一、概念
1、防火墙firewall
Linux 防火墙用于控制进出系统的网络流量,保护系统免受未授权访问。常见的防火墙工具包括 iptables 、nftables 、UFW 和 firewalld。
-
防火墙类型
-
包过滤防火墙 :基于网络层(IP、端口、协议)过滤流量(如
iptables)。 -
应用层防火墙:基于应用协议(如 HTTP、SSH)过滤流量(需结合代理或深度包检测)。
-
-
关键术语
-
表(Table) :规则集合,如
filter(过滤)、nat(地址转换)、mangle(包修改)。 -
链(Chain) :规则链,默认链包括
INPUT(入站)、OUTPUT(出站)、FORWARD(转发)。 -
规则(Rule) :定义匹配条件和动作(如允许
ACCEPT、拒绝DROP)。 -
区域(Zone) :
firewalld的概念,定义不同网络环境(如public、home)的安全级别。
-
-
状态检测
- 跟踪连接状态(如
NEW、ESTABLISHED),允许响应流量自动放行。
- 跟踪连接状态(如
2、iptables
iptables 是集成在 Linux 内核中的包过滤防火墙系统,它允许系统管理员配置规则集,以便控制网络数据包的进出和转发。iptables 通过定义一系列的规则来决定如何处理经过网络接口的数据包。这些规则可以基于数据包的来源、目的地、协议类型等多种条件来设置。
二、命令
1、搭建实验运行环境
(1)前提说明
防火墙命令相关实验我们准备三个虚拟机,请先自行克隆出来三个,分别命名为F1、F2、F3
其中,F1与F3相互沟通,F2是它们沟通的桥梁
|-----|------------------------------------------------|----------------------|
| 主机名 | ip | 网络类型 |
| F1 | 192.168.76.10 | NAT |
| F2 | 192.168.76.20(NAT的) 192.168.194.20(Host-only的) | NAT + Host-only(仅主机) |
| F3 | 192.168.194.30 | Host-only(仅主机) |
ip项请务必清楚 自己虚拟机在NAT和Host-only(仅主机) 这两个网络类型下的网段是什么,
这里说一下查看办法:
按图中步骤来:点击实验所需的三台主机中的其中一台,这里是F1;点编辑;点虚拟网络编辑器;进去后即可查看:
仅主机时的ip网段
NAT时的ip网段:
这里的都是博主自己的,你们的都可以按照这个办法来查询
(2)设置三台主机的网络类型
1)对于F1
F1用NAT模式,默认应该就是NAT模式,但还是建议去查看一下:
2)对于F2
F2有两个:
一个是默认自带的NAT
另一个是Host-only(仅主机)
3)对于F3
F3是Host-only(仅主机)
(3)设置IP等基础配置
IP地址的配置先前博客有讲过,这里不再赘述,简单过一遍。配置指令为nm-connection-editor
手动配置你们网段的IP地址即可,可以按照上面的表格:
来进行配置IP,注意,F2有两个网卡,需要配置两个。
nm-connection-editor示例
主机F1、F3和F2的第二个网卡(为下图F2的ens192)都不用配置网关,F2的第一个NAT类型网卡(图中为ens160)需要配置网关
F2的第一个NAT类型网卡(图中为ens160)需要配置网关
到这里就完成了实验环境的搭建
(4)测试
F1能ping通F2的NAT网卡(192.168.76.20)
F2的仅主机网卡(192.168.194.20)能ping通F3
2、iptables命令
(1)安装软件
安装需要搭建软件仓库,详情请见之前博客
dnf install iptables-nft-services.noarch -y示例
(2)关闭防火墙
systemctl disable --now firewalld示例
systemctl mask firewalld示例
(3)启动服务
systemctl enable --now iptables.service示例
(4)iptables基本语法格式
iptables [-t 表名] 命令选项 [链名] [规则条件] -j 目标动作(5)常用命令选项
| 参数 | 说明 |
|---|---|
-A 或 --append |
在链末尾添加规则(如 -A INPUT)。 |
-I 或 --insert |
在链的指定位置插入规则(如 -I INPUT 1 插入为第一条)。 |
-D 或 --delete |
删除指定规则(如 -D INPUT 2 或按规则内容删除)。 |
-L 或 --list |
列出链中的规则(配合 -n 禁用DNS解析,-v 显示详细信息)。 |
-F 或 --flush |
清空链中的所有规则(如 -F INPUT)。 |
-P 或 --policy |
设置链的默认策略(如 -P INPUT DROP)。 |
-N 或 --new-chain |
创建自定义链(如 -N MY_CHAIN)。 |
-X 或 --delete-chain |
删除自定义空链。 |
-Z 或 --zero |
