Linux教學(xué)培訓(xùn)課件：第8章 使用Iptables與Firewalld防火墻

使用iptables與firewalld防火墻任課教師：XXX課程概述防火墻管理工具FirewallManagementTools01iptables02firewalld03服務(wù)的訪問控制列表AccessControlListForServices04Cockpit駕駛艙管理工具CockpitCockpitManagementTool05前言0301保障數(shù)據(jù)的安全性是繼保障數(shù)據(jù)的可用性之后最為重要的一項(xiàng)工作。防火墻作為公網(wǎng)與內(nèi)網(wǎng)之間的保護(hù)屏障，在保障數(shù)據(jù)的安全性方面起著至關(guān)重要的作用。02分別使用iptables、firewall-cmd、firewall-config和TCPWrapper等防火墻策略配置服務(wù)來完成數(shù)十個(gè)根據(jù)真實(shí)工作需求而設(shè)計(jì)的防火墻策略配置實(shí)驗(yàn)。03在學(xué)習(xí)完這些實(shí)驗(yàn)之后，不僅能夠熟練地過濾請求的流量、基于服務(wù)程序的名稱對流量進(jìn)行允許和拒絕操作，還可以使用Cockpit輕松監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)，確保Linux系統(tǒng)的安全性萬無一失。防火墻管理工具FirewallManagementToolsPARTONE防火墻管理工具0501在公網(wǎng)與企業(yè)內(nèi)網(wǎng)之間充當(dāng)保護(hù)屏障的防火墻雖然有軟件或硬件之分，但主要功能都是依據(jù)策略對穿越防火墻自身的流量進(jìn)行過濾。02防火墻策略可以基于流量的源目地址、端口號、協(xié)議、應(yīng)用等信息來定制，然后防火墻使用預(yù)先定制的策略規(guī)則監(jiān)控出入的流量，若流量與某一條策略規(guī)則相匹配，則執(zhí)行相應(yīng)的處理，反之則丟棄。03從RHEL7系統(tǒng)開始，firewalld防火墻正式取代了iptables防火墻。iptables與firewalld都不是真正的防火墻，它們都只是用來定義防火墻策略的防火墻管理工具。04iptables服務(wù)會把配置好的防火墻策略交由內(nèi)核層面的netfilter網(wǎng)絡(luò)過濾器來處理，而firewalld服務(wù)則是把配置好的防火墻策略交由內(nèi)核層面的nftables包過濾框架來處理。防火墻作為公網(wǎng)與內(nèi)網(wǎng)之間的保護(hù)屏障公網(wǎng)內(nèi)網(wǎng)iptablesPARTTWOIptables—策略與規(guī)則鏈0701防火墻會按照從上到下的順序來讀取配置的策略規(guī)則，在找到匹配項(xiàng)后就立即結(jié)束匹配工作并去執(zhí)行匹配項(xiàng)中定義的行為（即放行或阻止）。02如果在讀取完所有的策略規(guī)則之后沒有匹配項(xiàng)，就去執(zhí)行默認(rèn)的策略。一般而言，防火墻策略規(guī)則的設(shè)置有兩種：“通”（即放行）和“堵”（即阻止）。03當(dāng)防火墻的默認(rèn)策略為拒絕時(shí)（堵），就要設(shè)置允許規(guī)則（通），否則誰都進(jìn)不來；如果防火墻的默認(rèn)策略為允許，就要設(shè)置拒絕規(guī)則，否則誰都能進(jìn)來，防火墻也就失去了防范的作用。Iptables—策略與規(guī)則鏈08在進(jìn)行路由選擇前處理數(shù)據(jù)包（PREROUTING）；1規(guī)則鏈分類處理流出的數(shù)據(jù)包（OUTPUT）；3處理轉(zhuǎn)發(fā)的數(shù)據(jù)包（FORWARD）；4在進(jìn)行路由選擇后處理數(shù)據(jù)包（POSTROUTING）。5處理流入的數(shù)據(jù)包（INPUT）；2Iptables—基本的命令參數(shù)0901根據(jù)OSI七層模型的定義，iptables屬于數(shù)據(jù)鏈路層的服務(wù)，所以可以根據(jù)流量的源地址、目的地址、傳輸協(xié)議、服務(wù)類型等信息進(jìn)行匹配；02一旦匹配成功，iptables就會根據(jù)策略規(guī)則所預(yù)設(shè)的動作來處理這些流量。