10.12 firewalld和netfilter
10.13 netfilter5表5链介绍
10.14 iptables语法
10.15 iptables filter表案例
10.16/10.17/10.18 iptables nat表应用
10.17扩展
10.18课堂笔记
10.12 firewalld和netfilter
关闭SELinux
setenforce 0 #selinux临时关闭
vi /etc/selinux/config #selinux永久关闭
将SELINUX=enforcing改为“SELINUX=disabled”
centos7之前使用netfilter防火墙
centos7开始使用firewalld防火墙(默认开启)
开启netfilter步骤
1、关闭firewalld并禁止开机自启
2、下载iptables服务
3、开启iptables服务;enable iptables、start iptables
[root@xinlinux-02 ~]#
systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@xinlinux-02 ~]#
systemctl stop firewalld
[root@xinlinux-02 ~]#
systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@xinlinux-02 ~]#
systemctl start iptables
关闭firewalld开启netfilter方法
systemctl disable firewalled #禁止开机自启firewalld
systemctl stop firewalld #停止firewalld服务
yum install -y iptables-services #下载iptables服务
开启iptables服务
systemctl enable iptables
systemctl start iptables
10.13 netfilter5表5链介绍
man iptables #有五表的说明
netfilter的5个表
filter表用于过滤包,最常用的表,有INPUT、FORWARD、OUTPUT三个链
nat表用于网络地址转换,有PREROUTING、OUTPUT、POSTROUTING三个链
managle表用于给数据包做标记,几乎用不到
raw表可以实现不追踪某些数据包,几乎用不到
security表在centos6中并没有,用于强制访问控制(MAC)的网络规则,
netfilter的5个链
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARD:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外发出
POSTROUTING:发送到网卡接口之前
数据包流向:
##数据包首先流入PREROUTING,然后路由决策判断是否为本机;1、若是本机,就通过INPUT进入到本机内核,内核处理后发送出去通过OUTPUT,然后经过POSTROUTING;
2、若不是本机,直接FORWARD转发出去,然后POSTROUTING,数据包流出
总结:
1、如果数据包是进入本机的,会通过PREROUTING、INPUT、OUTPUT、POSTROUTING;
2、如果数据包不是进入本机的,会通过PREROUTING、FORWARD、POSTROUTING;
10.14 iptables语法
注意:iptables规则是从上往下执行的
1、查看iptables规则
iptables -nvL
[root@xinlinux-02 ~]#
iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
105 6956 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 58 packets, 6200 bytes)
pkts bytes target prot opt in out source destination
第一列pkts(包数量)、bytes(数据量字节数)
2、清空规则(临时清空,重启iptables还原,除非保存到规则文件)
iptables -F
[root@xinlinux-02 ~]#
iptables -F
[root@xinlinux-02 ~]#
iptables -nvL
Chain INPUT (policy ACCEPT 6 packets, 428 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 4 packets, 448 bytes)
pkts bytes target prot opt in out source destination
[root@xinlinux-02 ~]#
systemctl restart iptables
[root@xinlinux-02 ~]#
iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
12 872 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
3、保存当前规则
#保存文件在/etc/sysconfig/iptables,重启时会调用该文件里面的规则
[root@xinlinux-02 ~]#
cat /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
service iptables save
#保存当前设置的规则到文件/etc/sysconfig/iptables
systemctl restart iptables #重启iptables
4、查看指定表规则 -t指定表
#不指定表时,默认是filter表
iptables -nvL -t 表名
[root@xinlinux-02 ~]#
iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
5、可以把计数器清零(表规则内的数据清空pkts、bytes)
