企業辦公網絡管理監控 使用 firewalld 和 iptables 來控制網絡流量
2015-09-29 12:05 作者:admin 瀏覽量:
簡單來說,防火墻就是一個基于一系列預先定義的規則(例如流量包的目的地或來源,流量的類型等)的安全系統,它控制著一個網絡中的流入和流出流量。(網絡維護外包)
在后臺, firewalld 和 iptables 服務都通過相同的接口來與內核中的 netfilter 框架相交流,這不足為奇,即它們都通過 iptables 命令來與 netfilter 交互。然而,與 iptables 服務相反, firewalld 可以在不丟失現有連接的情況下,在正常的系統操作期間更改設定。
在默認情況下, firewalld 應該已經安裝在你的 RHEL 系統中了,盡管它可能沒有在運行。你可以使用下面的命令來確認(firewall-config 是用戶界面配置工具):
流入和流出流量
# yum info firewalld firewall-config
檢查 FirewallD 的信息
以及,
# systemctl status -l firewalld.service
檢查 FirewallD 的狀態
另一方面, iptables 服務在默認情況下沒有被包含在 RHEL 系統中,但可以被安裝上。
# yum update && yum install iptables-services
這兩個守護進程都可以使用常規的 systemd 命令來在開機時被啟動和開啟:
# systemctl start firewalld.service | iptables-service.service# systemctl enable firewalld.service | iptables-service.service
另外,請閱讀:管理 Systemd 服務的實用命令(服務器維護外包)
至于配置文件, iptables 服務使用 /etc/sysconfig/iptables 文件(假如這個軟件包在你的系統中沒有被安裝,則這個文件將不存在)。在一個被用作集群節點的 RHEL 7 機子上,這個文件看起來是這樣:
Iptables 防火墻配置文件
而 firewalld 則在兩個目錄中存儲它的配置文件,即 /usr/lib/firewalld 和 /etc/firewalld:
# ls /usr/lib/firewalld /etc/firewalld
FirewallD 的配置文件
在這篇文章中后面,我們將進一步查看這些配置文件,在那之后,我們將在這兩個地方添加一些規則。現在,是時候提醒你了,你總可以使用下面的命令來找到更多有關這兩個工具的信息。
# man firewalld.conf# man firewall-cmd# man iptables
除了這些,記得查看一下當前系列的第一篇 RHCSA 系列(一): 回顧基礎命令及系統文檔,在其中我描述了幾種渠道來得到安裝在你的 RHEL 7 系統上的軟件包的信息。
Foundation Certified Engineer,LFCE) 系列中的 配置 Iptables 防火墻 – Part 8 來復習你腦中有關 iptables 的知識。
例 1:同時允許流入和流出的網絡流量TCP 端口 80 和 443 是 Apache web 服務器使用的用來處理常規(HTTP)和安全(HTTPS)網絡流量的默認端口。你可以像下面這樣在 enp0s3 接口上允許流入和流出網絡流量通過這兩個端口:
# iptables -A INPUT -i enp0s3 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT# iptables -A OUTPUT -o enp0s3 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT# iptables -A INPUT -i enp0s3 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT# iptables -A OUTPUT -o enp0s3 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
例 2:從某個特定網絡中阻擋所有(或某些)流入連接或許有時你需要阻擋來自于某個特定網絡的所有(或某些)類型的來源流量,比方說 192.168.1.0/24:
# iptables -I INPUT -s 192.168.1.0/24 -j DROP
上面的命令將丟掉所有來自 192.168.1.0/24 網絡的網絡包,而
# iptables -A INPUT -s 192.168.1.0/24 --dport 22 -j ACCEPT
將只允許通過端口 22 的流入流量。
例 3:將流入流量重定向到另一個目的地假如你不僅使用你的 RHEL 7 機子來作為一個軟件防火墻,而且還將它作為一個硬件防火墻,使得它位于兩個不同的網絡之間,那么在你的系統上 IP 轉發一定已經被開啟了。假如沒有開啟,你需要編輯 /etc/sysctl.conf 文件并將net.ipv4.ip_forward 的值設為 1,即:
net.ipv4.ip_forward = 1
接著保存更改,關閉你的文本編輯器,并最終運行下面的命令來應用更改:
# sysctl -p /etc/sysctl.conf
例如,你可能在一個內部的機子上安裝了一個打印機,它的 IP 地址為 192.168.0.10,CUPS 服務在端口 631 上進行監聽(同時在你的打印服務器和你的防火墻上)。為了從防火墻另一邊的客戶端傳遞打印請求,你應該添加下面的 iptables 規則:
# iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 631 -j DNAT --to 192.168.0.10:631
請記住 iptables 會逐條地讀取它的規則,所以請確保默認的策略或后面的規則不會重載上面例子中那些規則。
FirewallD 入門firewalld 引入的一個變化是區域(zone) (注:翻譯參考了 https://fedoraproject.org/wiki/FirewallD/zh-cn )。這個概念允許將網路劃分為擁有不同信任級別的區域,由用戶決定將設備和流量放置到哪個區域。
要獲取活動的區域,使用:
# firewall-cmd --get-active-zones
在下面的例子中,public 區域是激活的,并且 enp0s3 接口被自動地分配到了這個區域。要查看有關一個特定區域的所有信息,可使用:
# firewall-cmd --zone=public --list-all
列出所有的 Firewalld 區域
由于你可以在 RHEL 7 安全指南 中閱讀到更多有關區域的知識,這里我們將僅列出一些特別的例子。
例 4:允許服務通過防火墻要獲取受支持的服務的列表,可以使用:
# firewall-cmd --get-services
列出所有受支持的服務(it外包)
要立刻生效且在隨后重啟后都可以讓 http 和 https 網絡流量通過防火墻,可以這樣:
# firewall-cmd --zone=MyZone --add-service=http# firewall-cmd --zone=MyZone --permanent --add-service=http# firewall-cmd --zone=MyZone --add-service=https# firewall-cmd --zone=MyZone --permanent --add-service=https# firewall-cmd --reload
假如 -–zone 被忽略,則使用默認的區域(你可以使用 firewall-cmd –get-default-zone來查看)。
若要移除這些規則,可以在上面的命令中將 add 替換為 remove。
例 5:IP 轉發或端口轉發首先,你需要查看在目標區域中,偽裝(masquerading)是否被開啟:
# firewall-cmd --zone=MyZone --query-masquerade
在下面的圖片中,我們可以看到對于外部區域,偽裝已被開啟,但對于公用區域則沒有:
查看偽裝狀態
你可以為公共區域開啟偽裝:
# firewall-cmd --zone=public --add-masquerade
或者在外部區域中使用偽裝。下面是使用 firewalld 來重復例 3 中的任務所需的命令:
# firewall-cmd --zone=external --add-forward-port=port=631:proto=tcp:toport=631:toaddr=192.168.0.10
不要忘了重新加載防火墻。
艾銻無限是中國領先IT外包服務商,專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線:400-650-7820 聯系電話:010-62684652 咨詢QQ1548853602 地址:北京市海淀區北京科技會展2號樓16D,用心服務每一天,為企業的發展提升更高的效率,創造更大的價值。
更多的IT外包信息盡在艾銻無限http://www.richjn.cn
相關文章
IT電腦維護外包
關閉