參數(shù)作用-P設(shè)置默認(rèn)策略-F清空規(guī)則鏈-L查看規(guī)則鏈-A在規(guī)則鏈的末尾加入新規(guī)則-Inum在規(guī)則鏈的頭部加入新規(guī)則-Dnum刪除某一條規(guī)則-s匹配來源地址IP/MASK，加嘆號“!”表示除這個(gè)IP外-d匹配目標(biāo)地址-i網(wǎng)卡名稱匹配從這塊網(wǎng)卡流入的數(shù)據(jù)-o網(wǎng)卡名稱匹配從這塊網(wǎng)卡流出的數(shù)據(jù)-p匹配協(xié)議，如TCP、UDP、ICMP--dportnum匹配目標(biāo)端口號--sportnum匹配來源端口號iptables中常用的參數(shù)以及作用Iptables—基本的命令參數(shù)10實(shí)驗(yàn)1在iptables命令后添加-L參數(shù)查看已有的防火墻規(guī)則鏈。實(shí)驗(yàn)2在iptables命令后添加-F參數(shù)清空已有的防火墻規(guī)則鏈。實(shí)驗(yàn)3把INPUT規(guī)則鏈的默認(rèn)策略設(shè)置為拒絕。實(shí)驗(yàn)4向INPUT鏈中添加允許ICMP流量進(jìn)入的策略規(guī)則。實(shí)驗(yàn)Iptables—基本的命令參數(shù)11實(shí)驗(yàn)5刪除INPUT規(guī)則鏈中剛剛加入的那條策略（允許ICMP流量），并把默認(rèn)策略設(shè)置為允許。實(shí)驗(yàn)9向INPUT規(guī)則鏈中添加拒絕所有主機(jī)訪問本機(jī)1000～1024端口的策略規(guī)則。實(shí)驗(yàn)8向INPUT規(guī)則鏈中添加拒絕主機(jī)訪問本機(jī)80端口（Web服務(wù)）的策略規(guī)則。實(shí)驗(yàn)6將INPUT規(guī)則鏈設(shè)置為只允許指定網(wǎng)段的主機(jī)訪問本機(jī)的22端口，拒絕來自其他所有主機(jī)的流量。實(shí)驗(yàn)7向INPUT規(guī)則鏈中添加拒絕所有人訪問本機(jī)12345端口的策略規(guī)則。實(shí)驗(yàn)firewalldPARTTHREEfirewalld1301firewalld（DynamicFirewallManagerofLinuxsystems，Linux系統(tǒng)的動態(tài)防火墻管理器）服務(wù)是默認(rèn)的防火墻配置管理工具，它擁有基于CLI（命令行界面）和基于GUI（圖形用戶界面）的兩種管理方式。02相較于傳統(tǒng)的防火墻管理配置工具，firewalld支持動態(tài)更新技術(shù)并加入了區(qū)域（zone）的概念。03在以往，我們需要頻繁地手動設(shè)置防火墻策略規(guī)則，而現(xiàn)在只需要預(yù)設(shè)好區(qū)域集合，然后輕點(diǎn)鼠標(biāo)就可以自動切換了，從而極大地提升了防火墻策略的應(yīng)用效率。firewalld中常用的區(qū)域名稱及策略規(guī)則14區(qū)域默認(rèn)規(guī)則策略trusted允許所有的數(shù)據(jù)包home拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh、mdns、ipp-client、smba-client、dhcpv6-client服務(wù)相關(guān)，則允許流量internal等同于home區(qū)域work拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh、ipp-client與dhcpv6-client服務(wù)相關(guān)，則允許流量public拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh、dhcpv6-client服務(wù)相關(guān)，則允許流量external拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh服務(wù)相關(guān)，則允許流量dmz拒絕流入的流量，除非與流出的流量相關(guān)；而如果流量與ssh服務(wù)相關(guān)，則允許流量block拒絕流入的流量，除非與流出的流量相關(guān)drop拒絕流入的流量，除非與流出的流量相關(guān)終端管理工具15參數(shù)作用--get-default-zone查詢默認(rèn)的區(qū)域名稱--set-default-zone=<區(qū)域名稱>設(shè)置默認(rèn)的區(qū)域，使其永久生效--get-zones顯示可用的區(qū)域