目录

一、防火墙介绍

1.1、什么是防火墙

1.2、防火墙的功能：

1.3、linux防火墙的架构

二、iptables

2.1iptables介绍

2.2名词术语：

什么是容器？   

 什么是Netfilter/Iptables？    

 什么是表（tables）？

什么是链（chians）？  

什么是规则（Policy）？ 

iptables工作流程：

2.3iptables命令规则：

iptables防火墙规则的保存与恢复：

2.4主机防火墙配置：

2.5配置SNAT和DNAT

开启路由转发的方式：

三、firewalld

3.1firewalld简介 

firewalld和iptables不同之处：

3.2firewalld区域

firewalld中常见的区域名称（默认为public）以及相应的策略规则：

firewall-cmd命令的参数说明：

3.3firewalld配置模式

3.4firewalld安装与运行管理

3.5firewalld配置

使用命令行接口配置firewalld

3.6firewall-cmd配置防火墙

3.7firewalld防火墙部署NAT服务

使用SNAT技术实现共享上网

使用DNAT技术向互联网发布服务器

四、nftables入门

使用nftables进行SNAT和DNAT的配置：

SNAT

DNAT

---

一、防火墙介绍

1.1、什么是防火墙

• 拒绝让internet的数据包进入主机的某些端口；
• 拒绝让某些来源ip的数据包进入；
• 拒绝让带有特殊标志（flag）的数据包进入，最常用的就是带有SYN的主动连接的标志了；
• 分析硬件地址（MAC）来决定连接与否；

• 防火墙并不能有效地阻挡病毒或木马程序（假设主机开放开了www服务，防火墙的设置是一定要将www服务的port开放给client端的、假设www服务器软件有漏洞，或者请求www服务的数据包本身就是病毒的一部分时，防火墙是阻止不了的）
• 防火墙对内部LAN的攻击无能为力（防火墙对于内部的规则通常比较少，所以就很容易造成内部员工对于网络无用或者滥用的情况）

1.2、防火墙的功能：

1.3、linux防火墙的架构

• netfilter是集成在内核中的一部分
• 作用是定义、保存相应的过滤规则。
• 提供了一系列的表，每个表由若干个链组成，而每条链可以由一条或若干条规则组成。
• netfilter是表的容器，表是链的容器，而链又是规则的容器。     
• 表→链→规则的分层结构来组织规则

二、iptables

2.1iptables介绍

2.2名词术语：

• 什么是容器？   

•  什么是Netfilter/Iptables？    

•  什么是表（tables）？

• 什么是链（chians）？  

• 什么是规则（Policy）？ 

iptables工作流程：

注意：防火墙规则的顺序默认是认为从前到后依次执行，遇到匹配的规则就不再继续向下查，如果遇到不匹配的规则会继续向下进行；

重点：匹配上了拒绝规则也是匹配，因此，不在继续向下进行

iptables 命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配，一旦匹配成 功， iptables 就会根据策略规则所预设的动作来处理这些流量。

2.3iptables命令规则：

• 显示相关参数

-n/-numeric  以数字的方式显示地址或者端口信息

-L/-list  列出一个链或者所有链中的规则信息

--list-rules/-S Print  the rules in a chain or all chains： 打印出规则

--line-number 当列出规则信息时 ，打印规则行号

-v  显示详细信息，可以叠加

-h  显示帮助信息

语法格式 ：iptable [-t 表名] 命令选项 [链名]  [条件匹配] [-j 目标动作或者跳转]

