防火墙iptables和Firewalld

iptables有 4 种 状态:

 

1.ESTABLISHED: 这个状态是指出这个信息包属于 已经建立的连接 . 这个连

    接一直用于发送很接收 信息包并且完全有效

 

2.INVALID: 这个状态指出该信息包与任何已经知道 的流或者连接都不相关

    联 . 它可能饱含错误的数 据或者头

 

3.NEW: 这个状态指出该信息包已经或者准备启动 新的连接 . 或者它与尚未

    用于发送和接受的信息 包的连接相关联

 

4.RELATED: 这个状态指出该信息包正在启动新的 连接 , 以及它与已经建立

    的连接相关联 .

 

 

iptables 3个表：

1.filter（默认）

INPUT 链处理送入本机的流入报文

FORWARD 链处理经过本系统的报文

OUTPUT 链处理从本地发出的报文

 

2.nat

 

PREROUTING 链 : 在路由决策之前必须先由这个 链来处理 . 以完成地址转

换

OUTPUT 链 : 从本地发送报文使用这个链

POSTROUTING: 如果是转发或者是送出数据包 , 则由 POSTROUTING 来进行处

理

 

3.mangle

 

PREROUTING 链 : 主要用于

在路由决策之前对流入 报

文的过滤

OUTPUT 链 : 主要用于在路

由决策之前对从本地送 出

的报文过滤

 

 

命令 :

-t<表>：指定要操纵的表；

-A：向规则链中添加条目；

-D：从规则链中删除条目；

-i：向规则链中插入条目；

-R：替换规则链中的条目；

-L：显示规则链中已有的条目；

-F：清楚规则链中已有的条目；

-Z：清空规则链中的数据包计算器和字节计数器；

 

-N：创建新的用户自定义规则链；

-P：定义规则链中的默认目标；

-h：显示帮助信息；

-p：指定要匹配的数据包协议类型；

-s：指定要匹配的数据包源ip地址；

-j<目标>：指定要跳转的目标；

-i<网络接口>：指定数据包进入本机的网络接口；

-o<网络接口>：指定数据包要离开本机所使用的网络接口。

 

动作包括：

ACCEPT：接收数据包。

DROP：丢弃数据包。

REDIRECT：重定向、映射、透明代理。

SNAT：源地址转换。

DNAT：目标地址转换。

MASQUERADE：IP伪装（NAT），用于ADSL。

LOG：日志记录。

 

清除预设表 (filter) 中的所有规则链中的规则

#iptables -F

清除预设表 (filter) 中的所有使用者定义的链

#iptables -X

将指定链中所有规则的包字节计数器清零

#iptables -Z

 

 

 

-------------------------------------------------------

 

虽然 firewalld 推荐使用 , 但仍属于 inetfilter/iptables 作为底层 .

因此即可以使用 firewalld 也可以继续使用 iptables 。但 firewalld 与

iptables 有冲突。如果使用 iptables 就必须关闭 firewalld 。

 

 

 

---------------------------------------------------------

 

firewalld

 

Linux防火墙采用包过滤技术,总体看防火墙发 展经历了四个发展阶段 静态防火墙: ipfwadm(kernel 2.0) ipchains(kernel 2.2) iptables(kernel 2.4 later) 动态防火墙 firewalld(RHEL7新纳入的防火墙)

虽然firewalld使用netfilter子系统,但仍然跟 iptables、ebtables出现冲突。因此如果使用 firewalld就必须关闭

 

iptables/ip6tables/ebtables

#systemctl mask iptables #systemctl mask ip6iptables

#systemctl mask ebtables

 

firewalld的工具包

#yum install firewalld system-configfirewall-base firewall-config

启用firewalld

#systemctl enable firewalld

#systemctl start firewalld firewalld

 

配置文件

#cd /etc/firewalld/

#ls

拥有9种区域：

drop:任务进入网络的包都被丢弃,并且不做任 何回应.至允许出包的链接Block:任何进入网络的包都被丢弃,并返回对方 IPv4的icmp-host-prohibited(禁止)或IPv6的     icmap6-adm-prohibited报文.在此区域中至允 许由系统初始化的网络链接

public(默认):认为当前网络中的网络信任度不 高,仅允许选中的服务通过。

external:用在路由器等启用伪装(NAT)的外部 网络.当认为网络不可信任时,可指定服务通过。 dmz:允许DMZ中指定的设备的指定服务,有 限的被外部网络访问。

work:工作网络,对网络信任度高,通过指定的 服务提供相关交互

home:家庭网络,对网络信任度高,通过指定的 服务提供相关交互internal:内部网络,对网络信任度高,通过指定 的服务提供相关交互trusted:允许所有网络链接,即使关闭所有服务 ,服务仍然可以响应。

 

俩种状态

运行状态（临时启用）

永久状态（配置文件修改后）

 

 

使用方法：

 

查看firewalld帮助

#firewall-cmd --help 查看firewalld状态

#firewall-cmd --state

firewalld的预先存在的服务是用xml格式进行编 写的,这些服务的xml存在

#cd /usr/lib/firewalld/services/

#ls可根据某个服务作为模板,来自定以额外的服务, 而后用firewall-cmd --reload命令重新读取，这 样额外服务的xml文件将直接被载入。

 

获取支持的区域列表

#firewall-cmd --get-zones获取所支持的服务

#firewall-cmd --get-services列出所有启用的区域信息

#firewall-cmd --list-all-zones启用应急模式阻断所有网络链接

#firewall-cmd --panic-on禁用应急模式

#firewall-cmd --panic-of

查询应急模式

#firewall-cmd --query-panic

查看当前firewalld的默认区域

#firewall-cmd --get-default-zone

改变firewalld默认区域

#fireall-cmd --set-default-zone=drop