iptables -Z
#抓包后发现一些ip来源有异常,用iptables将它DROP掉,将ip封掉;在
iptables -nvL统计pkts、bytes时,可以设置一个规则----半小时后数据包量没有增加或者超过一个范围,那就可以将该ip解封掉
;(通过pkts判断的) 过完半小时后
iptables -Z重新开始计算
6、增加规则-A(放在规则最后面)
iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
#-s指定来源ip,-p指定协议,--sport来源端口,-d目标ip,--dport目标端口,-i操作选项
DROP/REJECT
共同点:效果一样,都是让数据包过不来
区别:
DROP:数据包过来看都不看直接丢掉
REJECT:数据包过来先看一眼,然后再拒绝
#使用 --dprot时要结合-p 协议使用
7、(插入)增加规则-I(大写i)(插入到最前面)
iptables -I INPUT -p tcp --dport 80 -j DROP
[root@xinlinux-02 ~]#
iptables -I INPUT -p tcp --dport 80 -j DROP
[root@xinlinux-02 ~]#
iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
8、删除规则
第一种方法:-D(放在规则最前面)
iptables -D INPUT -p tcp --dport 80 -j DROP
第二种方法:通过规则序列号删除规则
iptables -nvL --line-numbers #查看规则序列号
[root@xinlinux-02 ~]#
iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8
iptables -D INPUT [规则序列号] #通过指定规定序列号删除
[root@xinlinux-02 ~]#
iptables -D INPUT 1
[root@xinlinux-02 ~]#
iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 54 4024 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9、默认规则
#OUTPUT链的数据包由默认策略决定
iptables -P [链名] [动作选项]
iptables -P OUTPUT DROP #将OUTPUT链的数据包全部丢掉
#远程登录操控的话先不执行,因为一旦执行,远程连接的22端口也会被禁用掉;如果要执行该命令前先将22端口放行
10.15 iptables filter表案例
案例1:放行端口
只放行80、21、22三个端口的数据包,且22端口只有指定的IP段才能通过
这个案例我们可以编写一个shell脚本来实现。
vim /usr/local/sbin/iptables.sh ##编辑脚本文件,加入以下内容
#! /bin/bash #定义执行脚本的shell
IPT="/usr/sbin/iptables" #定义变量,iptables命令的绝对路径。
$IPT -F #清空iptables规则
$IPT -P INPUT DROP #默认规则,丢弃所有数据包。
$IPT -P OUTPUT ACCEPT #默认规则,放行所有OUTPUT链的数据包
$IPT -P FORWARD ACCEPT #默认规则,放行所有FORWARD链的数据包
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
##下面这条规则允许通过RELATED和ESTABLISHED状态的数据包,这条规则必加,否则可能导致某些服务连不上。
$IPT -A INPUT -s 192.168.233.0/24 -p tcp --dport 22 -j ACCEPT #仅允许192.168.233.0/24网段链接22端口
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT #允许通过所有80端口的数据包
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT #允许通过所有21端口的数据包
执行这个脚本后查看添加的规则。
bash /usr/local/sbin/iptables.sh
iptables -nvL
[root@xinlinux-02 ~]#
vim /usr/local/sbin/iptables.sh
[root@xinlinux-02 ~]#
bash /usr/local/sbin/iptables.sh
[root@xinlinux-02 ~]#
iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
9 616 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.233.0/24 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
案例2:禁ping
让本机可以ping通别的机器,但是别的机器ping不通本机
iptables -F ; iptables -P INPUT ACCEPT
#首先清空之前的规则,并且允许所有数据包通过INPUT链,必须一条命令执行,否则远程连接会断开
#丢弃icmp包类型为8的数据包。icmp类型为8的数据包是icmp请求,类型为0的是应答包。
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
##添加这条规则后,可以本机可以ping通其他ip,但是其他机器ping不通本机了。
10.16/10.17/10.18 iptables nat表应用
A机器两块网卡ens33(192.168.133.130)、ens37(192.168.100.1),ens33可以上外网,ens37仅仅是内部网络,B机器只有ens37(192.168.100.100),和A机器ens37可以通信互联。
