2-10单元 —— 防火墙及 NAT 服务器

最新推荐文章于 2022-09-13 00:36:54 发布
最新推荐文章于 2022-09-13 00:36:54 发布
阅读量447 收藏
点赞数
分类专栏: linux 服务器基础篇 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DoDo837132863/article/details/107058577
版权

1.认识防火墙 —— 通过定义一些有顺序的规则,并管理进入到网络内的主机数据包的一种机制。

1.1)防火墙最重要的任务:

  • 切割被信任 (如 子域)与不信任 (如 Internet)的网段
  • 划分出可提供 Internet 的服务与必须受保护的服务
  • 分析出可以接受与不可接受的数据包状态

1.2)Linux 系统上的防火墙的主要类别

  1. Netfilter (数据包过滤机制)—— 在 Linux 上面我们使用内核建立了 Netfilter 机制,而 Netfilter 提供了 iptables 及 firewalld 软件来作为 防火墙数据包包过滤的命令。
  2. TCP Wrappers (程序管理)
  3. Proxy (代理服务器)

2.iptables

2.1)安装 iptables

  • dnf search iptables                                      # 查找 iptables 相关软件

iptables-services.x86_64 : iptables and ip6tables services for iptables

  • dnf install iptables-services.x86_64 -y        # 安装 iptables-services.x86_64

2.2)启动 iptables.service

  • systemctl stop firewalld.service                  # 关闭 firewalld.service
  • systemctl disable firewalld.service             # 不允许 开机启动 firewalld.service
  • systemctl mask firewalld.service                #  锁住 firewalld.service
  • systemctl enable --now iptables.service    #  立即 启用 ,并允许开机启动 iptables.service

2.3)iptables 的语法

2.3.1)iptables 规则的 查看 、保存与 清除

iptables [ -t tables ]  [ -L ] [ -nv]

  • -t :后接 table ,例如 filter 或 nat , 若省略此项 ,默认为  filter
  • -L:列出 目前的 table 规则
  • -n:不进行 IP 与 HOSTNAME 的反查,显示信息的速度更快
  • -v:列出更多信息,如 该规则的数据包总位数、相关的网络接口等

2.3.2)iptables-save [ -t table]  列出完整的防火墙规则

在硬件磁盘上备份保存防火墙规则                   # 清除规则后,重启服务,数据规则会恢复

  • iptables-save > /etc/sysconfig/iptables     # 永久保存方法一 ,输出导入到 /etc/sysconfig/iptables 策略记录文件
  • service iptables save                                # 永久保存方法二 ,命令保存

iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

iptables  [ -t table]  [ -FXZ ]

  • -F:清除所有已制定的规则
  • -X:清除所有用户“自定义”的 chain (tables)
  • -Z:将所有的 chain 的计数与流量统计归零 

2.3.4)定义默认策略(Policy)

iptables [ -t  nat ]   -P  [ INPUT ,OUTPUT,FORWARD ]

  • -P:定义策略(Policy)
  • ACCEPT:该数据包可接受
  • DROP:该数据包直接丢弃,不会让 Client 端知道为何被丢弃!

2.3.5)数据包的基础对比:IP、网络 及 接口设备

iptables [ -AID 链名 ]   [ -io 网络接口 ] [ -p 协议 ]  \ > [ -s 来源 IP 网络 ] [ -d 目标 IP 网络 ] -j [ ACCEPT | DRPO |REJECT |LOG ]

[ -AI 链名 ]:针对某条链进行规则的 “插入”或 “累加”

  • -A:新增加一条规则,改规则增加到原有规则最后面
  • -I:插入一条规则,如果没有指定插入顺序,默认插入变成第一条规则
  • D:删除一条规则
  • 链:如 INPUT 、OUTPUT 、FORWARD 等

[ -io 网络接口 ]:设置数据包进出的接口规范

  • -i:数据包所进入的网络接口,需与 INPUT 链配合
  • -o:数据包所传出的网络接口,需与 OUTPUT 链配合

[ -p 协议 ] :设置规则适用于那种数据包格式

  • 主要的数据包格式 : tcp 、udp、icmp 及 all。

[ -s 来源 IP 网络 ]:设置此规则的数据包的来源地,可指定单纯的 IP 或 网络 (如 规范为“不许”时 ,则加上“!”)

