RHCSA 系列(十一): 使用 firewalld 和 iptables 来控制网络流量

简单来说,防火墙就是一个基于一系列预先定义的规则(例如流量包的目的地或来源,流量的类型等)的安全系统,它控制着一个网络中的流入和流出流量。

RHCSA: 使用 FirewallD 和 Iptables 来控制网络流量 – Part 11

在本文中,我们将回顾 firewalld 和 iptables 的基础知识。前者是 RHEL 7 中的默认动态防火墙守护进程,而后者则是针对 Linux 的传统的防火墙服务,大多数的系统和网络管理员都非常熟悉它,并且在 RHEL 7 中也可以用。

FirewallD 和 Iptables 的一个比较

在后台, firewalld 和 iptables 服务都通过相同的接口来与内核中的 netfilter 框架相交流,这不足为奇,即它们都通过 iptables 命令来与 netfilter 交互。然而,与 iptables 服务相反, firewalld 可以在不丢失现有连接的情况下,在正常的系统操作期间更改设定。

在默认情况下, firewalld 应该已经安装在你的 RHEL 系统中了,尽管它可能没有在运行。你可以使用下面的命令来确认(firewall-config 是用户界面配置工具):



    

  1. # yum info firewalld firewall-config
    2. 





检查 FirewallD 的信息


以及,




    

  1. # systemctl status -l firewalld.service
    2. 





检查 FirewallD 的状态


另一方面, iptables 服务在默认情况下没有被包含在 RHEL 系统中,但可以被安装上。




    

  1. # yum update && yum install iptables-services
    2. 



这两个守护进程都可以使用常规的 systemd 命令来在开机时被启动和开启:




    

  1. # systemctl start firewalld.service | iptables-service.service
    2. 

  2. # systemctl enable firewalld.service | iptables-service.service
    3. 



另外,请阅读:管理 Systemd 服务的实用命令


至于配置文件, iptables 服务使用 /etc/sysconfig/iptables 文件(假如这个软件包在你的系统中没有被安装,则这个文件将不存在)。在一个被用作集群节点的 RHEL 7 机子上,这个文件看起来是这样:




Iptables 防火墙配置文件


而 firewalld 则在两个目录中存储它的配置文件,即 /usr/lib/firewalld 和 /etc/firewalld




    

  1. # ls /usr/lib/firewalld /etc/firewalld
    2. 





FirewallD 的配置文件


在这篇文章中后面,我们将进一步查看这些配置文件,在那之后,我们将在这两个地方添加一些规则。现在,是时候提醒你了,你总可以使用下面的命令来找到更多有关这两个工具的信息。




    

  1. # man firewalld.conf
    2. 

  2. # man firewall-cmd
    3. 

  3. # man iptables
    4. 



除了这些,记得查看一下当前系列的第一篇 RHCSA 系列(一): 回顾基础命令及系统文档,在其中我描述了几种渠道来得到安装在你的 RHEL 7 系统上的软件包的信息。


使用 Iptables 来控制网络流量


在进一步深入之前,或许你需要参考 Linux 基金会认证工程师(Linux Foundation Certified Engineer,LFCE) 系列中的 配置 Iptables 防火墙 – Part 8 来复习你脑中有关 iptables 的知识。


例 1:同时允许流入和流出的网络流量


TCP 端口 80 和 443 是 Apache web 服务器使用的用来处理常规(HTTP)和安全(HTTPS)网络流量的默认端口。你可以像下面这样在 enp0s3 接口上允许流入和流出网络流量通过这两个端口:




    

  1. # iptables -A INPUT -i enp0s3 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
    2. 

  2. # iptables -A OUTPUT -o enp0s3 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
    3. 

  3. # iptables -A INPUT -i enp0s3 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
    4. 

  4. # iptables -A OUTPUT -o enp0s3 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
    5. 



例 2:从某个特定网络中阻挡所有(或某些)流入连接


或许有时你需要阻挡来自于某个特定网络的所有(或某些)类型的来源流量,比方说 192.168.1.0/24:




    

  1. # iptables -I INPUT -s 192.168.1.0/24 -j DROP
    2. 



上面的命令将丢掉所有来自 192.168.1.0/24 网络的网络包,而




    

  1. # iptables -A INPUT -s 192.168.1.0/24 --dport 22 -j ACCEPT
    2. 



将只允许通过端口 22 的流入流量。


例 3:将流入流量重定向到另一个目的地


假如你不仅使用你的 RHEL 7 机子来作为一个软件防火墙,而且还将它作为一个硬件防火墙,使得它位于两个不同的网络之间,那么在你的系统上 IP 转发一定已经被开启了。假如没有开启,你需要编辑 /etc/sysctl.conf文件并将 net.ipv4.ip_forward 的值设为 1,即:




    

  1. net.ipv4.ip_forward = 1
    2. 



接着保存更改,关闭你的文本编辑器,并最终运行下面的命令来应用更改:




    

  1. # sysctl -p /etc/sysctl.conf
    2. 