--get-services顯示預(yù)先定義的服務(wù)--get-active-zones顯示當(dāng)前正在使用的區(qū)域與網(wǎng)卡名稱--add-source=將源自此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域--remove-source=不再將源自此IP或子網(wǎng)的流量導(dǎo)向某個(gè)指定區(qū)域--add-interface=<網(wǎng)卡名稱>將源自該網(wǎng)卡的所有流量都導(dǎo)向某個(gè)指定區(qū)域--change-interface=<網(wǎng)卡名稱>將某個(gè)網(wǎng)卡與區(qū)域進(jìn)行關(guān)聯(lián)--list-all顯示當(dāng)前區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息--list-all-zones顯示所有區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息--add-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域允許該服務(wù)的流量--add-port=<端口號/協(xié)議>設(shè)置默認(rèn)區(qū)域允許該端口的流量--remove-service=<服務(wù)名>設(shè)置默認(rèn)區(qū)域不再允許該服務(wù)的流量--remove-port=<端口號/協(xié)議>設(shè)置默認(rèn)區(qū)域不再允許該端口的流量--reload讓“永久生效”的配置規(guī)則立即生效，并覆蓋當(dāng)前的配置規(guī)則--panic-on開啟應(yīng)急狀況模式--panic-off關(guān)閉應(yīng)急狀況模式firewall-cmd命令中使用的參數(shù)以及作用終端管理工具16實(shí)驗(yàn)1查看firewalld服務(wù)當(dāng)前所使用的區(qū)域。實(shí)驗(yàn)5啟動和關(guān)閉firewalld防火墻服務(wù)的應(yīng)急狀況模式。實(shí)驗(yàn)4把firewalld服務(wù)的默認(rèn)區(qū)域設(shè)置為public。實(shí)驗(yàn)2查詢指定網(wǎng)卡在firewalld服務(wù)中綁定的區(qū)域。實(shí)驗(yàn)3把網(wǎng)卡默認(rèn)區(qū)域修改為external，并在系統(tǒng)重啟后生效。實(shí)驗(yàn)終端管理工具17實(shí)驗(yàn)10把原本訪問本機(jī)888端口的流量轉(zhuǎn)發(fā)到22端口，要且求當(dāng)前和長期均有效。實(shí)驗(yàn)9把訪問8080和8081端口的流量策略設(shè)置為允許，但僅限當(dāng)前生效。實(shí)驗(yàn)8把HTTP協(xié)議的流量設(shè)置為永久拒絕，并立即生效。實(shí)驗(yàn)6查詢SSH和HTTPS協(xié)議的流量是否允許放行。實(shí)驗(yàn)7把HTTPS協(xié)議的流量設(shè)置為永久允許放行，并立即生效。實(shí)驗(yàn)11富規(guī)則的設(shè)置。它的優(yōu)先級在所有的防火墻策略中也是最高的。圖形管理工具—配置軟件倉庫18將虛擬機(jī)的“CD/DVD（SATA）”光盤選項(xiàng)設(shè)置為“使用ISO映像文件”，然后選擇已經(jīng)下載好的系統(tǒng)鏡像。首先把光盤設(shè)備中的系統(tǒng)鏡像掛載到/media/cdrom目錄。為了能夠讓軟件倉庫一直為用戶提供服務(wù)，更加嚴(yán)謹(jǐn)?shù)淖龇ㄊ菍⑾到y(tǒng)鏡像文件的掛載信息寫入到/etc/fstab文件中，以保證萬無一失。然后使用Vim文本編輯器創(chuàng)建軟件倉庫的配置文件。與之前版本的系統(tǒng)不同，RHEL8需要配置兩個(gè)軟件倉庫（即[BaseOS]與[AppStream]），且缺一不可。最后將虛擬機(jī)的光盤設(shè)備指向ISO鏡像firewall-config工具的具體功能191：選擇運(yùn)行時(shí)（Runtime）或永久（Permanent）模式的配置。2：可選的策略集合區(qū)域列表。3：常用的系統(tǒng)服務(wù)列表。4：主機(jī)地址的黑白名單。5：當(dāng)前正在使用的區(qū)域。6：管理當(dāng)前被選中區(qū)域中的服務(wù)。