需求1:可以让B机器连接外网(就是A机器当做路由器,B连接)
1、 A机器上打开路由转发
echo "1">/proc/sys/net/ipv4/ip_forward
#/proc/sys/net/ipv4/ip_forward为0表示没有开启内核转发
2、 A上执行
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
3、 B上设置网关为192.168.100.1
route add default gw 192.168.100.1 #设置默认网关
手动添加网卡ip
ifconfig ens37 192.168.100.1/24 (
重启消失)
端口映射
需求2:C机器只能和A通信,让C机器可以直接连通B机器的22端口
##将B机器的ip端口映射出来,通过A机器指定的端口可以连接B22端口
1、A上打开路由转发
echo "1">/ proc/sys/net/ipv4/ip_forward
2、执行前先iptables -F清空规则,以免影响后面操作,
A上执行
iptables -t nat -A PREROUTING -d 192.168.133.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22
#DNAT为目标地址转换
3、 A上执行
iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.133.130
#SDAT为源地址转换
4、 B上设置网关为192.168.100.1
route add default gw 192.168.100.1 #设置默认网关
10.17扩展
selinux教程(selinux了解即可)
![]()
http://os.51cto.com/art/201209/355490.htm
selinux pdf电子书
![]()
http://pan.baidu.com/s/1jGGdExK
iptables应用在一个网段
![]()
http://www.aminglinux.com/bbs/thread-177-1-1.html
sant,dnat,masquerade
![]()
http://www.aminglinux.com/bbs/thread-7255-1-1.html
iptables限制syn速率
![]()
http://www.aminglinux.com/bbs/thread-985-1-1.html
![]()
http://jamyy.us.to/blog/2006/03/206.html
10.18课堂笔记
一、selinux
如何关闭SELinux
1、临时关闭SELINUX的方式:
setenforce 0 #临时关闭SELINUX,重启后SELINUX还会自动启动。
getenforce #getenforce可以获取SELINUX的运行状态。
[root@long01 ~]#
setenforce 0
[root@long01 ~]#
getenforce
Permissive
关于SELINUX的运行状态
- enforcing #开启状态,会强制执行SELINUX的安全策略
- permissive #提示状态,会打印触发SELINUX安全策略的警告,但是不会执行相应的策略。
- disabled #关闭SELINUX,重启后也不会再启动SELINUX。
2、永久关闭SELINUX:
永久关闭SELINUX需要修改SELINUX的配置文件/etc/selinux/config
修改方法1:
vim /etc/selinux/config #使用vim编辑器编辑/etc/selinux/config文件。
将文件中的
SELINUX=enforce修改为
SELINUX=disabled后,保存退出。
修改方法2:执行下面这条命令:
sed -i 's/^SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config
检查修改结果:
[root@long01 ~]#
grep -i "selinux=disabled" /etc/selinux/config
SELINUX=disabled
#grep能过滤出结果,表示修改正确。然后重启系统就能完全关闭SELINUX了。
[root@long01 ~]# getenforce
Disabled
二、firewalld、iptables和netfilter之间的关系
Linux系统有三种安全机制:selinux、firewalld、iptables
netfilter是最终的防火墙,firewalld和iptables是管理防火墙的工具
firewalld默认是开启的
在centos6上,我们用的是iptables服务,而在centos7上,我们用的是firewalld服务。 同样的,centos6上安装的是iptables包,而centos7上安装的是firewalld包。
不管是centos6还是centos7,核心其实都是netfilter,netfilter是linux的一个内核模块,iptables命令是linux内核自带的。
centos6上的iptables服务和centos7上的firewalld服务,其实都是用来定义防火墙规则功能的防火墙管理工具。
它们都是将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能, 所以其实在配置规则的思路上是完全一致的。
systemctl status firewalld #开启firewalld
systemctl disable firewalld #禁止firewalld开机自启动
systemctl stop firewalld.service #关闭firewalld服务
三、iptables
yum install -y iptables-services
systemctl status iptables #开启iptables代替firewalld
##(#显示active就是正常开启了)
四、netfilter5表5链介绍
1)netfilter5表
1、filter——三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包
