漫谈 Linux 防火墙,用简单的方式来说原理与操作

2022-12-05| |it清泉流水

说起 Linux 防火墙,大家可能并不陌生,因为一般我们在安装完系统后,第一个动作往往就是执行 systemctl stop/disable firewalld 来彻底关闭它~

当然这种行为从安全角度看是“无法忍受”得啦,今天就来给大家来好好认识一下这个“Linux firewall”,看看它到底有何本事。

先闲聊概念

首先,还是从它和iptables的关系谈起吧,曾经有段时间很迷糊,这俩到底是不是一个玩意??

实际当然不是啦,Linux firewalld 简单点来说是真正意义上的给用户使用的防火墙,它的概念和网络设备中的物理防火墙的概念很接近,有zone(安全域)、服务、地址段、安全策略(rules)的概念,对用户来说,linux防火墙和物理防火墙并无差异,只是操作层面有差别而已

那 iptables 是啥,咳咳,这里还是不说 iptables 了,还是来认识认识新的 nftables 吧,nftables是用于替换 iptables 的数据包过滤框架,就是新人,它的概念跟 iptables 一样,同样的“四表五链”的概念,通过链表来建立和控制数据包的转发规则,链表的机制这里不是重点就不多说了

网图参考

等等,上面说的那俩都是建规则,那实际上到底谁来落地干活呢,工程师在哪里?

而真正使用规则干活的是内核的 netfilter ,netfilter 是 Linux 内核中进行数据包过滤的主要实现框架,在网络协议栈处理数据包过程中埋了好多钩子(Hook)来对数据包进行处理,等一下,由于这个也不是本文的重点,也就不再多说了,汗~

来一个图来说明这三者说不清也道不明的关系吧!

好了,说了那么多废话,怎么来操作这个防火墙呢,有三种手段,包括图形界面(这里不讲)、Web控制台(这里也不讲,只给看)、命令行(只说这个),来点具体的吧!

先来个狠的,全给我断掉!

(在紧急情况下,如遇到系统攻击,可以禁用所有网络流量阻断攻击)

启动 panic 模式:

$ firewall-cmd --panic-on

启用 panic 模式即可停止所有网络流量,包括你自己的访问,断了之后就赶紧去机房或者找控制台console吧。

要关闭 panic 模式:

$ firewall-cmd --panic-off

我到底关没关/开没开?请使用:

$ firewall-cmd --query-panic

来点正常的吧

增加一个http服务的访问,永久:

$ firewall-cmd --zone=public --add-service=http --permanent

自定义一个service服务

$ firewall-cmd --zone=public --permanent --new-service="only--9527" --add-port=9527/tcp

存一下,看看样子

$ firewall-cmd --reload

来点特殊功能,ICMP Filter

$ firewall-cmd --permanent --zone=public --add-icmp-block=echo-request 
$ firewall-cmd --permanent --zone=public --add-icmp-block=echo-reply 
$ firewall-cmd --reload

然后就真被filter了

[[email protected] ~]# firewall-cmd --list-all  
public (active)
 target: default
 icmp-block-inversion: no
 interfaces: bond0 eno1 eno2 eno3
 sources: 
services: bgp cockpit dhcpv6-client etcd-server ssh
 ports: 
protocols: 
masquerade: no
 forward-ports: 
source-ports: 
icmp-blocks: echo-request echo-reply
[[email protected] ~]# ping 192.168.1.111
PING 192.168.1.111 (192.168.1.111) 56(84) bytes of data.
From 192.168.1.111 icmp_seq=1 Packet filtered
From 192.168.1.111 icmp_seq=2 Packet filtered

这种很明显,别人会知道你正在filter(阻止)它,要真正隐藏就要丢弃所有请求,然后再增加正常的访问请求策略(无奈,firewalld就是这个样子)。

$ firewall-cmd --permanent --set-target=DROP

增加正常的访问请求策略就看上下文吧,不多说了。

来个 rich 的

rich language 是一种表达性配置语言,就是很简单的去表达基本的允许/拒绝规则。

例如,拦截来自外部网路中 IP 为 192.168.1.254 的 BGP 流量(什么玩意,还想给主机发bgp信息?):

$ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address=192.168.1.254 service name=bgp reject" 
$ firewall-cmd --reload
$ firewall-cmd --list-all
public (active)
  target: default
  ……
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.1.254" service name="bgp" reject
[[email protected] ~]# telnet 192.168.1.111 179
Trying 192.168.1.111...
telnet: connect to address 192.168.1.111: Connection refused

rich规则详解:

--add-rich-rule 使用选项,规则以 rule 关键字开头

family: 可指定该规则仅应用于IPv4数据包,如果未指定将同时应用于IPv4和IPv6

source address: 数据包的源地址

service: 规则的服务类型,在本例中为bgp

reject/drop/accept: 数据包与规则匹配时要执行的操作,在本例中为reject


标签: firewall 192.168 规则 cmd 数据 防火墙 permanent 1.111 public 概念
出处: https://www.toutiao.com/article/7172569933199557157/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护