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT 


//允許HTTP請求
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT 


//限制ping 192.168.146.3主機的數(shù)據(jù)包數(shù)，平均2/s個，最多不能超過3個
iptables -A INPUT -i eth0 -d 192.168.146.3 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 3 -j ACCEPT 


//限制SSH連接速率（默認策略是DROP）
iptables -I INPUT 1 -p tcp --dport 22 -d 192.168.146.3 -m state --state ESTABLISHED -j ACCEPT  
iptables -I INPUT 2 -p tcp --dport 22 -d 192.168.146.3 -m limit --limit 2/minute --limit-burst 2 -m state --state NEW -j ACCEPT 
 
//防止syn攻擊（限制syn的請求速度）
iptables -N syn-flood 
iptables -A INPUT -p tcp --syn -j syn-flood 
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN 
iptables -A syn-flood -j DROP 


//防止syn攻擊（限制單個ip的最大syn連接數(shù)）
iptables –A INPUT –i eth0 –p tcp --syn -m connlimit --connlimit-above 15 -j DROP 
 
iptables -I INPUT -p tcp -dport 22 -m connlimit --connlimit-above 3 -j DROP   //利用recent模塊抵御DOS攻擊
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH   //單個IP最多連接3個會話
Iptables -I INPUT -p tcp --dport 22 -m state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP  //只要是新的連接請求，就把它加入到SSH列表中。5分鐘內你的嘗試次數(shù)達到3次，就拒絕提供SSH列表中的這個IP服務。被限制5分鐘后即可恢復訪問。
 
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP    //防止單個IP訪問量過大
iptables –A OUTPUT –m state --state NEW –j DROP  //阻止反彈木馬
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT   //防止ping攻擊
 
//只允許自己ping別人，不允許別人ping自己
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT


//對于127.0.0.1比較特殊，我們需要明確定義它
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
 
//SNAT 基于原地址轉換。許多內網(wǎng)用戶通過一個外網(wǎng) 口上網(wǎng)的情況。將我們內網(wǎng)的地址轉換為一個外網(wǎng)的IP，共用外網(wǎng)IP訪問外網(wǎng)資源。
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.1


//當外網(wǎng)地址不是固定的時候。將外網(wǎng)地址換成 MASQUERADE(動態(tài)偽裝):它可以實現(xiàn)自動讀取外網(wǎng)網(wǎng)卡獲取的IP地址。
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE


//DNAT 目標地址轉換。目標地址轉換要做在到達網(wǎng)卡之前進行轉換,所以要做在PREROUTING這個位置上
iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --to-destination 172.16.100.2

?

?

firewalld

dynamic firewall daemon。支持ipv4和ipv6。Centos7中默認將防火墻從iptables升級為了firewalld。firewalld相對于iptables主要的優(yōu)點有：

firewalld可以動態(tài)修改單條規(guī)則，而不需要像iptables那樣，在修改了規(guī)則后必須得全部刷新才可以生效；

firewalld在使用上要比iptables人性化很多，即使不明白“五張表五條鏈”而且對TCP/IP協(xié)議也不理解也可以實現(xiàn)大部分功能?！　?/p>

1.firewalld的主要概念

1.1.過濾規(guī)則集合：zone

一個zone就是一套過濾規(guī)則，數(shù)據(jù)包必須要經過某個zone才能入站或出站。不同zone中規(guī)則粒度粗細、安全強度都不盡相同。可以把zone看作是一個個出站或入站必須經過的安檢門，有的嚴格、有的寬松、有的檢查的細致、有的檢查的粗略。

每個zone單獨對應一個xml配置文件，文件名為.xml。自定義zone只需要添加一個.xml文件，然后在其中添加過濾規(guī)則即可。

每個zone都有一個默認的處理行為，包括：default(省缺), ? ACCEPT, ? %%REJECT%%, ?DROP?

firewalld提供了9個zone：

drop ? ? ? ?任何流入的包都被丟棄，不做任何響應。只允許流出的數(shù)據(jù)包。

block ?　　任何流入的包都被拒絕，返回icmp-host-prohibited報文(ipv4)或icmp6-adm-prohibited報文(ipv6)。只允許由該系統(tǒng)初始化的網(wǎng)絡連接

public ? ??默認的zone。部分公開，不信任網(wǎng)絡中其他計算機，只放行特定服務。?

external ? ?只允許選中的服務通過，用在路由器等啟用偽裝的外部網(wǎng)絡。認為網(wǎng)路中其他計算器不可信。

dmz ? ? ? ? 允許隔離區(qū)(dmz)中的電腦有限的被外界網(wǎng)絡訪問，只允許選中的服務通過。

work ? ? ? ? ?用在工作網(wǎng)絡。你信任網(wǎng)絡中的大多數(shù)計算機不會影響你的計算機，只允許選中的服務通過。

home ? ? ? ?用在家庭網(wǎng)絡。信任網(wǎng)絡中的大多數(shù)計算機，只允許選中的服務通過。

internal ? ? 用在內部網(wǎng)絡。信任網(wǎng)絡中的大多數(shù)計算機，只允許選中的服務通過。

trusted ? ??允許所有網(wǎng)絡連接，即使沒有開放任何服務，那么使用此zone的流量照樣通過（一路綠燈）。

zone配置文件示例：public.xml

  Public
  For use in public areas...
  