[ -d 目标 IP 网络 ]:设置此规则的数据包的目标地,可指定单纯的 IP 或 网络

-j :[ ACCEPT 接收 | DRPO 丢弃 |REJECT 拒绝 |LOG  记录 ]

 2.3.6)TCP 、UDP 的规则对比:针对端口设置

iptables [ -AI 链名 ]   [ -io 网络接口 ] [ -p 协议 tcp、udp ]

  • [ -s 来源 IP 网络 ]  [ --sport 端口范围 ] -j [ ACCEPT 接受 | DRPO 丢弃 |REJECT 拒绝 ]
  • [ -d 目标 IP 网络 ]  [ --dport 端口范围 ] -j [ ACCEPT | DRPO |REJECT ]

例: 设置防火墙策略,使主机仅能接受80端口的数据访问,及 自己访问自己(回环接口)

防火墙策略设置(172.25.254.20 主机)

  • iptables -A INPUT -i lo -j ACCEPT                               # 开放 lo 这个本机的接口
  • iptables -A INPUT -p tcp --dport 80 -j ACCEPT           # 允许 INPUT 接受 80 端口访问
  • iptables -A INPUT -p tcp -j REJECT                            # 禁止 INPUT 接受访问 (排在第三顺序,先读取的规则是优先的,即除了 80 端口,其他的端口都不接受数据访问)
  • iptables -nL                                                                  # 查看设置

测试 (172.25.254.10 主机):

  • ssh 172.25.254.20 -l root                  #  ssh 协议 通过 22 端口访问,不允许

ssh: connect to host 172.25.254.20 port 22: Connection refused

  • firefox http:\\172.25.254.20               #  http 协议通过 80 端口 访问,允许

2.3.7)iptables 外挂模块:mac(网卡硬件地址) 与 state(状态模块)

iptables -A INPUT  [ -m state ]   [ --state 状态 ]

 -m :iptables 的外挂模块 ,常见如下

  • state :状态模块
  • mac:网卡硬件地址 (hardware address)

--state:数据包状态,主要如下

  • INVALID:无效的数据包,如数据破损的数据包状态
  • ESTABLISHED:已经连接成功的连接状态
  • NEW:新建立连接的数据包状态
  • RELATED:表示这个数据包是与主机发送出去的数据包有关

例:设置防火墙数据包状态模块

  • iptables -F
  • iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  • iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
  • iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
  • iptables -A INPUT -s 172.25.254.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT
  • iptables -A INPUT -m state --state NEW -j REJECT
  • iptables -nL
  • service iptables save                        # 保存 防火墙策略设置

2.4 )NAT 服务器的设置

NAT ( 网络地址的转换 ,Network Address Translation )

2.4.1) SNAT( 来源 NAT ,Source NAT ) :修改数据包报头的来源项目 

  • SNAT数据包传出时,Linux 主机通过 iptables 的 NAT table 内的 POSTROUTING 链 将数据包报头的来源伪装成 Linux 的 public IP ,并将两个不同来源(172.25.254.10 及 192.168.0.100 public IP)的数据包对应写入暂存内存中,然后将此数据包传送出去
  • SNAT数据包接收时,NAT table 内的 POSTROUTING 链,会将 目标 IP 修改成为后端主机(172.25.254.10),然后发现目标已不是本机 (192.168.0.100 public IP),通过路由分析数据包流向,传送到 172.25.254.20 (内部接口),然后再传送到最终目标(172.25.254.10)

内网客户端主机设置

  • vim /etc/sysconfig/network-scripts/ens160

BOOTPROTO="none"
NAME="ens160"
DEVICE="ens160"
ONBOOT="yes"
IPADDR=172.25.254.10
NETMASK=255.255.255.0
GATWAY=172.25.254.20                   # 设置 网关为 172.25.254.20

  • nmcli connection reload
  • nmcli connection down ens160
  • nmcli connection up ens160

外网主机设置

  • cat /etc/sysconfig/network-scripts/ens160

BOOTPROTO="none"
NAME="ens160"
DEVICE="ens160"
ONBOOT="yes"
IPADDR=192.168.0.30
NETMASK=255.255.255.0

NAT 主机设置

  • iptables -F
  • service iptables save
  • iptables -t nat -A POSTROUTING -o ens192 -j SNAT --to-source 172.25.254.20
  • iptables -t nat -nL
  • vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