内核模块:iptables_filter.
2、Nat表—— 三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口)
内核模块:iptable_nat ( ###Nat表用的最多)
3、Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS
内核模块:iptable_mangle(设置策略时几乎都不会用到它)
4、Raw表——两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理
内核模块:iptable_raw
5、Security表——三个链:INPUT、OUTPUT和FORWARD
作用:Security表在centos6中并没有,用于强制访问控制(MAC)的网络规则
内核模块:iptable_security
2)netfilter的5个链
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARD:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外发出
POSTROUTING:发送到网卡接口之前
数据包传输过程:
五、iptables语法
iptables一般语法格式:
iptables [-t table] 命令 [chain] [rules] [-j target]
格式说明:
table————指定表名,iptables内置包括filter表、nat表、mangle、raw表和security表。
命令—————对链的操作命令
chain————链名
rules————匹配规则
target————动作如何进行
操作命令选项说明:
-P或–policy <链名>:定义默认策略
-L或–list <链名>:查看iptables规则列表
-A或—append <链名>:在规则列表的最后增加1条规则
-I或–insert <链名>:在指定的位置插入1条规则
-D或–delete <链名>:从规则列表中删除1条规则
-R或–replace <链名>:替换规则列表中的某条规则
-F或–flush <链名>:删除表中所有规则 (临时删除,重启iptables后复原,)
-Z或–zero <链名>:将表中数据包计数器和流量计数器归零
规则选项说明:
-i或–in-interface <网络接口名>:指定数据包从哪个网络接口进入,如ppp0、eth0和eth1等
-o或–out-interface <网络接口名>:指定数据包从哪块网络接口输出,如ppp0、eth0和eth1等
-p或—proto协议类型 < 协议类型>:指定数据包匹配的协议,如TCP、UDP和ICMP等
-s或–source <源地址或子网>:指定数据包匹配的源地址
–sport <源端口号>:指定数据包匹配的源端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口
-d或–destination <目标地址或子网>:指定数据包匹配的目标地址 –dport <目标端口号>:指定数据包匹配的目标端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口
动作选项说明:
ACCEPT:接受数据包
DROP:丢弃数据包
REDIRECT:与DROP基本一样,区别在于它除了阻塞包之外, 还向发送者返回错误信息。
SNAT:源地址转换,即改变数据包的源地址
DNAT:目标地址转换,即改变数据包的目的地址
MASQUERADE: IP伪装,即是常说的NAT技术,
MASQUERADE只能用于ADSL等拨号上网的IP伪装,也就是主机的IP是由ISP分配动态的; 如果主机的IP地址是静态固定的,就要使用SNAT
六、iptables常用操作示例:
1、查看iptables规则
iptables -nvL
选项说明:
n:数字输出。IP地址和端口会以数字的形式打印
v:详细输出。这个选项让list命令显示接口地址、规则选项等信息
L -list:显示所选链的所有规则。如果没有选择链,则会显示所有链的所有规则
2、清空iptables规则:
iptables -F
##这里清空的只是当前iptables中设置的规则,不会清空以及保存的规则。 重启iptables服务即可恢复保存过的规则。
3、保存iptables规则:
service iptables save
#执行这条命令会把当前iptables的所有规则保存到/etc/sysconfig/iptables文件中。
保存后,-A 是后面 , -I(大写i)插入是在第一行
4、数据包清零
iptables -Z
## Z选项可以清空所有规则相关的数据包数量
5、增加一条规则
iptables
-A
INPUT -s 192.168.233.131 -p icmp -j DROP
##丢弃来自192.168.233.131的协议数据,使其他服务器ping不通192.168.233.131这台主机
ps:如果不-s指定ip源的话,系统会默认所有网卡ip
ps:如果增加规则不生效,有可能是被其他优先级较高的规则覆盖了;将规则iptables -F临时删除,然后重新添加就应该生效了
6、删除一条规则
方法一:(需要知道添加这一条规则的完整命令,通过-D删除)
iptables -D INPUT -s 192.168.233.131 -p icmp -j DROP
方法二:(通过规则编号来删除规则)
查看规则编号的选项是 --line-numbers
iptables -nvL [链名] --line-numbers
#查询规则中的指定链名的规则编号
iptables -D [链名] [规则编号] #删除指定链名的规则
7、添加默认规则
#默认规则就是除了可以匹配iptables规则的数据包以外的所有数据包都交给默认规则来处理。
##添加默认规则不会保存到/etc/sysconfig/iptables里面
#如果先添加默认规则,然后添加新的规则,新规则会把默认规则覆盖,所以默认规则最后生效(
默认规则优先级最低)
iptables -P [链名] [动作选项]