• 清除默认规则

iptables -F： 清除所有规则

iptables -X： 删除用户自定义的链

iptables -Z:    计数器清零器

• 配置常用参数

-t 表名称  指定配置哪个表，指定配置表名称

--append/-A 链名称  附加或者追加上相应规则策略到指定链（链名称必须大写），默认将配置的规则插入到最后一条

--check/-C  Check for the existence of a rule （检查规则是否存在）

-insert/-l 链名称  插入相应的规则策略，到指定链上，默认将配置的规则插入到第一条（可以根据规则序号插入到指定位置）---封Ip地址使用

--delete/-D 链名称  删除指定的规则（可以根据规则序号进行删除）

--replace/-R replace rule rulenum (1=first )in chain ： 替换

-P 链名称  改变链上的最终默认规则策略

--new/-N  创建新的用户定义链

-p 协议名称  指定规则的协议名称 （all tcp udp icmp）

--dport 指定匹配的 目标端口信息

--sport 指定匹配的 源端口信息

-j 动作  匹配数据后的动作

    ACCEPT 允许

    DROP 丢弃（没有响应）

    REJECT 拒绝（回应请求者明确的拒绝）

    MASQUERADE 伪装上网时使用

    SNAT  共享地址上网

    DNAT 目的地址改写

-i  在INPUT链配置规则中， 指定哪一个网卡接口进入的流量（只能配置在INPUT链上）

-o 在OUTPUT链配置规则中， 指定从哪一个网卡出去的流量（只能配置在OUTPUT链上）

-s 指定 源ip地址或者源网段信息

-d 指定 目标ip地址或者目标网段信息

• 配置扩展参数

-m 模块         表示增加扩展，匹配功能扩展匹配（可以加载扩展参数）  

        multiport    实现不连续 多端口 扩展匹配 

        icmp        使用icmp的扩展 

        state        状态模块扩展     

--icmp-type     只有类型8是真正会影响ping ，或者也可以采用any；了解很多icmp类型iptables -p icmp -h     

--limit n/{second/minute/hour}    指定时间内的请求速率”n”为速率，后面为时间分别为：秒 分 时             

--limit-burst [n]    在同一时间内允许通过的请求”n”为数字，不指定默认为5     

--exact/-x    扩展数字（显示精确数值）

iptables防火墙规则的保存与恢复：

• iptables常用规则举例

2.4主机防火墙配置：

2.5配置SNAT和DNAT

DNAT策略的典型应用环境： 在Internet中发布位于企业局域网内的服务器

[]MASQUERADE

地址伪装，算是snat中的一种特例，可以 实现自动化的snat。 典型应用： 共享动态IP地址上网

临时开启：

方法1：echo 1 > /proc/sys/net/ipv4/ip_forward

方法2：sysctl -w net.ipv4.ip_forward=1

永久开启：

方法一：vim /etc/sysctl.conf

方法二：vim /etc/sysctl.d/99-sysctl.conf

写入之后保存： sysctl -p

iptables service 首先对旧的防火墙规则进行了清空，然后重新完整地加载所有新的防火墙规则，而如果配置了需要 reload 内核模块的话，过程背后还会包含卸载和重新加载内核模块的动作，而不幸的是，这个动作很可能对运行中的系统产生额外的不良影响，特别是在网络非常繁忙的系统中。如果我们把这种哪怕只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话，那么 firewalld 所提供的模式就可以叫做动态防火墙，它的出现就是为了解决这一问题，任何规则的变更都不需要对整个防火墙规则列表进行重新加载，只需要将变更部分保存并更新即可,它具备对 IPv4 和 IPv6防火墙设置的支持。

相比于传统的防火墙管理工具， firewalld支持动态更新技术并加入了区域的概念。 区域 就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以选择不同的集合，从而实现防火墙策略之间的快速切换。

区域	默认规则策略
阻塞区域（block）	拒绝流入的流量，除非与流出的流量相关
工作区域（work）	拒绝流入的流量，除非与流出的流量相关
家庭区域（home）	拒绝流入的流量，除非与流出的流量相关
公共区域（public）	不相信网上的任何计算机，只有选择接收传入的网络连接
隔离区域（DMZ）	隔离区域也称之为非军事化区域，内外网络之间增加的一层网络，起到缓冲作用、对于隔离区域，只有选择接收传入的网络连接
信任区域（trusted）	允许所有的数据包
丢弃区域（drop）	拒绝流入流量，除非与流出的流量相关
内部区域（internal）	等同于home区域
外部区域（external）	拒绝流入的流量，除非与流出的流量有关；而如果流量与ssh服务相关，则允许该流量

block.xml drop.xml home.xml public.xml work.xml dmz.xml external.xml internal.xml trusted.xml

在 RHEL7 中， firewalld 服务是默认的防火墙配置管理工具，他拥有基于 CLI （命令行界面）和基于 GUI（图形用户界面）的两种管理方式。 firewall-config 和 firewall-cmd 是直接编辑 xml 文件 ，其中 firewallconfig是图形化工具， firewall-cmd 是命令行工具。

