第 14 章 防火墙的使用
14.1 防火墙的概念
将不安全的网络流量信息进行隔离
14.2 防火墙的实现
14.2.1 硬件实现
思科,华为防火墙服务器
14.2.2 软件实现
iptables(centos6)和firewalld(centos7)实现
14.3 防火墙服务(容器)的组成部分
14.3.1 什么是容器
- 防火墙服务(容器) 容器就是表的概念
- 防火墙服务表(容器) 链的概念
- 防火墙链(容器) 规则
14.3.2 配置防火墙的流程
开启防火墙服务------指定表--------指定链-------指定规则
14.4 防火墙表和链
- 红色为表,粉色为链
14.4.1 表对应的链
- filter INPUT、FORWARD、OUTPUT
- nat PREROUTING、POSTROUTING、OUTPUT
- mangle PREROUTING、OUTPUT、FORWARD、POSTROUTING
- raw PREROUTING、OUTPUT
14.5 iptables 的工作原理
14.5.1 文字概述
- 防火墙是层层过滤的,实际是按照配置规则从前往后或者从上往下过滤的
- 如果匹配上规则,则明确表示是阻止还是通过,数据包不会在往下进行匹配
- 如果规则中没有明确表明是阻止还是通过,也没有匹配规则,向下匹配,直到匹配到默认规则明确表示是通过还是阻止
- 防火墙的默认规则是所有的规则执行完毕后才执行的
14.6 iptables 表和链的关系详细说明
14.6.1 filter 表的使用
真正起到防火墙的功能
14.6.1.1 filter 表下面的链简要说明
INPUT链 流量在进入时进行访问控制
OUTPUT链 流量在出去的时候进行访问控制
FORWARD链 流量是否可以经过防火墙
14.6.2 iptables 防火墙 filter 表中的 3 个链的规则配置方法
14.6.2.1 准备工作
14.6.2.1.1 安装iptables服务
[root@firewalld yum.repos.d] # yum install -y iptables
14.6.2.1.2 查看一些默认iptables配置策略
- -L [chain [rulenum]] List the rules in a chain or all chains 列出链上规则配置信息
- -n numeric output of addresses and ports 以数字形式输出地址和端口
[root@firewalld ~] # iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 ctstate RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
You have new mail in /var/spool/mail/root
[root@firewalld ~] #
14.6.2.2 进行初始化的操作
- -F [chain] Delete all rules in chain or all chains 删除所有的链上的规则,默认是filter表
- -Z [chain [rulenum]] Zero counters in chain or all chains 清除计数器上面的信息
- -X [chain] Delete a user-defined chain 删除用户自定义链
14.6.2 nat 表的使用
实现访问映射/流量转发
实现内网访问外网
外网访问映射到指定内网主机
14.7 filter 表的练习
-
策略处理方法:
-
ACCEPT 允许接收
- DROP 丢弃(更安全)
-
REJECT 拒绝
-
-t table table to manipulate (default: `filter') 使用-t 来定义后面的表信息,默认filter
- -A chain Append to chain 追加一个链在后面
-
-p proto protocol: by number or name, eg. `tcp' 协议:通过数字或者协议名称
-
--dport 规则匹配的目标端口信息
-
--sport 规则匹配的源端口信息
-
-j target target for rule (may load target extension)
指定处理规则动作
- -s address[/mask][...] source specification 指定匹配规则的源信息
- -d address[/mask][...]destination specification
指定匹配规则的目标信息
- -P chain target Change policy on chain to target
在链上修改默认策略
- -i input name[+]network interface name ([+] for wildcard)
指定从哪个网卡进入
- -o output name[+]network interface name ([+] for wildcard)
指定从哪个网卡出去
- -m match extended match (may load extension)
扩展匹配的信息
- -I chain [rulenum]Insert in chain as rulenum (default 1=first)
指定行插入规则信息
14.7.1 阻止任意用户访问 22 端口
14.7.1.1 INPUT 练习
[root@firewalld ~] # iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
14.7.1.2 OUTPUT 练习
[root@firewalld ~] # iptables -t filter -A OUTPUT -p tcp --sport 22 -j DROP
14.7.2 允许 10.0.0.1 主机访问 22 端口 , 其他网段 , 其他主机不能访问
14.7.2.1 INPUT 练习
[root@firewalld ~] # iptables -A INPUT -s 10.0.0.1 -p tcp -d 10.0.0.81 --dport 22 -j ACCEPT
[root@firewalld ~] # iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j DROP
14.7.2.2 OUTPUT 练习
[root@firewalld ~] # iptables -A OUTPUT -d 10.0.0.1 -p tcp -s 10.0.0.81 --sport 22 -j ACCEPT
[root@firewalld ~] # iptables -A OUTPUT -d 10.0.0.0/24 -p tcp --sport 22 -j DROP
14.7.3 允许所有通过 eth0 流量访问 22 端口 , 拒绝通过 eth1 接口访问 22 端口
14.7.3.1 INPUT 练习
[root@firewalld ~] # iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
[root@firewalld ~] # iptables -A INPUT -i eth1 -p tcp --dport 22 -j DROP
14.7.3.2 OUTPUT 练习
[root@firewalld ~] # iptables -A OUTPUT -i eth0 -p tcp --dport 22 -j ACCEPT
[root@firewalld ~] # iptables -A INPUT -i eth1 -p tcp --sport 22 -j DROP
14.7.4 除了 10.0.0.1 这个地址可以访问 22 端口 , 其他所有的地址都不能访问 22 端口
14.7.4.1 取反操作
