【Linux】-学习笔记10

第八章、Linux下的火墙管理及优化

1.什么是防火墙

从功能角度来讲

防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出

从功能实现角度来讲

火墙是系统内核上的一个模块netfilter(数据包过滤机制)

通过netfiler来管理kernelspace中的策略

2.netfilter简介

Netfilter是Linux 2.4.x引入的一个子系统

它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪等等netfilter分析OSI七层协议的2、3、4层

netfiler可以直接分析数据包头部数据,包括硬件地址,软件地址、TCP、UDP、ICMP等数据包的信息都可以进行过滤分析

Iinux的netfilter机制可以进行的工作有:

  • 拒绝让Internet的数据包进入主机的某些端口。
  • 拒绝让某些来源ip的数据包进入。
  • 拒绝让带有某些特殊标志(fag)的数据包进入,最常拒绝的就是带有SYN的主动连接的标志。
  • 分析硬件地址(MAC)来决定连接与否。
  • 地址转换。

防火墙并不能有效阻挡病毒或木马程序,并且防火墙对于内部LAN的攻击无能为力

3.netfilter策略管理工具

netfilter这个内核网络栈过滤框架的使用需要通过iptables或nftables来进行

与netfilter进行交互工具常用种类:

  • oiptables服务使用iptables交互RHEL6之前系统默认使用此服务,管理手段丰富,配置比较复杂。
  • firewalld服务使用nftables交互 RHEL6及之后的版本中默认使用此服务,配置类似windows火墙,功能模块度高,使用简单。

4.netfilter的五类HOOK函数及iptables的默认列表和链

4.1五类hook函数

  • NF_IP_PRE ROUTING:位于路由之前,报文一致性检査之后(报文一致性检查包括: 报文版本、报文长度和checksum
  • NF IP LOCAL_IN:位于报文经过路由之后,并且目的是本机的。
  • NF _IP FORWARD:位于在报文路由之后,目的地非本机的。
  • NF IP_LOCAL_OUT:由本机发出去的报文,并且在路由之前。
  • NF IP POST ROUTING:所有即将离开本机的报文。

5.什么是内核空间的iptables

iptables 是基于Netfilter框架实现的报文选择系统

iptables用于报文的过滤、网络地址转换和报文修改等功能

iptables 本质上是包含了5个规则表,而规则表则包含了一些列的报文的匹配规则以及操作目

  • raw表:第一优先级的表,设置raw表规则后,不会对数据包进行链接跟踪和NAT转换,使用于PREROUTING和OUTPUT链,对应的动作为NOTRACK。
  • mangle表:第二优先级的表,根据规则,修改数据包的TOS(TypeOfService,服务类型)、TTL(TimeToLive,生存周期)以及设置Mark标记,以实现Qos以及策略路由等。
  • nat表:第三优先级的表,网络地址转换表,用于修改源和目的的地址,分SNAT(源目的地址转换)和DNAT(目的地址转换)。
  • filter表:第四优先级的表,用于控制到达链(forward链、input链、output链)上的数据包,是放行(accepte)、丢弃(drop)或者拒绝(reject)。
  • security表:最不常用的表(通常,我们说iptables只有4张表,security表是新加入的特性),用于在数据包上应用SELinux。

6.iptbales服务

6.1iptables简介

iptables服务是用户管理内核空间的iptables的管理工具,通过iptables书写内核空间的iptables策略

iptables的规则是至上而下的读取方式,遇到与数据包信息匹配的规则后直接采用

iptables的规则默认保存在内存中,如果需要永久保存需要把策略以字符的形式保存到/etc/sysconfig/iptables中

为了设置iptables的环境,我们将火墙关闭,并且禁用

复制代码
systemctl disable --now firewalld
​
systemctl mask firewalld   #mask选项用于将服务单元文件链接到/dev/null,这是一种更严格的禁用方式。
复制代码
iptables and ip6tables misc utilities   #下载

并且启动,查看状态

复制代码
iptables -L   #查看状态
复制代码
iptables  -F    #--flush [chain]清空指定链 chain 上面的所有规则。如果没有指定链,清空该表上所有链的所有规则