例:只能访问服务器的22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#实验需要首先添加允许22端口的数据包通过,否则下面的规则会让远程连接断开再也连不上
iptables -P OUTPUT ACCEPT
#默认允许所有OUTPUT链的数据包通过
iptables -P FORWARD ACCEPT
#默认允许所有FORWARD链的数据包通过
iptables -P INPUT DROP
#默认丢弃INPUT链的数据包
七、iptables filter表案例
案例1:放行端口
只放行80、21、22三个端口的数据包,且22端口只有指定的IP段才能通过
这个案例我们可以编写一个shell脚本来实现。
vim /usr/local/sbin/iptables.sh ##编辑脚本文件,加入以下内容
#! /bin/bash #定义执行脚本的shell
IPT="/usr/sbin/iptables" #定义变量,iptables命令的绝对路径。
$IPT -F #清空iptables规则
$IPT -P INPUT DROP #默认规则,丢弃所有数据包。
$IPT -P OUTPUT ACCEPT #默认规则,放行所有OUTPUT链的数据包
$IPT -P FORWARD ACCEPT
#默认规则,放行所有FORWARD链的数据包
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
##下面这条规则允许通过RELATED和ESTABLISHED状态的数据包,这条规则必加,否则可能导致某些服务连不上。
$IPT -A INPUT -s 10.1.1.0/24 -p tcp --dport 22 -j ACCEPT
#仅允许10.1.1.0/24网段链接22端口
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
#允许通过所有80端口的数据包
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT
#允许通过所有21端口的数据包
案例2:禁ping
让本机可以ping通别的机器,但是别的机器ping不通本机
iptables -F ; iptables -P INPUT ACCEPT
#首先清空之前的规则,并且允许所有数据包通过INPUT链,必须一条命令执行,否则远程连接会断开
#丢弃icmp包类型为8的数据包。icmp类型为8的数据包是icmp请求,类型为0的是应答包。
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
##添加这条规则后,可以本机可以ping通其他ip,但是其他机器ping不通本机了。
八、iptables nat表案例
案例一:网络地址转换
通过一台能上外网的主机,让另一台内网主机也可以上外网。
案例需要两台主机,一台可以上外网,两块网卡, 另一台不能上外网,一块网卡。
b机器的网关是a机器的网关,a机器不能上网
虚拟机设置
可以上外网的主机:
主机名:long0000,关闭系统后设置网卡
网卡1设置:网卡使用桥接或者NAT模式可以连接外网。
网卡2设置:添加一个网络适配器,模式选择LAN区段,LAN区段的作用类似于交换机。
点击 LAN区段(S) 按钮可以添加一个LAN区段,区段名随意填写。
不可连接外网的主机:
主机名:test01,克隆快照快速建立一台主机。
网卡的设置与外网机的网卡2设置一样。需要选择与外网机相同的LAN区段。
系统网卡配置:
long0000主机网卡配置:
开机后将/etc/sysconfig/network-scripts/ifcfg-ens33配置文件复制一份命名为ifcfg-ens37
[root@long0000 ~]#
cd /etc/sysconfig/network-scripts/
[root@long0000 network-scripts]#
cp ifcfg-ens33 ifcfg-ens37
[root@long0000 network-scripts]#
ls -d ./ifcfg*
./ifcfg-ens33 ./ifcfg-ens37 ./ifcfg-lo
然后修改ifcfg-ens37配置文件如下:
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
NAME
=ens37
DEVICE=
ens37
ONBOOT=yes
IPADDR=
192.168.100.1
修改完重启 ens37 网卡
ifdown ens37 ; ifup ens37
test01主机网卡配置:
test01主机无法远程连,接所以只能在虚拟机里面操作
首先修改主机名
hostnamectl set-hostname test01
然后退出shell重新登录。
exit
#修改ifcfg-ens33文件配置如下图,然后重启网络服务
#到这里192.168.100.1和192.168.100.100就可以相互ping通了。
但是test01还不能ping通外网网卡10.1.1.25。
iptables规则配置
##这里就需要用到NAT表了。如果要实现转发功能还需要修改内核参数。
##将long0000主机上 /proc/sys/net/ipv4/ip_forward 文件的内容修改为1 就可以开启路由转发了。
[root@long0000 ~]#
echo "1" > /proc/sys/net/ipv4/ip_forward
[root@long0000 ~]#
cat /proc/sys/net/ipv4/ip_forward
1
#然后在long0000主机上添加iptables规则
[root@long0000 ~]#
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
#nat的地址转化;-s 192.168.100.1/24 指定源地址网段;-o ens33使用能上网的网卡
#再将test01主机网卡的网关设置为192.168.100.1,并设置一个DNS
route add default gw 192.168.100.1 #设置一个默认网关