  • sysctl -a | grep ip_forward

net.ipv4.ip_forward = 1

2.4.2) DNAT( 目标 NAT ,Destination NAT ) :修改数据包报头的目标项目

  • DNAT,主要用在内部主机架设可以让 internet 访问的服务器
  • NAT 服务器 ,会将目标 IP 由 public IP 改成 内部主机172.25.254.10

NAT 主机设置

  • iptables -t nat -A PREROUTING -i ens192 -j DNAT --to-dest 172.25.254.10   #  将路由前数据目标 IP 更改为 172.25.254.10
  • iptables -t nat -nL                    # 查看 nat 表

2.5 firewalld

2.5.1)安装 firewalld

  • dnf search firewalld                                   # 查找 firewalld 相关软件

firewalld.noarch : A firewall daemon with D-Bus interface providing a dynamic firewall

  • dnf install firewalld.noarch -y                    # 安装 firewalld.noarch

启动 firewalld

  • systemctl disable --now iptables.service    #  立即 关闭 ,并禁止开机启动 iptables.service
  • systemctl mask iptables.service                 # 锁住  iptables.service
  • systemctl unmask firewalld.service            # 解锁  firewalld.service
  • systemctl enable --now firewalld.service    #  立即 启用 ,并允许开机启动 firewalld.service

2.5.2)firewalld  的 域

  • trusted:接受所有的网络连接
  • home:家庭网络,允许 ssh,mdns,ipp-client,samba-client,dhcp-client
  • work:工作网络,允许 ssh,ipp-client,,dhcp-client
  • public:公共网络,允许 ssh,dhcp-client
  • dmz:军用级网络,允许 ssh
  • block:拒绝所有
  • drop:丢弃,所有数据丢弃,无任何回复
  • internal:内部网络,允许 ssh,mdns,ipp-client,samba-client,dhcp-client
  • external:ipv4 网络地址伪装转发 ,允许 sshd

firewalld 的设定原理及 数据存储

  • /etc/firewalld      # 火墙配置目录
  • /lib/firewalld       # 火墙模块目录

自定义 服务模块

  • cd /lib/firewalld/services/
  • cp http.xml  westos.xml          # 以 http.xml 模块为模板 ,复制生成 westos.xml 自定义服务文件
  • vim westos.xml                       # 编辑 修改端口为 8080
  • firewall-cmd --reload
  • firewall-cmd --get-services | grep westos

firewalld 的管理命令

  • firewall-cmd --state                             # 查看火墙状态
  • firewall-cmd --get-active-zones          # 查看当前火墙生效的域
  • firewall-cmd --get-default-zone          # 查看火墙默认的域
  • firewall-cmd --list-all                           # 查看默认域中的火墙策略
  • firewall-cmd --list-all  --zone=work     # 查看指定域(work)中的火墙策略
  • firewall-cmd --set-default-zone=trusted    # 设定默认 域
  • firewall-cmd --get-servers                 # 查看所有可以设定的服务
  • firewall-cmd --permanent  --remove-service=cockpit   # 移除 服务 cockpit
  • firewall-cmd --reload                          # 重启 firewalld

firewalld 的高级规则

  • firewall-cmd --permanent  --get-all-rules        # 查看高级规则
  • firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.0/24 -p tcp --dport 22 -j ACCEPT

 firewalld 的 SNAT

  • firewall-cmd --permanent --add-masquerade
  • firewall-cmd --reload

 firewalld 的 DNAT

  • firewall-cmd --permanent --add-forward-por=port=22:porto=tcp:toaddr=172.25.254.30
  • firewall-cmd --reload

 