例如,你可能在一个内部的机子上安装了一个打印机,它的 IP 地址为 192.168.0.10,CUPS 服务在端口 631 上进行监听(同时在你的打印服务器和你的防火墙上)。为了从防火墙另一边的客户端传递打印请求,你应该添加下面的 iptables 规则:




    

  1. # iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 631 -j DNAT --to 192.168.0.10:631
    2. 



请记住 iptables 会逐条地读取它的规则,所以请确保默认的策略或后面的规则不会重载上面例子中那些规则。


FirewallD 入门


firewalld 引入的一个变化是区域(zone) (注:翻译参考了 https://fedoraproject.org/wiki/FirewallD/zh-cn )。这个概念允许将网路划分为拥有不同信任级别的区域,由用户决定将设备和流量放置到哪个区域。


要获取活动的区域,使用:




    

  1. # firewall-cmd --get-active-zones
    2. 



在下面的例子中,public 区域是激活的,并且 enp0s3 接口被自动地分配到了这个区域。要查看有关一个特定区域的所有信息,可使用:




    

  1. # firewall-cmd --zone=public --list-all
    2. 





列出所有的 Firewalld 区域


由于你可以在 RHEL 7 安全指南 中阅读到更多有关区域的知识,这里我们将仅列出一些特别的例子。


例 4:允许服务通过防火墙


要获取受支持的服务的列表,可以使用:




    

  1. # firewall-cmd --get-services
    2. 





列出所有受支持的服务


要立刻生效且在随后重启后都可以让 http 和 https 网络流量通过防火墙,可以这样:




    

  1. # firewall-cmd --zone=MyZone --add-service=http
    2. 

  2. # firewall-cmd --zone=MyZone --permanent --add-service=http
    3. 

  3. # firewall-cmd --zone=MyZone --add-service=https
    4. 

  4. # firewall-cmd --zone=MyZone --permanent --add-service=https
    5. 

  5. # firewall-cmd --reload
    6. 



假如 -–zone 被忽略,则使用默认的区域(你可以使用 firewall-cmd –get-default-zone来查看)。


若要移除这些规则,可以在上面的命令中将 add 替换为 remove


例 5:IP 转发或端口转发


首先,你需要查看在目标区域中,伪装(masquerading)是否被开启:




    

  1. # firewall-cmd --zone=MyZone --query-masquerade
    2. 



在下面的图片中,我们可以看到对于外部区域,伪装已被开启,但对于公用区域则没有:




查看伪装状态


你可以为公共区域开启伪装:




    

  1. # firewall-cmd --zone=public --add-masquerade
    2. 



或者在外部区域中使用伪装。下面是使用 firewalld 来重复例 3 中的任务所需的命令:




    

  1. # firewall-cmd --zone=external --add-forward-port=port=631:proto=tcp:toport=631:toaddr=192.168.0.10
    2. 



不要忘了重新加载防火墙。


在 RHCSA 系列的 第九部分 你可以找到更深入的例子,在那篇文章中我们解释了如何允许或禁用通常被 web 服务器和 ftp 服务器使用的端口,以及在针对这两个服务所使用的默认端口被改变时,如何更改相应的规则。另外,你或许想参考 firewalld 的 wiki 来查看更深入的例子。



总结


在这篇文章中,我们已经解释了防火墙是什么,介绍了在 RHEL 7 中用来实现防火墙的几个可用的服务,并提供了可以帮助你入门防火墙的几个例子。假如你有任何的评论,建议或问题,请随意使用下面的评论框来让我们知晓。这里就事先感谢了!


本文来自合作伙伴“Linux中国”,原文发布日期:2015-09-29 
				


				
时间: 2024-09-20 02:10:59

		
		


		


	

	
	

		


		
RHCSA 系列(十一): 使用 firewalld 和 iptables 来控制网络流量的相关文章


								

		

			

                RHCSA 系列(十五): 虚拟化基础和使用 KVM 进行虚拟机管理
			

		

		

									

				假如你在词典中查一下单词 "虚拟化virtualize",你将会发现它的意思是 "创造某些事物的一个虚拟物(而非真实的)".在计算机行业中,术语虚拟化virtualization指的是:在相同的物理(硬件)系统上,同时运行多个操作系统,且这几个系统相互隔离的可能性,而那个硬件在虚拟化架构中被称作宿主机host. RHCSA 系列: 虚拟化基础和使用 KVM 进行虚拟机管理 – Part 15 通过使用虚拟机监视器(也被称为虚拟机管理程序hypervisor),虚拟机			

		

	

				

		

			

                RHCSA 系列(一): 回顾基础命令及系统文档
			

		

		

									

				RHCSA (红帽认证系统工程师) 是由 RedHat 公司举行的认证考试,这家公司给商业公司提供开源操作系统和软件,除此之外,还为这些企业和机构提供支持.训练以及咨询服务等. RHCSA 考试准备指南 RHCSA 考试(考试编号 EX200)通过后可以获取由 RedHat 公司颁发的证书. RHCSA 考试是 RHCT(红帽认证技师)的升级版,而且 RHCSA 必须在新的 Red Hat Enterprise Linux(红帽企业版)下完成.RHCT 和 RHCSA 的主要变化就是 RHCT			