7：管理當(dāng)前被選中區(qū)域中的端口。8：設(shè)置允許被訪問的協(xié)議。9：設(shè)置允許被訪問的端口。10：開啟或關(guān)閉SNAT（源網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。11：設(shè)置端口轉(zhuǎn)發(fā)策略。12：控制請求icmp服務(wù)的流量。13：管理防火墻的富規(guī)則。14：被選中區(qū)域的服務(wù)，若勾選了相應(yīng)服務(wù)前面的復(fù)選框，則表示允許與之相關(guān)的流量。15：firewall-config工具的運(yùn)行狀態(tài)。動手實(shí)踐環(huán)節(jié)20允許放行請求http服務(wù)的流量放行訪問8080～8088端口的流量firewall-config的圖形界面動手實(shí)踐環(huán)節(jié)21開啟防火墻的SNAT技術(shù)配置本地的端口轉(zhuǎn)發(fā)讓配置的防火墻策略規(guī)則立即生效動手實(shí)踐環(huán)節(jié)22配置防火墻富規(guī)則策略把網(wǎng)卡與防火墻策略區(qū)域進(jìn)行綁定讓防火墻策略規(guī)則立即生效動手實(shí)踐環(huán)節(jié)23網(wǎng)卡與策略區(qū)域綁定完成沒有使用SNAT技術(shù)的網(wǎng)絡(luò)使用SNAT技術(shù)處理過的網(wǎng)絡(luò)服務(wù)的訪問控制列表AccessControlListForServicesPARTFOURTCPWrapper服務(wù)的控制列表文件中常用的參數(shù)25客戶端類型示例滿足示例的客戶端列表單一主機(jī)0IP地址為0的主機(jī)指定網(wǎng)段192.168.10.IP段為/24的主機(jī)指定網(wǎng)段/IP段為/24的主機(jī)指定DNS后綴.所有DNS后綴為.的主機(jī)指定主機(jī)名稱主機(jī)名稱為的主機(jī)指定所有客戶端ALL所有主機(jī)全部包括在內(nèi)在配置TCPWrapper服務(wù)時(shí)需要遵循兩個(gè)原則26編寫拒絕策略規(guī)則時(shí)，填寫的是服務(wù)名稱，而非協(xié)議名稱；1兩個(gè)原則建議先編寫拒絕策略規(guī)則，再編寫允許策略規(guī)則，以便直觀地看到相應(yīng)的效果。2Cockpit駕駛艙管理工具CockpitCockpitManagementToolPARTFIVECockpit駕駛艙管理工具28Cockpit是一個(gè)英文單詞，即“（飛機(jī)、船或賽車的）駕駛艙、駕駛座”，它用名字傳達(dá)出了功能豐富的特性。Cockpit是一個(gè)基于Web的圖形化服務(wù)管理工具，即便是新手也可以輕松上手。它天然具備很好的跨平臺性，因此被廣泛應(yīng)用于服務(wù)器、容器、虛擬機(jī)等多種管理場景。最后，紅帽公司對Cockpit也十分看重，直接將它默認(rèn)安裝到了RHEL8系統(tǒng)中，由此衍生的CentOS和Fedora也都標(biāo)配有Cockpit。概念駕駛艙示意圖Cockpit駕駛艙管理工具29確認(rèn)信任本地證書輸入登錄賬號與系統(tǒng)密碼添加額外允許的證書Cockpit駕駛艙管理工具30Logs界面Storage界面System界面Cockpit駕駛艙管理工具31Accounts界面用戶管理界面Networking界面Cockpit駕駛艙管理工具32服務(wù)管理界面Applications界面Services界面Cockpit駕駛艙管理工具33報(bào)告生成完畢KernelDump界面DiagnosticReport界面Cockpit駕駛艙管理工具34SoftwareUpdates界面Subscriptions界面SElinux界面Cockpit駕駛艙管理工具35Terminal界面復(fù)習(xí)題361．在RHEL8系統(tǒng)中，iptables是否已經(jīng)被firewalld服務(wù)徹底取代？答：沒有，iptables和firewalld服務(wù)均可用于RHEL8系統(tǒng)。2．請簡述防火墻策略規(guī)則中DROP和REJECT的不同之處。答：DROP的動作是丟包，不響應(yīng)；REJECT是拒絕請求，同時(shí)向發(fā)送方回送拒絕信息。3．如何把iptables服務(wù)的INPUT規(guī)則鏈默認(rèn)策略設(shè)置為DROP？答：執(zhí)行命令iptables-PINPUTDROP即可。4．