本文深入讲解防火墙原理,包括硬件与软件防火墙的区别,重点介绍了Linux系统中的Netfilter机制及iptables与firewalld服务的使用,涵盖数据包过滤、规则设置、富规则应用等内容。
一、防火墙简介
- 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。
- 防火墙可以分为硬件防火墙与软件防火墙。硬件防火墙是由厂商设计好的主机硬件,这台硬件防火墙的操作系统主要以提供数据包数据的过滤机制为主,并将其他不必要的功能拿掉。软件防火墙就是保护系统网络安全的一套软件(或称为机制),例如Netfilter与TCP Wrappers都可以称为软件防火墙。这里主要介绍linux系统本身提供的软件防火墙的功能,那就是Netfilter,即数据包过滤机制。
- 数据包过滤,也就是分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,以决定该连接为放行或抵挡的机制。由于这种方式可以直接分析数据包头部数据,包括硬件地址,软件地址,TCP、UDP、ICMP等数据包的信息都可以进行过滤分析,因此用途非常广泛(主要分析OSI七层协议的2、3、4层)。由此可知,linux的Netfilter机制可以进行的分析工作有:
1、拒绝让Internet的数据包进入主机的某些端口;
2、拒绝让某些来源ip的数据包进入;
3、拒绝让带有某些特殊标志(flag)的数据包进入,最常拒绝的就是带有SYN的主动连接的标志了;
4、分析硬件地址(MAC)来决定连接与否。 - 虽然Netfilter防火墙可以做到这么多事情,不过,某些情况下,它并不能保证我们的网络一定就很安全。例如:
1、防火墙并不能有效阻挡病毒或木马程序。(假设主机开放了www服务,防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞,或者请求www服务的数据包本身就是病毒的一部分时,防火墙是阻止不了的)
2、防火墙对于内部LAN的攻击无能为力(防火墙对于内部的规则设置通常比较少,所以就很容易造成内部员工对于网络无用或滥用的情况) - netfilter这个数据包过滤机制是由linux内核内建的,不同的内核版本使用的设置防火墙策略的软件不一样,在红帽7系统中firewalld服务取代了iptables服务,但其实iptables服务与firewalld服务它们都只是用来定义防火墙策略的“防火墙管理工具”而已,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter。
二、iptables
防火墙会从以上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
- 在进行路由选择前处理数据包,用于目标地址转换(PREROUTING);
- 处理流入的数据包(INPUT);
- 处理流出的数据包(OUTPUT);
- 处理转发的数据包(FORWARD);
- 在进行路由选择后处理数据包,用于源地址转换(POSTROUTING)。
安装iptables服务包
[root@server ~]# yum install iptables-services.x86_64 -y
停止firewalld
[root@server ~]# systemctl stop firewalld
重启iptables
[root@server ~]# systemctl restart iptables
iptables参数说明
| 参数 | 说明 |
|---|---|
| -t | 对指定的表进行操作,table必须是raw,nat,filter,mangle中的一个。默认是filter表。 |
| -p | 指定要匹配的数据包协议类型。例如 -p tcp |
| -s | 指定IP地址或网段作为源地址,按此规则进行过滤。当后面没有mask 时,address 是一个地址,例如:-s 192.168.1.1;当 mask 指定时,可以表示一个网段的地址,比如:-s 192.168.1.0/24 |
| -d | 格式同上,指定目的地址 |
| -i | 指定数据包的来自哪个网卡,例如-i eth0 |
| -o | 指定数据包的由哪个网卡出去,例如-i eth0 |
| - -sport | 指定源端口号,例如--sport 80 |
| - -dport | 指定目的端口号,例如--dport 80 |
| -j | 执行的动作,拒绝或者允许,例如-j ACCEPT |
| -L | 列出表上所有链的所有规则,可以指定哪个链,例如指定输入链-L INPUT |
| -A | 在指定链的末尾插入指定的规则 |
| -I | 在链中的指定位置插入一条或多条规则,未指定规则号,则规则号为1,即在头部插入 |
| -D | 在指定的链中删除一个或多个指定规则,例如-D INPUT 1 |
| -R | 替换/修改第几条规则 |
| -P | 为指定的链设置策略 target。注意,只有内置的链才允许有策略,用户自定义的是不允许的。 |
| -F | 清空指定链上面的所有规则。如果没有指定链,清空该表上所有链的所有规则。 |
| -N | 用指定的名字创建一个新的链 |
| -X | 删除指定的链 |
| -E | 用指定的新名字去重命名指定的链 |
| -Z | 把指定链,或者表中的所有链上的所有计数器清零 |
例一:搭建web服务,设置任何人能够通过80端口访问。
服务端:
[root@server ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT
[root@server ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- anywhere anywhere tcp dpt:http
//多余信息省略
客户端:
[root@client ~]# curl 192.168.19.101 //服务端未设置iptables之前
curl: (7) Failed connect to 192.168.19.101:80; No route to host
[root@client ~]# curl 192.168.19.101 //服务端设置了iptables之后
domain test
例二:禁止客户端远程连接ssh
服务端:
[root@server ~]# iptables -I INPUT -p tcp -s 192.168.19.201 --dport 22 -j REJECT
[root@server ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT tcp -- 192.168.19.201 anywhere tcp dpt:ssh reject-with icmp-port-unreachable
2 ACCEPT tcp -- anywhere anywhere tcp dpt:http
//省略了多余信息
客户端
[root@client ~]# ssh root@192.168.19.101 //服务端未设置iptables之前
root@192.168.19.101's password:
Last login: Sat Dec 21 14:47:13 2019 from 192.168.19.201
[root@client ~]# ssh root@192.168.19.101 //服务端设置了iptables之后
ssh: connect to host 192.168.19.101 port 22: Connection refused
三、firewalld
相比于传统的防火墙管理工具,firewalld支持动态更新技术并加入了区域的概念。区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以选择不同的集合,从而实现防火墙策略之间的快速切换。
firewalld中常见的区域名称(默认为public)以及相应的策略规则:
| 区域 | 默认规则策略 |
|---|---|
| 阻塞区域(block) | 拒绝流入的流量,除非与流出的流量相关 |
| 工作区域(work) | 拒绝流入的流量,除非与流出的流量相关 |
| 家庭区域(home) | 拒绝流入的流量,除非与流出的流量相关 |
| 公共区域(public) | 不相信网络上的任何计算机,只有选择接受传入的网络连接。 |
| 隔离区域(DMZ) | 隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。 |
| 信任区域(trusted) | 允许所有的数据包。 |
| 丢弃区域(drop) | 拒绝流入的流量,除非与流出的流量相关 |
| 内部区域(internal) | 等同于home区域 |
| 外部区域(external) | 拒绝流入的流量,除非与流出的流量有关;而如果流量与ssh服务相关,则允许流量 |
firewalld参数说明
| 参数 | 作用 |
|---|---|
| - -get-default-zone | 查询默认的区域名称 |
| - -set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
| - -get-zones | 显示可用的区域 |
| - -get-services | 显示预先定义的服务 |
| - -get-active-zones | 显示当前正在使用的区域与网卡名称 |
| - -add-source= | 将源自此IP或子网的流量导向指定的区域 |
| - -remove-source= | 不再将源自此IP或子网的流量导向某个指定区域 |
| - -add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
| - -change-interface=<网卡名称> | 将某个网卡与区域进行关联 |
| - -list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
| - -list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
| - -add-service=<服务名> | 设置默认区域允许该服务的流量 |
| - -add-port=<端口号/协议> | 设置默认区域允许该端口的流量 |
| - -remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
| - -remove-port=<端口号/协议> | 设置默认区域不再允许该端口的流量 |
| - -reload | 让“永久生效”的配置规则立即生效,并覆盖当前的配置规则 |
| - -panic-on | 开启应急状况模式 |
| - -panic-off | 关闭应急状况模式 |
| - -state | 显示状态 |
| - -add-rich-rule | 添加富规则 |
| - -remove-rich-rule | 删除富规则 |
| - -permanent | 永久生效 |