Firewalld防火墙(二)
weixin_56665328的博客
05-11 270
一.配置网关服务器 1.生成ens34和ens35网卡: cp /etc/sysconfig/network-scripts/ifcfg-ens32 /etc/sysconfig/network-scripts/ifcfg-ens34 cp /etc/sysconfig/network-scripts/ifcfg-ens32 /etc/sysconfig/network-scripts/ifcfg-ens35 2.配置ens35网卡:vim /etc/sysconfig/network-scripts/i
防火墙——NAT
aimnr的博客
09-17 3234
的情况,因为在这种情况下,如果公网用户访问地址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果公网地址池地址和出接口在同一个网段,也可以勾选该选项,这种情况下虽然不会出现环路,但是,有了这个黑洞路由,可以减少ARP报文的出现;五元组NAT --- 通过源IP,源端口,目标IP,目标端口,协议五个参数来标定一次NAT的转换,如果任何一个参数发生变化,都需要更换端口来进行转换。保留IP地址 ---- 可以将不需要使用的公网IP地址放置在保留IP地址中,则在进行转换的时候,不会使用该地址转换。
NAT技术和代理服务器
魏尔肖的博客
06-25 1438
NAT技术-网络地址转换来源:在Internet网上广泛使用的IPV4技术由于NAT技术,中文翻译为网络地址转换。该技术产生的原因:IPv4地址危机,在Internet上应用广泛的IPv4技术,由于其先天性不足,在九十年代初期时,已经预计到了IPv4地址不足,从而开始开发IPv6技术。但开发IPv6需要足够的时间,为了延长IPv4技术的使用时间,产生了NAT技术。 NAT技术不仅解决了网络地址不足的
第9章 防火墙NAT服务器
牛志欢的专栏
11-04 566
概述:防火墙是网络封包进入主机的第一道关卡,防火墙
firewall
chiliwa0464的博客
06-13 476
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。 FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, I...
CentOS7中firewalld的安装与使用详解
weixin_30376163的博客
10-25 1391
一、软件环境 [root@Geeklp201 ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 二、安装firewalld 1、firewalld提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙...
安全防御(二)--- 防火墙域间双向NAT、域内双向NAT、基于VRRP的双机热备
weixin_58299245的博客
09-13 5228
防火墙域间双向NAT、域内双向NAT、基于VRRP的双机热备
防火墙NAT服务器
吾JC的博客
08-16 949
本篇文章介绍了防火墙NAT服务器,主要包括Netfliter(数据包过滤机制)和TCP Wrappers(程序控制)的基本原理及设置、iptables的用法、NAT服务器相关概念等,并概括了防火墙规则的设置流程及方式。
设备安全——防火墙策略实验【NAT、备份】
Miracle_ze的博客
09-12 2523
本次实验在第一次基础策略实验的基础上进行nat与双机热备的实验。掌握了对其防火墙NAT和双机热备的实验步骤。
hyper-v linux网络配置,Win10下给Hyper-V配置网络——Bridging 和 Nat 模式
weixin_32892145的博客
05-06 1005
Bridging :桥接模式Nat:网络地址转换模式本文参考 : Win10下配置Hyper-V虚拟机通过NAT或桥接方式联网,在这里只是做一个自己总结,并将其细化,"中文"化图文。Hyper-V配置这两种网络模式Bridging模式image.png打开Hyper-V管理器,假设你已经安装好了客户机操作系统(Linux),在Hyper-V管理器的右侧有一个虚拟交换机管理器,使用它新建网卡ima...
RHEL7系统的防火墙管理工具之一——firewalld
qq_40628106的博客
11-19 464
一、搭建firwalld的管理环境:        ## 首先搭建好yum源(本地或者网络都OK)        ## 搭建防火墙服务firewalld [root@desktop-foundation ~]# yum install firewalld.noarch -y [root@desktop-foundation ~]# yum install firewall-config...
Firewalld的图形化管理和命令管理 及firewalld地址转发和伪装
Rapig1的博客
08-16 419
1.什么是firewalld 防火墙(Firewalld),是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出 防火墙是系统的第一道防线,其作用是防止非法用户的进入 centos 7 中防火墙Firewalld是一个非常强大的功能,Firewalld提供了支持网络/防火墙区域(zone)定义网络连接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv...
linux查看防火墙服务
qq_45887180的博客
09-20 632