[root@firewalld ~] # iptables -A INPUT ! -s 10.0.0.1 -p tcp --dport 22 -j DROP
14.7.4.2 修改默认策略
[root@firewalld ~] # iptables -A INPUT -s 10.0.0.1 -p tcp --dport 22 -j ACCEPT 允许10.0.0.1 访问22 端口
[root@firewalld ~] # ipatbles -P INPUT DROP 修改默认规则为阻止
14.7.5 如何阻止用户访问防火墙的多个端口
14.7.5.1 连续多个端口信息
[root@firewalld ~] # iptables -A INPUT -s 10.0.0.1 -p tcp --dport 22:80 -j DROP
14.7.5.2 不连续的多个端口信息
[root@firewalld ~] # iptables -A INPUT -s 10.0.0.1 -m multiport -p tcp --dport 22,23,25,80 -j DROP
14.7.6 实现主机禁 ping 功能
-
ping使用的是icmp协议
-
type 8:表示ping包请求流量
- type 0:表示ping包响应流量
14.7.6.1 其他服务器 ping 不通防火墙服务器
14.7.6.1.1 INPUT练习
[root@firewalld ~] # iptables -A INPUT -s 10.0.0.7 -p icmp --icmp-type 8 -j DROP
14.7.6.1.2 OUTPUT练习
[root@firewalld ~] # iptables -A OUTPUT -d 10.0.0.7 -p icmp --icmp-type 0 -j DROP
14.7.6.2 防火墙不能 ping 其他主机
14.7.6.2.1 OUTPUT练习
[root@firewalld ~] # iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
14.7.6.2.2 INPUT练习
[root@firewalld ~] # iptables -A INPUT -p icmp --icmp-type 0 -j DROP
14.7.6.3 阻止 0 和 8 的流量信息
[root@firewalld ~] # iptables -A INPUT -p icmp -m icmp --icmp-type any -j DROP
- -m icmp 是扩展的意思,可以同时指定多个icmp协议协议
- any 表示任意协议的意思
14.7.7 利用防火墙限制数据包流量
[root@firewalld ~] # iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 5 -j ACCEPT
[root@firewalld ~] # iptables -P INPUT DROP
- -m limit --limit n/{second/minute/hour}一定时间内可以产生出n个包
- --limit-burst 5 n个包过后在多长时间内限速不产生包
14.8 企业中防火墙(iptables)实际配置过程
14.8.1 确认filter表中的所有默认策略(一般设置为白名单,切记先操作完第二步骤,在操作第一步骤)
[root@firewalld ~] # iptables -P INPUT DROP 默认INPU
[root@firewalld ~] # iptables -P OUTPUT DROP 默认OUTPUT 为阻止
[root@firewalld ~] # iptables -P FORWARD ACCEPT 默认FORWARD 为允许
14.8.2 确认自己可以远程连接防火墙服务器
[root@firewalld ~] # iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT
[root@firewalld ~] # iptables -P INPUT DROP
[root@firewalld ~] # iptables -P OUTPUT DROP
[root@firewalld ~] # iptables -P FORWARD ACCEPT
14.8.3 设置环回接口 (lookback)
14.8.3.1 环回接口的概念和作用
14.8.3.1.1 概念
环回接口是一个逻辑接口
14.8.3.1.2 作用
可以实现服务器自己ping自己
可以设置成一个机器的管理口
14.8.3.2 防火墙环回接口配置
14.8.3.2.1 环回接口INPUT和OUTPUT都设置成允许
[root@firewalld ~] # iptables -A INPUT -i lo -p all -j ACCEPT
You have new mail in /var/spool/mail/root
[root@firewalld ~] # iptables -A OUTPUT -o lo -p all -j ACCEPT
14.8.4 让防火墙的配置永久保存
14.8.4.1 centos6
service iptables save
14.8.4.2 centos7
14.8.4.2.1 使用 iptables-save 来将显示的信息重定向到 /etc/sysconfig/iptables
[root@firewalld ~] # iptables-save > /etc/sysconfig/iptables
14.8.4.2.2 直接编辑/etc/sysconfig/iptables保存(不要把iptables这个添加就可以)
[root@firewalld ~] # cat /etc/sysconfig/iptables
Generated by iptables-save v1.4.21 on Thu Dec 5 16:08:22 2019
*filter
:INPUT ACCEPT [826:97750]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [440:68087]
-A INPUT -i lo -j ACCEPT 和这个 iptables -A INPUT -i lo -p all -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
Completed on Thu Dec 5 16:08:22 2019
[root@firewalld ~] #
14.9 nat 表的使用
- PREROUTING 可以实现外网主机访问内网
- POSTROUTING 可以实现内网主机访问外网
- OUTPUT 流量在出去时进行访问控制
14.9.1 内网访问外网
14 . 9 . 1 . 1 修改内网网关信息
[root@web01 ~] # cat /etc/sysconfig/network-scripts/ifcfg-eth1
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
IPADDR=172.16.1.7
PREFIX=24
DEFROUTE=yes
GATEWAY=172.16.1.5
DNS1=223.5.5.5
DNS2=223.6.6.6
14 . 9 . 1 . 2 实现内网服务器可以 ping 通网关
[root@lb01 ~] # iptables -A INPUT -s 172.16.1.7 -j ACCEPT
[root@lb01 ~] #
14 . 9 . 1 . 3 开启路由转发的功能
[root@lb01 ~] # cat /etc/sysctl.conf
sysctl settings are defined through files in
/usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/.