注:使用firewalld配置的防火墙策略默认为当前生效,会随着系统的重启而失效。如果想让策略一直存在,就需要使用永久模式了,即在使用firewall-cmd命令设置防火墙策略时添加--permanent参数,这样配置的防火墙策略就可以永久生效了,最后想要使用这种方式设置的策略生效,只能重启或者输入命令:firewall-cmd --reload
例一:server1上使用默认work区域,并且只放行来自server2的https流量
查看默认工作区域
[root@server_1 ~]# firewall-cmd --get-default-zone
public
查看所有可设置区域
[root@server_1 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
设置默认工作区域
[root@server_1 ~]# firewall-cmd --set-default-zone=work
success
添加允许work区域的https流量
[root@server_1 ~]# firewall-cmd --zone=work --add-service=https --per
success
添加允许work区域的server2主机
[root@server_1 ~]# firewall-cmd --zone=work --add-source=192.168.19.201/32 --per
success
重新加载
[root@server_1 ~]# firewall-cmd --reload
查看配置
[root@server_1 ~]# firewall-cmd --list-all
work (default)
interfaces:
sources: 192.168.19.201/32
services: dhcpv6-client https ipp-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
测试:结果应为http显示no route to host,https显示正常
[root@server_2 ~]# curl 192.168.19.101
curl: (7) Failed connect to 192.168.19.101:80; No route to host
[root@server_2 ~]# curl -k https://192.168.19.101
this is https test!
结果与预期相符
四、firewalld富规则
要求1:拒绝public区域来自server2的br0网桥的所有流量
默认区域改为public
[root@server_1 conf.d]# firewall-cmd --set-default-zone=public
success
删除之前在work区域的设置,因为一个源只能属于一个zone
[root@server_1 conf.d]# firewall-cmd --per --zone=work --remove-source=192.168.19.201/32
success
[root@server_1 conf.d]# systemctl restart firewalld
[root@server_1 conf.d]# firewall-cmd --get-default-zone
public
添加富规则拒绝server2上br0网桥的流量
[root@server_1 conf.d]# firewall-cmd --per --zone=public --add-rich-rule 'rule family=ipv4 source address=192.168.19.202/32 reject'
success
查看配置
[root@server_1 conf.d]# firewall-cmd --list-all
public (default)
interfaces:
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.19.202/32" reject
使用br0测试
[root@server_2 ~]# ping 192.168.19.101 -I br0
PING 192.168.19.101 (192.168.19.101) from 192.168.19.202 br0: 56(84) bytes of data.
From 192.168.19.101 icmp_seq=11 Destination Port Unreachable
From 192.168.19.101 icmp_seq=12 Destination Port Unreachable
From 192.168.19.101 icmp_seq=13 Destination Port Unreachable
From 192.168.19.101 icmp_seq=14 Destination Port Unreachable
From 192.168.19.101 icmp_seq=15 Destination Port Unreachable
^C
--- 192.168.19.101 ping statistics ---
15 packets transmitted, 0 received, +5 errors, 100% packet loss, time 14004ms
使用默认网卡测试
[root@server_2 ~]# ping 192.168.19.101 -I eno16777736
PING 192.168.19.101 (192.168.19.101) from 192.168.19.201 eno16777736: 56(84) bytes of data.
