Linux-firewalld0.0iptables

一 Firewalld

动态防火墙后台程序-firewalld，提供了一个动态管理的防火墙，用以支持网络“zones”，以分配对一个网络及其相关链接和界面一定程序的信任。它具备对ipv4和ipv6防火墙设置的支持，它支持以太网桥，并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

1. firewall-sysconfig        #图像化配置工具

yum install -y firewalld firewall-config    #安装图像化配置工具

防火墙本身不支持http的阿帕奇服务 这里我们用firewalld的图形配置文件加入了阿帕奇服务 然后在阿帕奇服务的默认配置文件中写入（/var/www/html/index.html） 提伯斯快去拍死他们 然后在真机中的浏览器中进行测试 172.25.254.182 

firefox中进行测试 记得在测试主机中写入解析 vim /etc/hosts 172.25.254.182 content.example.com

但是这里runtime中写入的只是临时的配置 重启服务后会恢复为默认配置systemctl restart firewalld

2. 火墙策略

firewall-cmd --state                       

firewall-cmd --get-zones               

firewall-cmd --get-active-zones    

firewall-cmd --get-default-zone

firewall-cmd --list-all 可以查看默认网络区域的状态

firewall-cmd --list-all --zone=trusted

下图为各个网络区域名称及其默认配置

firewall 和 iptables 的关系图

firewall-cmd --list-all-zones    #列出所有的网络区域

firewall-cmd --get-services

firewall-cmd --set-default-zone=trusted

firewall-cmd --get-default-zone

firewall-cmd --add-source=172.25.254.82 --zone=trusted 将172.25.254.82加入可以接受所有网络的区域

之后我们用172.25.254.82这台主机进行测试 这时候处于默认的public区域是没有加入阿帕奇服务的 如下图所示 测试成功

firewall-cmd --remove-source=172.25.254.82 将这个ip从区域移除

firewall-cmd --get-active=zones 查看正在使用的网络区域

firewall-cmd --set-default-zone=dmz将默认区域更改为dmz 只支持ssh服务

firewall-cmd --add-interface=eth1 --zone=trusted 将eth1这块网卡加入trusted这块区域

现在就是eth0（172.25.254.182）在public区域内比支持http服务 eth1（172.25.82.82）在trusted区域内 可以支持所有服务 这里我们进行测试 发现果然eth0不同 eth1是通的

firewall-cmd --remove-interface=eth1 --zone=trusted

firewall-cmd --add-interface=eth1 将eth1加入默认的区域 这里默认的区域为public

firewall-cmd --add-service=http 将http服务加入到默认网络区域内

凡是不加--permanent的都是临时设置 重启服务后都会还原到默认设置

firewall-cmd --get-services 查看可添加的所有服务

firewall-cmd --change-interface=eth1 --zone=trusted 更改eth1的区域为trusted

3. 修改httpd火墙策略

firewall-cmd --permanent --add-service=http    #永久添加httpd服务

firewall-cmd --reload                                            #永久添加需重新加载（永久添加的配置需要进行加载）

这里就需要注意还有firewall-cmd --conplete-reload 这种加载就会断开连接 比如此时正在ssh连接中 重启临时修改恢复默认的时候直接就会断开连接 而--reload则不会

firewall-cmd --permanent --add-port=8080/tcp #添加tcp协议8080端口

firewall-cmd --reload                                            #永久添加需重新加载

或者直接在配置文件中写入 vim /etc/firwall/zones/

之后进行重启服务就可以看到端口被更改了

图形配置中也可以看到

vim /usr/lib/firewalld/services/http.xml                #修改火墙服务端口，rpm -ql firewalld  可查看火墙服务的相关服务信息

vim /etc/httpd/conf/httpd.conf                              #修改httpd服务端口

systemctl restart httpd.service                            #重启httpd服务

firewall-cmd --list-ports --zone=public                          #列出火墙服务端口

firewall-cmd --permanent --remove-port=8080/tcp    #删除火墙服务端口

ss -anlpte | grep http                              #查询服务接口

semanage port -a -t http_port_t -p tcp 6666  #添加服务接口

ss -anlpte | grep ssh 可以看到ssh的端口是22

4. 修改sshd火墙策略

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.82 -p tcp --dport 22 -j REJECT   #添加火墙规则，不允许连接

firewall-cmd --direct --get-all-rules      #查看火墙规则

注：“!”表示否定，除什么之外 ；s表示来源；p表示协议；j表示动作

之后我们用172.25.254.82进行测试 发现果然被拒绝了 其他的ip进行测试 可以连接

firewall-cmd --direct --add-rule ipv4 filter INPUT 1  ！-s 172.25.254.82 -p tcp --dport 21 -j REJECT   #添加火墙规则，lftp服务中只允许82连接