重置计数器(数据包和字节计数)。 |
| 参数 | 说明 |
|---|---|
-p 或 --protocol |
指定协议(如 tcp、udp、icmp、all)。 |
-s 或 --source |
源IP地址或网段(如 -s 192.168.1.0/24)。 |
-d 或 --destination |
目标IP地址或网段。 |
-i 或 --in-interface |
指定数据包进入的网络接口(如 -i eth0)。 |
-o 或 --out-interface |
指定数据包离开的网络接口。 |
| - j 或 -- jump | 指定目标,即满足某条件时该执行什么样的动作,如ACCPET。 |
| 参数 | 说明 |
|---|---|
--dport |
目标端口(如 --dport 80)。 |
--sport |
源端口。 |
--multiport |
多端口匹配(需加载 multiport 模块,如 --dports 80,443)。 |
(6) 各种命令选项的常用命令
就是上面的表中的部分常用的详解
1)iptables -nL
查看当前iptables策略
iptables -nL示例
下面的三行:INPUT、FORWARD、OUTPUT,即为-A后面接的东西(规则)
2)iptables -t 表名
iptables -t示例
输入-t后,我们连按table键,可以看到弹出来的这些就是表名,分别为:filter mangle nat
以下是各个表的详解
filter表:
-
默认表 :若未指定
-t参数,默认使用filter表。 -
核心功能:过滤数据包,决定是否允许数据包通过。
-
内置链:
链名 触发时机 常见用途 INPUT处理目标是本机的数据包(入站) 控制进入本机的流量(如开放 SSH 端口)。 OUTPUT处理本机产生的数据包(出站) 限制本机程序对外访问(如禁止某些 IP)。 FORWARD处理经过本机转发的数据包(路由) 配置 NAT 网关或防火墙路由规则。
nat 表:
-
核心功能:网络地址转换(Network Address Translation),用于修改数据包的源或目标地址。
-
内置链:
链名 触发时机 常见用途 PREROUTING数据包进入路由决策之前(刚到达网卡) DNAT(目标地址转换,如端口转发)。 POSTROUTING数据包离开本机之前(即将发送到网卡) SNAT/MASQUERADE(源地址转换,如共享上网)。 OUTPUT本机产生的数据包在路由决策之后 对本机出站流量做 NAT(较少使用)
mangle 表:
-
核心功能:修改数据包内容(如 TTL、TOS 字段)或标记数据包(MARK),用于高级流量控制。
-
内置链:
链名 触发时机 PREROUTING数据包进入路由决策之前 POSTROUTING数据包离开本机之前 INPUT处理目标是本机的数据包 OUTPUT处理本机产生的数据包 FORWARD处理经过本机转发的数据包
拓展:清空指定表中的策略
iptables -t filter(这里填你想清理的表名,这里以filter举例) -F示例
3)拒绝某条流量的访问
iptables -t 表名 -p 协议 --dport 80 -s ip地址 -j 功能
1))命令解析与添加规则
我们以一个实例来举例理解,比如:我们想让F1的tcp协议的访问数据不能到达F2,即拒绝F1的tcp流量,所以我们的命令可以写成:
iptables -t filter -A INPUT -p tcp --dport 80 -s 192.168.76.10 -j REJECT这一项命令很长,但把其拆解就不复杂了:
所以,整条命令的意思即为:通过iptables写入一条规则 ------ 拒绝访问(-j REJECT) 表头为filter**(-t filter)、** 端口为80**(--dport 80)** 的tcp协议**(-p tcp)** ,并且还是来自**(-A INPUT)** 192.168.76.10**(-s 192.168.76.10)**的流量
我们再次通过iptables -nL查看一下当前的规则,可以看到在INPUT行我们刚刚新写入的规则:
iptables -nL
2))测试规则的存在与生效
我们在F2主机安装nginx来进行测试,看看我们刚刚设置的规则是否存在且生效:
dnf install nginx -y示例
启动nginx服务:
systemctl enable --now nginx.service示例
往F2的nginx里的默认index.html写入一个内容,方便我们后续测试,内容即为F2的NAT网卡ip本身:
echo 192.168.76.20 > /usr/share/nginx/html/index.html示例
接下来我们分别到F1主机和F3主机进行测试,看看在F2写的规则是否生效:
我们刚刚写的规则是,F2拒绝F1的tcp协议访问流量,F3的访问流量不拒绝
- 在F1端对F2进行访问:
- 在F3端对F2进行访问:
3))总结
这就是火墙,通过iptables命令设置规则,规定谁能访问,谁不能访问
4)只允许某条流量访问
有了上面的基础,这一条就好理解了:
同样在F2进行配置