64 bytes from 192.168.19.101: icmp_seq=1 ttl=64 time=0.405 ms
64 bytes from 192.168.19.101: icmp_seq=2 ttl=64 time=0.417 ms
64 bytes from 192.168.19.101: icmp_seq=3 ttl=64 time=0.483 ms
64 bytes from 192.168.19.101: icmp_seq=4 ttl=64 time=0.511 ms
^C
--- 192.168.19.101 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3001ms
rtt min/avg/max/mdev = 0.405/0.454/0.511/0.044 ms
结果正确
要求2:允许server2访问80/tcp的web服务
未添加富规则之前
server1查看配置
[root@server_1 ~]# firewall-cmd --list-all
public (default)
interfaces:
sources:
services: dhcpv6-client nfs samba ssh
ports: 3260/tcp
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
server2测试
[root@server_2 ~]# curl 192.168.19.101
curl: (7) Failed connect to 192.168.19.101:80; No route to host
server1添加富规则
[root@server_1 ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.19.201/32 destination address=192.168.19.101/32 port port=80 protocol=tcp accept' --per
success
重新加载
[root@server_1 ~]# firewall-cmd --reload
重新查看配置
[root@server_1 ~]# firewall-cmd --list-all
public (default)
interfaces:
sources:
services: dhcpv6-client nfs samba ssh
ports: 3260/tcp
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.19.201/32" destination address="192.168.19.101/32" port port="80" protocol="tcp" accept
server2测试
[root@server_2 ~]# curl 192.168.19.101
this is http test!
结果正确
要求3:记录http访问日志
3s记录一次
[root@server_1 conf.d]# firewall-cmd --per --add-rich-rule 'rule family=ipv4 source address=192.168.19.0/24 service name="http" log level=notice prefix="NEW HTTP" limit value="3/s" accept'
server2上测试
[root@server_2 ~]# curl 192.168.19.101
同时在server1上查看
[root@server_1 conf.d]# tail -f /var/log/messages
May 18 23:31:59 server_1 kernel: NEW HTTPIN=eno16777736 OUT= MAC=00:0c:29:1c:2a:5b:00:0c:29:36:ce:06:08:00 SRC=192.168.19.201 DST=192.168.19.101 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=25688 DF PROTO=TCP SPT=59424 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0
要求4:伪装和端口转发
server1设置server2的ssh连接443端口转发为本地22端口
[root@server_1 conf.d]# firewall-cmd --per --add-rich-rule 'rule family="ipv4" source address="192.168.19.201/32" forward-port port="443" protocol="tcp" to-port="22"'
success
server2上测试
[root@server_2 ~]# ssh 192.168.19.101 -p 443
The authenticity of host '192.168.19.101 (192.168.19.101)' can't be established.
ECDSA key fingerprint is a2:4e:3e:3e:d5:8c:c4:23:3b:67:dd:3c:44:0f:dd:d7.
Are you sure you want to continue connecting (yes/no)?
结果正确
网络端口的selinux标记
要求:在server2上使用8388端口访问server1的web服务
修改配置文件
[root@server_1 conf.d]# vim vhost.conf
LISTEN 8388
<VirtualHost 192.168.19.101:8388>
DocumentRoot /www/8388
ServerName 192.168.19.101
ServerAdmin root@localhost
</VirtualHost>
创建对应目录
[root@server_1 conf.d]# mkdir /www/8388
写入内容
[root@server_1 conf.d]# echo this is port 8388 test! > /www/8388/index.html
由于之前已对/www目录打过selinux标签,所以这里只需要restore
[root@server_1 conf.d]# restorecon -vvFR /www/
restorecon reset /www/8388 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:httpd_sys_content_t:s0
restorecon reset /www/8388/index.html context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:httpd_sys_content_t:s0
同时也要对端口打标签
[root@server_1 conf.d]# semanage port -a -t http_port_t -p tcp 8388
最后重启http服务
[root@server_1 conf.d]# systemctl restart httpd
防火墙放行8388端口
[root@server_1 conf.d]# firewall-cmd --add-port=8388/tcp --per
success
重新加载
[root@server_1 conf.d]# firewall-cmd --reload
server2上测试
[root@server_2 ~]# curl 192.168.19.101:8388
this is port 8388 test!