echo "nameserver 223.5.5.5" > /etc/resolv.conf #添加一个临时的DNS服务器
这样192.168.100.100就可以ping通外网了。
这样设置后,long0000主机就扮演了路由器的角色,但是PC机还是不能直接连接test01主机
案例二:端口转发
让PC能远程登录test01
这个需求只需要在案例需求1的基础上,在long0000主机上添加两条规则即可。
iptables -t nat -A PREROUTING -d 10.1.1.25 -p tcp --dport 22222 -j DNAT --to 192.168.100.100:22
#将访问10.1.1.25:22222端口的数据包转发给192.168.100.100:22端口
#DNAT转化目的地址
iptables -t nat -A POSTROUTING -s 192.168.100.1 -j SNAT --to 10.1.1.25
#将来源于192.168.100.100的数据包的源地址转换为10.1.1.25
#SNAT转化源地址
然后使用Xshell连接10.1.1.25:22222就可以间接的远程登录test01主机了。
一、selinux
如何关闭SELinux
1、临时关闭SELINUX的方式:
setenforce 0 #临时关闭SELINUX,重启后SELINUX还会自动启动。
getenforce #getenforce可以获取SELINUX的运行状态。
[root@long01 ~]# setenforce 0
[root@long01 ~]#
getenforce
Permissive
关于SELINUX的运行状态
- enforcing #开启状态,会强制执行SELINUX的安全策略
- permissive #提示状态,会打印触发SELINUX安全策略的警告,但是不会执行相应的策略。
- disabled #关闭SELINUX,重启后也不会再启动SELINUX。
2、永久关闭SELINUX:
永久关闭SELINUX需要修改SELINUX的配置文件
/etc/selinux/config
修改方法1:
vim /etc/selinux/config #使用vim编辑器编辑/etc/selinux/config文件。
将文件中的
SELINUX=enforce修改为
SELINUX=disabled后,保存退出。
修改方法2:执行下面这条命令:
sed -i 's/^SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config
检查修改结果:
[root@long01 ~]#
grep -i "selinux=disabled" /etc/selinux/config
SELINUX=disabled
#grep能过滤出结果,表示修改正确。然后重启系统就能完全关闭SELINUX了。
[root@long01 ~]#
getenforce
Disabled
二、firewalld、iptables和netfilter之间的关系
Linux系统有三种安全机制:selinux、firewalld、iptables
netfilter是最终的防火墙,firewalld和iptables是管理防火墙的工具
firewalld默认是开启的
在centos6上,我们用的是iptables服务,而在centos7上,我们用的是firewalld服务。 同样的,centos6上安装的是iptables包,而centos7上安装的是firewalld包。
不管是centos6还是centos7,核心其实都是netfilter,netfilter是linux的一个内核模块,iptables命令是linux内核自带的。
centos6上的iptables服务和centos7上的firewalld服务,其实都是用来定义防火墙规则功能的防火墙管理工具。
它们都是将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能, 所以其实在配置规则的思路上是完全一致的。
systemctl status firewalld #开启firewalld
systemctl disable firewalld #禁止firewalld开机自启动
systemctl stop firewalld.service #关闭firewalld服务
三、iptables
yum install -y iptables-services
systemctl status iptables #开启iptables代替firewalld
##(#显示active就是正常开启了)
四、netfilter5表5链介绍
1)netfilter5表
1、filter——三个链:INPUT、
FORWARD、OUTPUT
作用:过滤数据包
内核模块:iptables_filter.
2、Nat表—— 三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口)
内核模块:iptable_nat ( ###Nat表用的最多)
3、Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、
FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS
内核模块:iptable_mangle(设置策略时几乎都不会用到它)
4、Raw表——两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理
内核模块:iptable_raw
5、Security表——三个链:INPUT、OUTPUT和
FORWARD
作用:Security表在centos6中并没有,用于强制访问控制(MAC)的网络规则
内核模块:iptable_security
2)netfilter的5个链
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARD:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外发出
POSTROUTING:发送到网卡接口之前
数据包传输过程:
五、iptables语法