iptables -t filter -A INPUT -p tcp --dport 80 ! -s 192.168.194.30 -j REJECT示例
这里与上面不同的是-s前面的"!"感叹号,感叹号表示反选,-s本来是表示指定192.168.194.30这条流量,加了"!"感叹号后,就表示除了192.168.194.30这条之外的所有ip地址,所以这条命令也就变成了:
除了192.168.194.30,之外的其他所有ip 全部都被拒绝访问F2,即------只允许ip为192.168.194.30的tcp访问流量来访问F2
而在默认不设置的情况下,策略都为ACCEPT,即允许,所以192.168.194.30的流量能够访问
5)删除filter表中的第X条策略
iptables -D INPUT 3各项解释:
INPUT ------ (指定为INPUT链,想删哪条链的策略就写哪条链名)
3 ------ (3为第三条策略,想删哪条写哪个数字)
3、firewalld命令
(1)概念
Firewalld 是 Linux 系统(尤其是 RHEL/CentOS/Fedora)中动态管理防火墙规则的工具,基于 firewall-cmd 命令行工具和 zone(区域)概念,支持动态更新规则而无需重启服务。
1)核心概念
区域(Zone)
-
定义:预定义的网络信任级别,每个区域关联一组规则(允许的服务、端口等)。
-
默认区域 :通常为
public(未明确指定时使用)。 -
常见区域:
区域名 用途 public公共网络(默认,仅开放明确允许的服务)。 trusted完全信任所有连接。 internal内部网络(类似 home)。dmz非军事区(仅允许部分服务)。 block拒绝所有入站流量(出站允许)。 drop丢弃所有入站流量(无响应,出站允许)。
2)服务(Service)
-
预定义的端口和协议组合(如
ssh、http、https),简化规则配置。 -
服务定义文件路径:
/usr/lib/firewalld/services/*.xml。
3)运行时与永久配置
-
运行时(Runtime):临时生效,重启后失效。
-
永久(Permanent) :持久化配置,需
--permanent参数,重启或重载后生效。
(2)常用命令
1)firewall-cmd命令表
状态与基本信息
| 命令 | 说明 | 示例 |
|---|---|---|
firewall-cmd --state |
查看防火墙运行状态。 | - |
firewall-cmd --reload |
重新加载配置(应用永久规则)。 | sudo firewall-cmd --reload |
firewall-cmd --complete-reload |
完全重启防火墙服务(断开现有连接)。 | sudo firewall-cmd --complete-reload |
firewall-cmd --version |
查看 firewalld 版本。 | - |
区域(Zone)管理
| 命令 | 说明 | 示例 |
|---|---|---|
firewall-cmd --get-default-zone |
查看默认区域。 | - |
firewall-cmd --set-default-zone=<zone> |
设置默认区域(需 --permanent)。 |
sudo firewall-cmd --set-default-zone=internal --permanent |
firewall-cmd --get-active-zones |
查看所有活动区域及绑定的接口。 | - |
firewall-cmd --get-zones |
列出所有可用区域。 | - |
firewall-cmd --zone=<zone> --list-all |
查看指定区域的详细配置。 | firewall-cmd --zone=public --list-all |
firewall-cmd --zone=<zone> --change-interface=<iface> |
为接口绑定区域(需 --permanent)。 |
sudo firewall-cmd --zone=work --change-interface=eth0 --permanent |
服务(Service)与端口(Port)管理
| 命令 | 说明 | 示例 |
|---|---|---|
firewall-cmd --list-services |
查看当前区域允许的服务。 | firewall-cmd --list-services |
firewall-cmd --add-service=<service> |
允许服务(默认运行时,加 --permanent 永久生效)。 |
sudo firewall-cmd --add-service=http |
firewall-cmd --remove-service=<service> |
移除服务。 | sudo firewall-cmd --remove-service=ftp |
firewall-cmd --list-ports |
查看当前区域开放的端口。 | firewall-cmd --list-ports |