结果正确
五、TCP Wrappers
- TCP Wrappers主要是分析谁对某程序进行访问,然后通过规则去分析该服务器程序谁能够连接、谁不能连接。由于主要是通过分析服务器程序来管理,因此与启动的端口无关,只与程序的名称有关。例如,你通过linux内建的TCP wrappers限制FTP,实际上只需要针对FTP的软件名称vsftpd,并对其限制即可,之后不管你的FTP启动在哪个端口,都会被该规则管理。
- TCP wrappers通过客户端想要链接的程序文件名,然后分析客户端的ip,看看是否需要放行。
- TCP Wrappers通过/etc/hosts.allow和/etc/hosts.deny这两个文件来管理一个类似防火墙的机制,但并非所有的软件都可以通过这两个文件来管理,只有下面的软件才能够通过这两个文件来管理防火墙规则,分别是:
- 由super daemon(xinetd)所管理的服务;
- 支持libwrap.so模块的服务。
查询某个服务是否有该模块:
[root@server ~]# ldd `which sshd` | grep libwrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f0fc5f81000)
- 当有请求到达本机时,/etc/hosts.allow和/etc/hosts.deny这两个文件的优先顺序如下:
1、先以/etc/hosts.allow进行优先对比,该规则符合就予以放行;
2、再以/etc/hosts.deny比对,若符合就抵挡;
3、若不在这两个文件内,即规则都不符合,最终予以放行。 - /etc/hosts.allow和/etc/hosts.deny文件设置格式:
| 服务列表: | 主机列表: | 选项 |
|---|---|---|
| 支持的服务名,例如vsftpd,sshd等; | 单一主机或网段或域名等 | 控制的动作,allow接受连接请求,deny拒绝连接请求。 |
常用的主机列表参数如下:
| 客户端类型 | 示例 | 满足示例的客户端列表 |
|---|---|---|
| 单一主机 | 192.168.10.10 | IP地址为192.168.10.10的主机 |
| 指定网段 | 192.168.10. | IP段为192.168.10.0/24的主机 |
| 指定网段 | 192.168.10.0/255.255.255.0 | IP段为192.168.10.0/24的主机 |
| 指定DNS后缀 | .haha.com | 所有DNS后缀为.haha.com的主机 |
| 指定主机名称 | www.haha.com | 主机名称为www.haha.com的主机 |
| 指定所有客户端 | ALL | 所有主机全部包括在内 |
例一:拒绝客户端192.168.19.201连接ssh
服务端:
[root@server ~]# vim /etc/hosts.deny
sshd:192.168.19.201
客户端:
[root@client ~]# ssh root@192.168.19.101 //服务端修改之前
root@192.168.19.101's password:
Last login: Sat Dec 21 14:47:17 2019 from 192.168.19.201
[root@client ~]# ssh root@192.168.19.101 //服务端修改之后
ssh_exchange_identification: read: Connection reset by peer
上述配置不变,现在在hosts.allow中添加允许192.168.19.201连接ssh
[root@server ~]# vim /etc/hosts.allow
sshd:192.168.19.201
[root@client ~]# ssh root@192.168.19.101
root@192.168.19.101's password:
Last login: Sat Dec 21 15:27:26 2019 from 192.168.19.201
可以看到,客户端又可以连接ssh了,说明是按照文件顺序匹配的
例二:拒绝192.168.19.0/24网段访问本机的http服务
服务端:
[root@server ~]# ldd `which httpd` | grep libwrap
httpd并不支持
例三:拒绝192.168.19.0/24网段的主机连接ssh
服务端:
[root@server ~]# vim /etc/hosts.allow
sshd:192.168.19.:deny
客户端:
[root@client ~]# ssh root@192.168.19.101
ssh_exchange_identification: read: Connection reset by peer
注:这里服务端修改的是hosts.allow文件,但是动作设置的是deny
说明只是按照文件顺序匹配主机列表,即先匹配hosts.allow文件,然后匹配hosts.deny文件,但匹配时具体还要看控制的动作。
扫一扫
770
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