iptables一般语法格式:
iptables [-t table] 命令 [chain] [rules] [-j target]
格式说明:
table————指定表名,iptables内置包括filter表、nat表、mangle、raw表和security表。
命令—————对链的操作命令
chain————链名
rules————匹配规则
target————动作如何进行
操作命令选项说明:
-P或–policy <链名>:定义默认策略
-L或–list <链名>:查看iptables规则列表
-A或—append <链名>:在规则列表的最后增加1条规则
-I或–insert <链名>:在指定的位置插入1条规则
-D或–delete <链名>:从规则列表中删除1条规则
-R或–replace <链名>:替换规则列表中的某条规则
-F或–flush <链名>:删除表中所有规则 (临时删除,重启iptables后复原,)
-Z或–zero <链名>:将表中数据包计数器和流量计数器归零
规则选项说明:
-i或–in-interface <网络接口名>:指定数据包从哪个网络接口进入,如ppp0、eth0和eth1等
-o或–out-interface <网络接口名>:指定数据包从哪块网络接口输出,如ppp0、eth0和eth1等
-p或—proto协议类型 < 协议类型>:指定数据包匹配的协议,如TCP、UDP和ICMP等
-s或–source <源地址或子网>:指定数据包匹配的源地址
–sport <源端口号>:指定数据包匹配的源端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口
-d或–destination <目标地址或子网>:指定数据包匹配的目标地址
–dport <目标端口号>:指定数据包匹配的目标端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口
动作选项说明:
ACCEPT:接受数据包
DROP:丢弃数据包
REDIRECT:与DROP基本一样,区别在于它除了阻塞包之外, 还向发送者返回错误信息。
SNAT:源地址转换,即改变数据包的源地址
DNAT:目标地址转换,即改变数据包的目的地址
MASQUERADE: IP伪装,即是常说的NAT技术,
MASQUERADE只能用于ADSL等拨号上网的IP伪装,也就是主机的IP是由ISP分配动态的; 如果主机的IP地址是静态固定的,就要使用SNAT
六、iptables常用操作示例:
1、查看iptables规则
iptables -nvL
选项说明:
n:数字输出。IP地址和端口会以数字的形式打印
v:详细输出。这个选项让list命令显示接口地址、规则选项等信息
L -list:显示所选链的所有规则。如果没有选择链,则会显示所有链的所有规则
2、清空iptables规则:
iptables -F
##这里清空的只是当前iptables中设置的规则,不会清空以及保存的规则。 重启iptables服务即可恢复保存过的规则。
3、保存iptables规则:
service iptables save
#执行这条命令会把当前iptables的所有规则保存到
/etc/sysconfig/iptables文件中。
保存后,-A 是后面 , -I(大写i)插入是在第一行
4、数据包清零
iptables -Z
## Z选项可以清空所有规则相关的数据包数量
5、增加一条规则
iptables
-A
INPUT -s 192.168.233.131 -p icmp -j DROP
##丢弃来自192.168.233.131的协议数据,使其他服务器ping不通192.168.233.131这台主机
ps:如果不-s指定ip源的话,系统会默认所有网卡ip
ps:如果增加规则不生效,有可能是被其他优先级较高的规则覆盖了;将规则iptables -F临时删除,然后重新添加就应该生效了
6、删除一条规则
方法一:(
需要知道添加这一条规则的完整命令,通过-D删除
)
iptables
-D
INPUT -s 192.168.233.131 -p icmp -j DROP
方法二:(通过规则编号来删除规则)
查看规则编号的选项是
--line-numbers
iptables -nvL [链名] --line-numbers
#查询规则中的指定链名的规则编号
iptables -D [链名] [规则编号] #删除指定链名的规则
7、添加默认规则
#默认规则就是除了可以匹配iptables规则的数据包以外的所有数据包都交给默认规则来处理。
##添加默认规则不会保存到/etc/sysconfig/iptables里面
#如果先添加默认规则,然后添加新的规则,新规则会把默认规则覆盖,所以默认规则最后生效(
默认规则优先级最低)
iptables -P [链名] [动作选项]
例:只能访问服务器的22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#实验需要首先添加允许22端口的数据包通过,否则下面的规则会让远程连接断开再也连不上
iptables -P OUTPUT ACCEPT
#默认允许所有OUTPUT链的数据包通过
iptables -P FORWARD ACCEPT
#默认允许所有FORWARD链的数据包通过
iptables -P INPUT DROP
#默认丢弃INPUT链的数据包
七、
iptables filter表案例
案例1:放行端口
只放行80、21、22三个端口的数据包,且22端口只有指定的IP段才能通过
这个案例我们可以编写一个shell脚本来实现。
vim /usr/local/sbin/iptables.sh ##编辑脚本文件,加入以下内容
#! /bin/bash #定义执行脚本的shell
IPT="/usr/sbin/iptables" #定义变量,iptables命令的绝对路径。
$IPT -F #清空iptables规则
$IPT -P INPUT DROP #默认规则,丢弃所有数据包。
$IPT -P OUTPUT ACCEPT #默认规则,放行所有OUTPUT链的数据包
$IPT -P FORWARD ACCEPT
#默认规则,放行所有FORWARD链的数据包