linux查看防火墙服务 1、查看防火墙状态 systemctl status firewalld 2、开启防火墙状态 systemctl start firewalld 3、重启防火墙 systemctl restart firewalld.service 4、防火墙开启端口 firewall-cmd --permanent --zone=public --add-port=8080/tcp 5、刷新防火墙端口 firewall-cmd --reload 6、查看防火墙所有端口 firewall
linux火墙基础
super_langren的博客
03-11 174
防火墙 firewalld firewalld的管理命令 firewall-cmd --state #查看火墙状态 firewall-cmd --get-active-zones #查看当前火墙中生效的域 firewall-cmd --get-default-zone #查看默认域 firewall-cmd --list-all #查看默认域中的火墙策略 firewall-cmd --list-all --zone=work #查看指定域的火墙策略 firewall-cmd --set-default-zo
防火墙简介(二)——firewalld防火墙
想成功,靠自己
03-19 840
防火墙简介(二)——firewalld防火墙一、firewalld防火墙简介二、firewalld 与 iptables 的区别三、firewalld 区域的概念1、firewalld防火墙9个区域2、区域介绍四、firewalld数据处理流程五、firewalld检查数据包的源地址规则六、firewalld防火墙的配置方法1、使用firewall-cmd 命令行工具2、使用firewall-config 图形工具3、编写/etc/firewalld/中的配置文件七、区域管理八、服务管理九、端口管理 一
启动docker容器时报iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport错误
ystyaoshengting的专栏
10-14 1万+
错误原因: 在防火墙中默认 nat 是 REJECT的,所以端口映射被拒绝。 解决方法: vim /etc/sysconfig/iptables ##注释掉下面这一行,这行的意思是拒绝掉所有的FORWARD,拒绝的提示信息是icmp-host-prohibited(禁止) #-A FORWARD -j REJECT --reject-with icmp-host-prohibited #...
20. 详解 OpenWrt 防火墙配置、NAT配置
热门推荐
weixin_38387929的博客
06-12 3万+
1 OpenWrt 内置防火墙介绍 Openwrt 是一个 GNU/Linux 的发行版, Openwrt 的防火墙实现与Linux防火墙是通过netfilter内核模块,加上用户空间的iptables管理工具;同样是五链四张表、五元素的管理框架。 OpenWRT开发了一套与iptables同地位的netfilter管理工具fw3,这个工具侧重于从uci格式的配置文件中获取过滤信息下发到内核的netfilter中去。 防火墙文件总会在/etc/init.d/firewall 启动的时候由 UCI 解码并且
NAT技术与代理服务器详解
Quinn0918的博客
06-24 4002
NAT技术原理与应用1 概述1.1 简介1.1.1 名词解释公有IP地址:也叫全局地址,是指合法的IP地址,它是由NIC(网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻 址的地址。私有IP地址:也叫内部地址,属于非注册地址,专门为组织机构内部使用。因特网分配编号委员会(IANA)保留了3块IP地址做为私有IP地址:10.0.0.0 ——— 10
Linux防火墙REJECT与DROP的区别
likunwen_001的专栏
03-25 2万+
Linux防火墙内的策略动作有REJECT和DROP两种,区别如下: 1.、REJECT动作会返回一个拒绝(终止)数据包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE),明确的拒绝对方的连接动作。 连接马上断开,Client会认为访问的主机不存在。 REJECT在IPTABLES里面有一些返回参数,参数如下:ICMP port-unreachable、ICMP echo
5500防火墙配置NAT
最新发布
12-28
### 配置5500防火墙NAT设置 #### 定义NAT服务器条目 为了实现特定服务的映射,在防火墙配置中需定义一个NAT服务器条目。此操作特别针对位于不信任区(`untrust`)内的资源,通过指定全局IP地址来代表内部服务器的真实位置。 ```plaintext [FW1]nat server zone untrust global 200.200.10.10 inside 172.16.02 ``` 上述命令用于声明外部可访问的服务端口与实际提供该服务的私有网络中的主机之间的关系[^2]。 #### 设置区域并允许跨区域访问 依照所需的安全策略,将防火墙的不同物理或逻辑接口分配至相应安全级别所对应的虚拟分区——如可信(`trust`)、非军事化地带(`DMZ`)以及不可信(`untrust`)等,并制定规则以便这些分区间能够互相通信。具体来说,为了让内网用户能顺利请求放置于不同层次下的Web应用,必须建立从高信任度向低信任度方向的数据流路径[^3]。 #### NAT策略优先级管理 当存在多个NAT转换规则时,它们依据设定次序自顶向下逐一检验传入/传出数据包是否满足条件;一旦找到相吻合者即刻执行对应变换而终止后续检查过程。值得注意的是,“双向”及“目标”类型的规则总是排在简单“源”类之前处理,而且新添或是更新过的项目会被自动移至同种类列表末端[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值