		

	

				

		

			

                RHCSA 系列(七): 使用 ACL(访问控制列表) 和挂载 Samba/NFS 共享
			

		

		

									

				在上一篇文章(RHCSA 系列(六))中,我们解释了如何使用 parted 和 ssm 来设置和配置本地系统存储. RHCSA 系列: 配置 ACL 及挂载 NFS/Samba 共享 – Part 7 我们也讨论了如何创建和在系统启动时使用一个密码来挂载加密的卷.另外,我们告诫过你要避免在挂载的文件系统上执行危险的存储管理操作.记住了这点后,现在,我们将回顾在 RHEL 7 中最常使用的文件系统格式,然后将涵盖有关手动或自动挂载.使用和卸载网络文件系统(CIFS 和 NFS)的话题以及在你的操作			

		

	

				

		

			

                RHCSA 系列(四): 编辑文本文件及分析文本
			

		

		

									

				作为系统管理员的日常职责的一部分,每个系统管理员都必须处理文本文件,这包括编辑已有文件(大多可能是配置文件),或创建新的文件.有这样一个说法,假如你想在 Linux 世界中挑起一场圣战,你可以询问系统管理员们,什么是他们最喜爱的编辑器以及为什么.在这篇文章中,我们并不打算那样做,但我们将向你呈现一些技巧,这些技巧对使用两款在 RHEL 7 中最为常用的文本编辑器: nano(由于其简单和易用,特别是对于新手来说)和 vi/m(由于其自身的几个特色使得它不仅仅是一个简单的编辑器)来说都大有裨益.我			

		

	

				

		

			

                xen虚拟化实战系列(十一)之xen虚拟机磁盘文件挂载
			

		

		

									

				原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://koumm.blog.51cto.com/703525/1286477 xen虚拟化实战系列文章列表 xen虚拟化实战系列(一)之xen虚拟化环境安装xen虚拟化实战系列(二)之xen虚拟机安装xen虚拟化实战系列(三)之xen虚拟机复制xen虚拟化实战系列(四)之xen虚拟机扩展磁盘空间一法xen虚拟化实战系列(五)之xen虚拟机扩展磁盘空间再一法xen虚拟化实战系列(六)之x			

		

	

				

		

			

                RHCSA 系列(十三): 在 RHEL 7 中使用 SELinux 进行强制访问控制
			

		

		

									

				在本系列的前面几篇文章中,我们已经详细地探索了至少两种访问控制方法:标准的 ugo/rwx 权限(RHCSA 系列(三): 如何管理 RHEL7 的用户和组) 和访问控制列表(RHCSA 系列(七): 使用 ACL(访问控制列表) 和挂载 Samba/NFS 共享). RHCSA 认证:SELinux 精要和控制文件系统的访问 尽管作为第一级别的权限和访问控制机制是必要的,但它们同样有一些局限,而这些局限则可以由安全增强 LinuxSecurity Enhanced Linux,简称为 SELi			

		

	

				

		

			

                SQL Server 2008空间数据应用系列十一:提取MapInfo地图数据中的空间数据解决方案
			

		

		

									

				原文:SQL Server 2008空间数据应用系列十一:提取MapInfo地图数据中的空间数据解决方案友情提示,您阅读本篇博文的先决条件如下: 1.本文示例基于Microsoft SQL Server 2008 R2调测. 2.具备 Transact-SQL 编程经验和使用 SQL Server Management Studio 的经验. 3.熟悉或了解Microsoft SQL Server 2008中的空间数据类型. 4.具备相应(比如OGC规范.KML规范)的GIS专业理论知识. 5.			

		

	

				

		

			

                来自极客标签10款最新设计素材-系列十一
			

		

		

									

				中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 来源:GBin1.com 本周我们推荐来自极客标签社区带来的10款免费设计素材,大家可以在这里免费下载你需要的内容.如果你也有更好的作品,欢迎分享到社区中来,在得到帮助的同时,也能与更多人分享来自你的作品. iPad和iPhone 5的免费线框设计 来自Cat Smith的一套免费的ipad和iphone的线框设计,包含了相关PSD文件. 令			

		

	

				

		

			

                RHCSA 系列(十四): 在 RHEL 7 中设置基于 LDAP 的认证
			

		

		

									

				在这篇文章中,我们将首先罗列一些 LDAP 的基础知识(它是什么,它被用于何处以及为什么会被这样使用),然后向你展示如何使用 RHEL 7 系统来设置一个 LDAP 服务器以及配置一个客户端来使用它达到认证的目的. RHCSA 系列:设置 LDAP 服务器及客户端认证 – Part 14 正如你将看到的那样,关于认证,还存在其他可能的应用场景,但在这篇指南中,我们将只关注基于 LDAP 的认证.另外,请记住,由于这个话题的广泛性,在这里我们将只涵盖它的基础知识,但你可以参考位于总结部分中列出的文