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
##下面这条规则允许通过RELATED和ESTABLISHED状态的数据包,这条规则必加,否则可能导致某些服务连不上。
$IPT -A INPUT -s 10.1.1.0/24 -p tcp --dport 22 -j ACCEPT
#仅允许10.1.1.0/24网段链接22端口
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
#允许通过所有80端口的数据包
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT
#允许通过所有21端口的数据包
案例2:禁ping
让本机可以ping通别的机器,但是别的机器ping不通本机
iptables -F ; iptables -P INPUT ACCEPT
#首先清空之前的规则,并且允许所有数据包通过INPUT链,必须一条命令执行,否则远程连接会断开
#丢弃icmp包类型为8的数据包。icmp类型为8的数据包是icmp请求,类型为0的是应答包。
关于icmp包类型参考说明:
https://blog.csdn.net/noooooorth/article/details/51636482
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
##添加这条规则后,可以本机可以ping通其他ip,但是其他机器ping不通本机了。
八、
iptables nat表案例
案例一:
网络地址转换
通过一台能上外网的主机,让另一台内网主机也可以上外网。
案例需要两台主机,一台可以上外网,两块网卡, 另一台不能上外网,一块网卡。
b机器的网关是a机器的网关,a机器不能上网
虚拟机设置
可以上外网的主机:
主机名:long0000,关闭系统后设置网卡
网卡1设置:网卡使用桥接或者NAT模式可以连接外网。
网卡2设置:添加一个网络适配器,模式选择LAN区段,LAN区段的作用类似于交换机。
点击 LAN区段(S) 按钮可以添加一个LAN区段,区段名随意填写。
不可连接外网的主机:
主机名:test01,克隆快照快速建立一台主机。
网卡的设置与外网机的网卡2设置一样。需要选择与外网机相同的LAN区段。
系统网卡配置:
long0000主机网卡配置:
开机后将/etc/sysconfig/network-scripts/ifcfg-ens33配置文件复制一份命名为ifcfg-ens37
[root@long0000 ~]#
cd /etc/sysconfig/network-scripts/ [root@long0000 network-scripts]#
cp ifcfg-ens33 ifcfg-ens37 [root@long0000 network-scripts]#
ls -d ./ifcfg*
./ifcfg-ens33 ./ifcfg-ens37 ./ifcfg-lo
然后修改ifcfg-ens37配置文件如下:
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
NAME=
ens37
DEVICE=
ens37
ONBOOT=yes
IPADDR=
192.168.100.1
修改完重启 ens37 网卡
ifdown ens37 ; ifup ens37
test01主机网卡配置:
test01主机无法远程连,接所以只能在虚拟机里面操作
首先修改主机名
hostnamectl set-hostname test01
然后退出shell重新登录。
exit
#修改ifcfg-ens33文件配置如下图,然后重启网络服务
#到这里192.168.100.1和192.168.100.100就可以相互ping通了。
但是test01还不能ping通外网网卡10.1.1.25。
iptables规则配置
##这里就需要用到NAT表了。如果要实现转发功能还需要修改内核参数。
##将long0000主机上 /proc/sys/net/ipv4/ip_forward 文件的内容修改为1 就可以开启路由转发了。
[root@long0000 ~]#
echo "1" > /proc/sys/net/ipv4/ip_forward [root@long0000 ~]#
cat /proc/sys/net/ipv4/ip_forward
1
#然后在long0000主机上添加iptables规则
[root@long0000 ~]#
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
#nat的地址转化;-s 192.168.100.1/24 指定源地址网段;-o ens33使用能上网的网卡
#再将test01主机网卡的网关设置为192.168.100.1,并设置一个DNS
route add default gw 192.168.100.1 #设置一个默认网关
echo "nameserver 223.5.5.5" > /etc/resolv.conf #添加一个临时的DNS服务器
这样192.168.100.100就可以ping通外网了。
这样设置后,long0000主机就扮演了路由器的角色,但是PC机还是不能直接连接test01主机
案例二:端口转发
让PC能远程登录test01
这个需求只需要在案例需求1的基础上,在long0000主机上添加两条规则即可。
iptables -t nat -A PREROUTING -d 10.1.1.25 -p tcp --dport 22222 -j DNAT --to 192.168.100.100:22
#将访问10.1.1.25:22222端口的数据包转发给192.168.100.100:22端口
#DNAT转化目的地址
iptables -t nat -A POSTROUTING -s 192.168.100.1 -j SNAT --to 10.1.1.25
#将来源于192.168.100.100的数据包的源地址转换为10.1.1.25
#SNAT转化源地址
然后使用Xshell连接10.1.1.25:22222就可以间接的远程登录test01主机了。