刷新后,没有进行永久的保存

复制代码
cat /etc/sysconfig/iptables

查询后依然可以查看

但是进行永久保存后

复制代码
 service iptables save

其中的策略已经被更新

6.2iptables命令的语法格式和常用参数

6.2.1添加策略
复制代码
iptables -A INPUT -p tcp 22 -j ACCEPT  #用于放行 HTTP(Hyper - Text Transfer Protocol)服务相关的网络流量。它允许目的端口为 80 的 TCP 数据包进入系统。
​
iptables -A INPUT -p tcp --dport 22 -j ACCEPT   
​
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
​
iptables -A INPUT -i lo -j ACCEPT    #这条规则是针对本地回环接口(lo)的。本地回环接口的 IP 地址通常是 127.0.0.1。
​
iptables -A INPUT  -s 172.25.254.100 -p tcp --dport 53 -j ACCEPT   #允许来自特定源 IP 地址(172.25.254.100)的、协议为 TCP 且目的端口为 53 的数据包进入系统。端口 53 通常与 DNS(Domain Name System)服务相关,TCP 协议的端口 53 主要用于区域传输等复杂的 DNS 操作。
​
iptables -A INPUT -j REJECT   #对于进入本机的所有网络数据包(因为前面没有添加其他诸如协议、端口、源地址等限定条件),都会直接向发送方发送拒绝响应,告知对方数据包不能进入本机,相当于阻断了所有外来的网络连接请求进入系统。

查看

6.2.2修改策略

修改之前的端口80为8080

复制代码
iptables -R INPUT 2 -p tcp --dport 8080 -j ACCEPT
6.2.3策略的删除
复制代码
iptables -D INPUT 6

删除后查看

6.2.4插入策略
复制代码
iptables -I INPUT 3 -p tcp --dport 80 -j ACCEPT
6.2.5修改默认规则
复制代码
iptables -P FORWARD DROP

修改之前

修改之后

6.2.6添加一个新的策略表
复制代码
iptables -N lee

新建之前有三张表

添加一个lee表

修改表的名字

复制代码
iptables -E lee tim

删除表

复制代码
iptables -X tim

7.firewalld

7.1.firewald服务管理方式与iptables的管理方式区别

iptables是基于Linux内核的Netfilter子系统构建的,直接操作Netfilter;而firewalld则通过libnftables库与Netfilter交互,提供了一个更高的抽象层。

iptables使用基于表的规则集,包括filter、nat、mangle、raw及securty五个表;firewalld采用基于区域的规则集,包括default、public、internal、external和dmz五个区域。

iptables的配置较为复杂,需要用户掌握特定的命令行语法;firewalld提供了更直观和灵活的配置方式,支持命令行和图形界面。

由于firewalld通过libnftables库与Netfilter交互,其性能相对于直接操作Netfilter的iptables来说较低。

由于firewalld通过libnftables库与Netfilter交互,其性能相对于直接操作Netfilter的iptables来说较低。

7.2firewalld域介绍

|----------------|---------------------------------------------------------|
| 区域 | 默认规则策略 |
| 阻塞区域(block) | 拒绝流入的流量,除非与流出的流量相关 |
| 工作区域(work) | 拒绝流入的流量,除非与流出的流量相关 |
| 家庭区域(home) | 拒绝流入的流量,除非与流出的流量相关 |
| 公共区域(public) | 不相信网络上的任何计算机,只有选择接受传入的网络连接 |
| 隔离区域(DMZ) | 隔离区域也称为非军事区域,内外网络之间增加的一层网络起到缓冲作用。对 于隔离区域,只有选择接受传入的网络连接。 |
| 信任区域(trusted) | 允许所有的数据包。 |
| 丢弃区域(drop) | 拒绝流入的流量,除非与流出的流量相关 |
| 内部区域(internal) | 等同于home区域 |
| 外部区域(external) | 拒绝流入的流量,除非与流出的流量有关;而如果流量与ssh服务相关则允许流量 |

firewalld中默认使用的域是pubic

firewalld默认提供的九个zones的调用文件都保存在"/usr/lib/firewalld/zones/"目录下

相关推荐
xiaoli23271 分钟前
课题学习笔记2——中华心法问答系统
笔记·学习
就改了10 分钟前
FastDFS如何提供HTTP访问电子影像文件
笔记
唐青枫12 分钟前
Linux 如何统计系统上各个用户登录(或者登出)记录出现的次数?
linux
唐青枫25 分钟前
Vim 进阶教程
linux·vim
CarmenHu25 分钟前
Word2Vec和Doc2Vec学习笔记
笔记·学习·word2vec
我是唐青枫26 分钟前
Vim 进阶教程
linux
门前云梦37 分钟前
ollama+open-webui本地部署自己的模型到d盘+两种open-webui部署方式(详细步骤+大量贴图)
前端·经验分享·笔记·语言模型·node.js·github·pip
布说在见38 分钟前
踩坑与成长:WordPress、MyBatis-Plus 及前端依赖问题解决记录
服务器·学习·php
太阳伞下的阿呆1 小时前
配置Mac/Linux终端启动执行脚本
linux·运维·macos
flashier1 小时前
ESP32学习笔记_Peripherals(4)——MCPWM基础使用
单片机·学习·esp32·pwm·mcpwm