  

1.2.service

一個service中可以配置特定的端口（將端口和service的名字關聯(lián)）。zone中加入service規(guī)則就等效于直接加入了port規(guī)則，但是使用service更容易管理和理解。

定義service的方式：添加.xml文件，在其中加入要關聯(lián)的端口即可。

service示例：ssh.xml

  SSH
  Secure Shell (SSH)...
  

1.3.過濾規(guī)則

source ? ? ? ? ? ? 根據(jù)數(shù)據(jù)包源地址過濾，相同的source只能在一個zone中配置。

interface ? ? ? ? ?根據(jù)接收數(shù)據(jù)包的網(wǎng)卡過濾

service ? ? ? ? ? ? 根據(jù)服務名過濾（實際是查找服務關聯(lián)的端口，根據(jù)端口過濾），一個service可以配置到多個zone中。

port ? ? ? ? ? ? ? ? 根據(jù)端口過濾

icmp-block ? ? ? ?icmp報文過濾，可按照icmp類型設置

masquerade ? ? ?ip地址偽裝，即將接收到的請求的源地址設置為轉發(fā)請求網(wǎng)卡的地址（路由器的工作原理）。

forward-port ? ? ?端口轉發(fā)

rule ? ? ? ? ? ? ? ? ?自定義規(guī)則，與itables配置接近。rule結合--timeout可以實現(xiàn)一些有用的功能，比如可以寫個自動化腳本，發(fā)現(xiàn)異常連接時添加一條rule將相應地址drop掉，并使用--timeout設置時間段，過了之后再自動開放。

?1.4.過濾規(guī)則優(yōu)先級

source ? ? ? ? ? ? ? 源地址

interface ? ? ? ? ? ?接收請求的網(wǎng)卡

firewalld.conf中配置的默認zone

2.firewalld配置文件

2.1.firewalld配置方式

firewall-config ? ? ? GUI工具

firewall-cmd ? ? ? ? 命令行工具

直接編輯xml文件 ? ?編輯后還需要reload才生效

2.2.firewall-cmd命令

firewall-cmd --version
firewall-cmd --help
firewall-cmd --state                               //查看firewalld服務狀態(tài)
firewall-cmd --reload                              //修改配置文件后，動態(tài)加載，不會斷開連接。
firewall-cmd --complete-reload                     //完全重新加載看，會斷開連接。類似重啟。
firewall-cmd --panic-on/--panic-off/--query-panic  //panic模式開啟/關閉/查詢。panic模式會丟棄所有出入站的數(shù)據(jù)包，一段時間后所有連接都會超時中斷。
firewall-cmd --get-active-zones                    //查看所有綁定了source, interface和默認的zone，以及各個zone的生效條件。
firewall-cmd --set-default-zone=ZONE               //設置默認的zone，也可以修改firewalld.conf中的DefaultZone選項。


firewall-cmd --zone=xxxx --list-all


//反向查詢：根據(jù)source或interface查詢對應的zone
firewall-cmd --get-zone-of-interface=interface
firewall-cmd --get-zone-of-source=source[/mask]


//更多用法在后面列出......

部分命令共同的參數(shù)說明：

--zone=ZONE ? ? ? ? ? ? ?指定命令作用的zone，省缺的話命令作用于默認zone

--permanent ? ? ? ? ? ? ? 有此參數(shù)表示命令只是修改配置文件，需要reload才能生效；無此參數(shù)則立即在當前運行的實例中生效，不過不會改動配置文件，重啟firewalld服務就沒效果了。

--timeout=seconds ? ? ?表示命令效果持續(xù)時間，到期后自動移除，不能和--permanent同時使用。例如因調試的需要加了某項配置，到時間自動移除了，不需要再回來手動刪除。也可在出現(xiàn)異常情況時加入特定規(guī)則，過一段時間自動解除。? ??

2.3.配置文件存儲位置

firewalld的配置文件以xml為主（主配置文件firewalld.conf除外），有兩個存儲位置：

/etc/firewalld/ ? ? ? ? ? ? ?存放修改過的配置（優(yōu)先查找，找不到再找默認的配置）

/usr/lib/firewalld/ ? ? ? ? 默認的配置

修改配置的話只需要將/usr/lib/firewalld中的配置文件復制到/etc/firewalld中修改。恢復配置的話直接刪除/etc/firewalld中的配置文件即可。

2.4.配置文件結構

firewalld.conf ? ? ? ? ? ? ? ? ? ? ? 主配置文件，鍵值對格式

DefaultZone ? ? ? ? 默認使用的zone，默認值為public

MinimalMark ? ? ? ?標記的最小值，默認為100

CleanupOnExit ? ? 退出firewalld后是否清除防火墻規(guī)則，默認為yes

Lockdown ? ? ? ? ? ?是否其他程序允許通過D-BUS接口操作，使用lockdown-whitelist.xml限制程序，默認為no

IPv6_rpfilter ? ? ? ? 類似rp_filter，判斷接收的包是否是偽造的（通過路由表中的路由條目，查找uRPF），默認為yes? ? ?