net.ipv4.ip_forward=1 开启路由转发的功能
[root@lb01 ~] #
[root@lb01 ~] # sysctl -p /etc/sysctl.conf
net.ipv4.ip_forward = 1 重新加载路由转发配置文件
[root@lb01 ~] #
14 . 9 . 1 . 4 配置内网通过外网上网
[root@lb01 ~] # iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT -o eth0 --to-source 10.0.0.5
[root@lb01 ~] # iptables -A FORWARD -i eth1 -s 172.16.1.0/24 -j ACCEPT
[root@lb01 ~] # iptables -A FORWARD -o eth0 -s 172.16.1.0/24 -j ACCEPT
[root@lb01 ~] # iptables -A FORWARD -i eth0 -s 172.16.1.0/24 -j ACCEPT
[root@lb01 ~] # iptables -A FORWARD -o eth1 -s 172.16.1.0/24 -j ACCEPT
[root@lb01 ~] #
14.9.2 实现外网可以访问内网
[root@firewalld ~] # iptables -t nat -A PREROUTING ( 链) -d 10.0.0.81 ( 访问的目标地址)-p tcp --dport 9000 ( 目标端口) -i eth0 ( 在什么地方做映射) -j DNAT ( 目的地址做NAT 转换) --to-destination 172.16.1.7:22 ( 转换成的目的地址是多少)
[root@firewalld ~] # iptables -t nat -A PREROUTING -d 10.0.0.81 -p tcp --dport 9000 -i eth0 -j DNAT --to-destination 172.16.1.7:22
14.10 自定义链的使用(相当于shell脚本中的变量)
14.10.1 创建自定义链
[root@firewalld ~] # iptables -N oldboy
14.10.2 设置自定义链规则
[root@firewalld ~] # iptables -A oldboy -p tcp --dport 8080 -j ACCEPT
14.10.3 使用自定义链
[root@firewalld ~] # iptables -A INPUT -s 172.16.1.0/24 -j oldboy
14.10.4 调整端口不光能访问8080,是8080:8090
[root@firewalld ~] #iptables -R oldboy 1 -p tcp --dport 8080:8090 -j ACCEPT
Original: https://www.cnblogs.com/liangyuxing/p/12009669.html
Author: HXX-LYX
Title: 史上最全的iptables应用
相关阅读
Title: Markdown基础语法学习.md
Markdown基础语法学习
Markdown是一种轻量级标记语言,排版语法简洁,让人们更多地关注内容本身而非排版。它使用易读易写的纯文本格式编写文档,可与HTML混编,可导出HTML、PDF以及本身的.md格式的文件。因简洁、高效、易读、易写,Markdown被大量使用,如Github、Wikipedia、简书等。
一、Markdown标题语法
要创建标题,请在单词或短语前面添加井号(#)。#的数量代表了标题的级别。例如,添加三个#表示创建一个三级标题(《h3》),最多可创建6级标题。
例如:
Heading level 1
Heading level 2
Heading level 3
Heading level 4
Heading level 5
Heading level 6
可选语法:还可以在文本下方添加任意数量的==号来标识一级标题,
或者--号来标识二级标题。
Heading level 1
Heading level 2
二、Markdown引用语法
Hello World!
aaaaa
bbbbb
cccc
Hello World! 1
22222
3333
4444
5555
6666
7777
8888
9999
10101010
三、Markdown单行代码引用
这是行内标记与引用 代码01,请看这个 <br>,换行符变成了引用
四、Markdown代码块语法
import sys
print("Hello World!")
五、Markdown超链接语法
六、Markdown列表语法
这是有序列表:
- 1111
- 2222
- 3333
这是无序列表:
- aaa
- 222
- ccc
- rr
- bbb
-
ccc
-
halo
- aaa
- ccc
- eee
七、Markdown加粗与倾斜语法
加粗
倾斜
加粗与倾斜
八、Markdown插入表格语法
详细语法见教程网站
九、 常用快捷键
结尾:详细Markdown语法详见RUNOOB.COM
Original: https://www.cnblogs.com/-GCWorld/p/16212348.html
Author: GC_Code
Title: Markdown基础语法学习.md