firewall-cmd --add-port=<port>/<protocol> |
开放端口(如 80/tcp)。 |
sudo firewall-cmd --add-port=8080/tcp --permanent |
firewall-cmd --remove-port=<port>/<protocol> |
移除端口。 |
高级规则(Rich Rules)
| 命令 | 说明 | 示例 |
|---|---|---|
firewall-cmd --add-rich-rule='<rule>' |
添加富规则(支持 IP、端口、协议等复杂条件)。 | sudo firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept' |
firewall-cmd --remove-rich-rule='<rule>' |
移除富规则。 | sudo firewall-cmd --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept' |
firewall-cmd --list-rich-rules |
列出所有富规则。 |
应急模式与连接追踪
| 命令 | 说明 | 示例 |
|---|---|---|
firewall-cmd --panic-on |
进入应急模式(拒绝所有流量,立即生效)。 | sudo firewall-cmd --panic-on |
firewall-cmd --panic-off |
退出应急模式。 | sudo firewall-cmd --panic-off |
firewall-cmd --query-panic |
检查应急模式状态。 | firewall-cmd --query-panic |
2) 火墙信息查看
firewall-cmd --state示例
firewall-cmd --list-all示例
3)管理域
firewall-cmd --get-default-zone
firewall-cmd --set-default-zone=trusted
firewall-cmd --get-zones
firewall-cmd --get-active-zones示例
4)管理服务
firewall-cmd --get-services
firewall-cmd --list-services --zone=public
firewall-cmd --permanent --add-service=http --zone=public
firewall-cmd --permanent --remove-service=http示例
5)管理ip
firewall-cmd --add-source=192.168.76.20 --zone=trusted
firewall-cmd --remove-source=192.168.76.20 --zone=trusted示例
6)管理port接口
firewall-cmd --add-port=80/tcp
firewall-cmd --remove-port=80/tcp示例
(3)firewalld高级规则
Firewalld 的高级规则(Rich Rules)允许管理员基于复杂条件(如源/目标 IP、端口、协议、连接状态等)定义精细化的防火墙策略。
1)核心参数与功能:
匹配条件
| 参数 | 说明 |
|--------------------------------|---------------------------------|------------------------------------------|
| `family="ipv4 | ipv6"` | 指定协议族(IPv4 或 IPv6)。 |
| source address="CIDR" | 匹配源 IP 或网段(如 192.168.1.0/24)。 |
| destination address="CIDR" | 匹配目标 IP 或网段。 |
| `port port="端口" protocol="tcp | udp"` | 匹配目标端口和协议(如 port="80" protocol="tcp")。 |
| service name="服务名" | 匹配预定义的服务(如 ssh、http)。 |
| protocol value="协议" | 匹配 IP 协议号或名称(如 icmp、gre)。 |
动作与日志
| 参数 | 说明 |
|---|---|
accept |
允许数据包。 |
reject |
拒绝数据包并返回错误(默认 icmp-port-unreachable)。 |
drop |
丢弃数据包(无响应)。 |
log |
记录日志(可选 prefix 和 level)。 |
audit |
生成审计日志(需审计子系统支持)。 |
mark set="标记值" |
为数据包设置标记(需结合 tc 等工具实现 QoS 或策略路由)。 |
2)规则优先级与执行顺序
-
富规则优先级
-
富规则优先于普通服务/端口规则执行。
-
规则按添加顺序匹配,首条匹配的规则生效。
-
-
规则顺序调整
- 默认无法直接调整顺序,需先删除再重新添加。