lockdown-whitelist.xml

direct.xml ? ? ? ? ? ? ? ? ? ? ? ? ? direct功能，直接使用防火墻的過濾規(guī)則，便于iptables的遷移

zones/ ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?zone配置文件

services/ ? ? ? ? ? ? ? ? ? ? ? ? ? ? service配置文件

icmptypes/ ? ? ? ? ? ? ? ? ? ? ? ? ?icmp類型相關的配置文件

2.5.zone文件中配置規(guī)則

    
    Demo
    demo...
    
            
    
    
        
    
    


    
               [  ]
               [  ]
               [
                  |
                  |
                  |
                  |
                  |
                 
               ]
               [  []  ]
               [  []  ]
               [  |  |  ]
     

2.6.使用firewall-cmd配置規(guī)則

?

//zone的默認的行為
firewall-cmd --permanent [--zone=zone] --get-target
firewall-cmd --permanent [--zone=zone] --set-target=target


//配置source，相同的source只能在一個zone中配置,否則會提示Error: ZONE_CONFLICT 。
firewall-cmd [--permanent] [--zone=zone] --list-sources                        //顯示綁定的source
firewall-cmd [--permanent] [--zone=zone] --query-source=source[/mask]          //查詢是否綁定了source
firewall-cmd [--permanent] [--zone=zone] --add-source=source[/mask]            //綁定source，如果已有綁定則取消。
firewall-cmd [--zone=zone] --change-source=source[/mask]                       //修改source，如果原來未綁定則添加綁定。
firewall-cmd [--permanent] [--zone=zone] --remove-source=source[/mask]         //刪除綁定   


//interface   如eth0, 也可以在網(wǎng)卡配置文件ifcfg-*中加入  ZONE=ZONE名
firewall-cmd [--permanent] [--zone=zone] --list-interfaces
firewall-cmd [--permanent] [--zone=zone] --add-interface=interface
firewall-cmd [--zone=zone] --change-interface=interface
firewall-cmd [--permanent] [--zone=zone] --query-interface=interface
firewall-cmd [--permanent] [--zone=zone] --remove-interface=interface


//service
firewall-cmd [--permanent] [--zone=zone] --list-services
firewall-cmd [--permanent] [--zone=zone] --add-service=service [--timeout=seconds]   
firewall-cmd [--permanent] [--zone=zone] --remove-service=service
firewall-cmd [--permanent] [--zone=zone] --query-service=service


//port
firewall-cmd [--permanent] [--zone=zone] --list-ports
firewall-cmd [--permanent] [--zone=zone] --add-port=portid[-portid]/protocol [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-port=portid[-portid]/protocol
firewall-cmd [--permanent] [--zone=zone] --query-port=portid[-portid]/protocol


//icmp-block, 默認允許所有ICMP通過
firewall-cmd --get-icmptypes //查看所有支持的ICMP類型：
　　　　　　　　　　　　　　　   // destination-unreachable echo-reply echo-request parameter-problemr-solicitation source-quench time-exceeded
firewall-cmd [--permanent] [--zone=zone] --list-icmp-blocks
firewall-cmd [--permanent] [--zone=zone] --add-icmp-block=icmptype [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-icmp-block=icmptype
firewall-cmd [--permanent] [--zone=zone] --query-icmp-block=icmptype


//masquerade
firewall-cmd [--permanent] [--zone=zone] --add-masquerade [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-masquerade
firewall-cmd [--permanent] [--zone=zone] --query-masquerade


//端口轉發(fā)
firewall-cmd [--permanent] [--zone=zone] --list-forward-ports
firewall-cmd [--permanent] [--zone=zone] --add-forward-port=port=PORT[-PORT]:proto=PROTOCAL[:toport=PORT[-PORT]][:toaddr=ADDRESS[/MASK]][--timeout=SECONDS]
firewall-cmd [--permanent] [--zone=zone] --remove-forward-port=port=PORT[-PORT]:proto=PROTOCAL[:toport=PORT[-PORT]][:toaddr=ADDRESS[/MASK]]
firewall-cmd [--permanent] [--zone=zone] --query-forward-port=port=PORT[-PORT]:proto=PROTOCAL[:toport=PORT[-PORT]][:toaddr=ADDRESS[/MASK]]
 
//rule規(guī)則，  'rule'是將xml配置中的<和/>符號去掉后的字符串，如 'rule family="ipv4" source address="1.2.3.4" drop'
firewall-cmd [--permanent] [--zone=zone] --list-rich-rules
firewall-cmd [--permanent] [--zone=zone] --add-rich-rule='rule' [--timeout=seconds]
firewall-cmd [--permanent] [--zone=zone] --remove-rich-rule='rule'
firewall-cmd [--permanent] [--zone=zone] --query-rich-rule='rule'

審核編輯：黃飛

?