我们查询到vsftpd的端口是21 ss -anlpte | grep vsftpd

查看写入的规则 firewall-cmd --direct --get-all-rules

用172.25.254.82进行测试

记得一定要先往public默认区域内添加ftp服务才可

其他的ip进行测试 结果不通

firewall-cmd --direct --remove-rule ipv4 filter INPUT 1  ！-s 172.25.254.82 -p tcp --dport 21 -j REJECT

add换成remove则是移除这条规则

注：

小规则写在前，加数字表序号，由上到小逐条匹配，只要有一条匹配，匹配完成将不再读取后续规则

拓展：

三张表：filter；mangle；nat

五条链：input（输入）；output（输出）；prerouting（路由前）；postrouting（路由后）；forward（转换）

配置双网卡-路由前：

vim /etc/sysconfig/network-scripts/ifcfg-eth1     #配置网卡，eth1与eth0在不同网段

systemctl restart network

这里双网卡主机的ip eth0（172.25.254.182）eth1（172.25.82.82）

首先要开启伪装

firewall-cmd --add-masquerade --zone=public

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254. 82    #访问本机，在路由前不经过内核，进行地址转换，直接转换为82主机

进行测试 ssh [email protected] 发现果然转到了82主机

firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254. 82

同样的add换成remove可以对这个规则进行移除

配置双网卡-路由后：

firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.254.182 masquerade'    #访问本机另一不同网段ip，路由后经过内核进行源地址转换，可以连接成功

这里我们的单网卡主机的ip为172.25.82.182与双网卡主机中的eth1处于同一个网段 这时候我们还需要设置单网卡主机中的网关为双网卡主机中eth1的ip 才可以 即gateway=172.25.82.82

首先看看作为路由的eth1（处于同一网段的可不可以ping通） 可以的话再ping另外一块网卡的ip 可以的话这里我们就实现了不同网段ip主机的联通 ssh进行连接测试即可 ping通的原理就是这里实际上用的是172.25.82.182进行连接的

注：若ip可以ping通，但不能连接，使用以下方法进行恢复

sysctl -p

sysctl -a | grep ip_forward

vim /etc/sysctl.conf      #编辑net.ipv4.ip_forward = 1

firewalld与iptables本质区别：

firewalld将配置存储在/usr/lib/firewalld/和/etc/firewalld/中的各种xml文件中

iptables在/etc/sysconfig/iptables中存储配置

二. iptables

1. 安装配置iptables

yum search iptables

yum install -y iptables-services.x86_64

systemctl stop firewalld.service

systemctl mask firewalld.service

systemctl start iptables.service

systemctl enable iptables.service

2. iptables的命令使用

iptables -nL                        #默认查看filter表，包含三条链

iptables -F                          #表示刷新，重启后将还原

service iptables save       #保存刷新，重启后不会还原

iptables -t filter -nL          #查看filter表

iptables -t nat -nL            #查看nat表

iptables -t mangle -nL    #查看mangle表

3. 配置规则

iptables -A INPUT -p tcp --dport 22 -j ACCEPT        #添加允许tcp协议22端口输入规则；"A"表示添加

iptables -A INPUT -i lo -j ACCEPT                              #添加允许环形网络接口输入规则

iptables -A INPUT -j REJECT                                      #添加拒绝所有输入规则

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT   #添加允许tcp协议8080端口输入规则

iptables -nL

iptables -D INPUT 4                                                      #删除第四条规则;"D"表示删除

iptables -I INPUT 3 -p tcp --dport 80 -j ACCEPT      #将允许tcp协议80端口输入规则插入到第三条；"I"表示选择

iptables -R INPUT 2 -p tcp --dport 8080 -j ACCEPT      #将第三条允许tcp协议80端口改为8080端口输入；"R"表示改变 这里就是改变第二行的内容

iptables -P INPUT DROP             #修改默认执行动作为DROP

4. 配置链

iptables -N annie                    #新建链；"N"表示新建 这里是新建名字为annie的配置链

iptables -nL

iptables -E annie riven                   #新建链；"E"表示更改 这里是更改名字为annie的配置链改为riven

iptables -X riven                #删除链；"X"表示删除

iptables -nL

5. 配置规则状态

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT   #添加ESTABLISHED,RELATED状态输入规则；""表示状态

iptables -A INPUT -m state --state NEW -i lo -j ACCEPT                          #添加允许环形网路接口状态NEW输入规则

iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT    #添加允许tcp协议端口80状态NEW输入规则

iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT    #添加允许tcp协议端口22状态NEW输入规则

iptables -A INPUT -m state --state NEW -j REJECT                                  #添加拒绝所有状态NEW输入规则

双网卡-路由后：

配置不同网段ip

iptables -t nat -A POSTROUTING -j SNAT -0 eth0 --to-source 172.25.254.182    #路由后经过内核，源地址转换成182主机通过eth0转换成eth1的ip 就可以和eth1连接了vim /etc/sysctl.conf      #编辑net.ipv4.ip_forward = 1  eth0就可以和eth1进行通信 sysctl -p 加载编辑

双网卡主机的ip 

单网卡主机中进行ping 首先看看作为路由的eth1（处于同一网段的可不可以ping通） 可以的话再ping另外一块网卡的ip 可以的话这里我们就实现了不同网段ip主机的联通 ssh进行连接测试即可 

ssh进行测试 测试成功

这里我们的单网卡主机的ip为172.25.82.182与双网卡主机中的eth1处于同一个网段 这时候我们还需要设置单网卡主机中的网关为双网卡主机中eth1的ip 才可以 即gateway=172.25.82.82

双网卡-路由前：

iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-dest 172.25.82.182     #路由前不经过内核，直接进行地址转换，转换到172.25.82.182主机

单网卡主机进行测试