参数	作用
--get dafault-zone	查询默认的区域名称
--set-default-zone<区域名称>	设置默认的区域，即其永久生效
--get-zones	显示可用的区域
--get-services	显示预先定义的服务
--get-active-zones	显示当前正在使用的区域与网卡名称
--add-soure=	将源自此ip或子网的流量导向某个指定区域
--remove-source=	不再将源自此ip或者子网的流量导向指向某个区域
--list-all	显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones	显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>	设置默认区域允许该服务的流量
--add-port=<端口号/协议>	设置默认区域允许该端口的流量
--remove-service=<服务名>	设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议号>	设置默认区域不再允许该端口的流量
--reload	让“永久生效”的配置规则立即生效，并且覆盖当前的配置规则
--panic-on	开启应急状况模式
--panic-off	关闭应急状况模式

注意：mask和distable的区别：mask将服务链接至/dev/null，禁止开启自启动；

配置步骤:

    2.安装http服务软件包->启动http服务->创建网站的浏览器首页

#yum -y install httpd
#systemctl start httpd
#echo "防火墙配置测试" > /var/www/html/index.html

    3.测试：在本机可成功访问网站->在网段192.168.159.0/24中的其他主机访问失败

    4.在dmz区域欲奴徐http服务流量通过，要求立即生效且永久有效

#firewall-cmd --permantent --zone=dmz
--add-service=http
#firewall-cmd --reload

    1.在SANT服务器上开启防火墙->将网络接口ens160移至外部区域（external）->将网络接口---移至内部区域（internal），并确保设置永久生效和立即生效。

#systemctl start firewalld
#firewalld-cmd --change-interface=ens... --zone=external --permanent
#firewalld-cmd --change-interface=esn... --zone=external
#firewalld-cmd --change-interface=ens... --zone=internal --permanent
#firewalld-cmd --change-interface=esn... --zone=internal

    2.查看在外网卡所属的外部区域（external）上是否添加伪装（masquerading）功能（默认已经添加），若未添加，则执行添加命令。

#firewall-cmd --list-all --zone=external
#firewall-cmd --zone=external --add-masquerade --permannet

    3.在NAT服务器上开启ip转发服务

#vim /usr/lib/sysctl.d/00-system.conf
net.ipv4.ip_forward=1
#sysctl -p /usr/lib/sysctl.d/00-system.conf

    4.将NAT服务器内部区域设置为默认区域->重载防火墙规则，将以上设置的永久状态信息在当前运行下生效

# firewall-cmd  --set-default-zone=internal
# firewall-cmd  --reload

    5.测试。将内网中的服务器或者客户机的默认网关设置为NAT服务器的内网卡的ip地址，若以下ping命令能ping通，表明SNAT服务搭建成功。

​
#ping  -c 2 www.baidu.com

注意：通过实验发现SNAT在redhat9上无法使用firewalld正常进行

DNAT服务主要通过不同主机间的“端口转发（或者 端口映射）”来实现，其配置命令如下：

1、在内网的RHEL7-2主机(192.168.1.2/24)上搭建好要发布的Web服务器(8080端口)并准备好测试页面→开启http服务和8080端口,并使其立即生效和永久生效。

#firewalld-cmd --get-default-zone
public
#firewall-cmd --get-zone-of-interface=ens160
public
#firewall-cmd --permanent --zone-dmz --change-interface=ens160
interface=ens160
#firewall-cmd --reload

2、将流入NAT服务器外网卡ens33(10.1.80.61)的80端口的数据包转发给Web服务器(192.168.1.2)的8080端口。

# firewall-cmd --permanent --zone=external --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.2 
# firewall-cmd  --reload 

3、在NAT服务器上开启IP包转发功能。 

# vim  /usr/lib/sysctl.d/00-system.conf net.ipv4.ip_forward = 1     
# sysctl  -p  /usr/lib/sysctl.d/00-system.conf 

4、在外网的主机(10.1.80.1),添加一条经过外网卡(10.1.80.61)到内网段192.168.1.0/24的路由。

若是RHEL7主机,则执行以下命令添加路由: 

# ip  route  add  192.168.1.0/24  via  10.1.80.61 

若是Windows主机,则执行以下命令添加永久生效的路由记录: 

route  add  –p  192.168.1.0  mask  255.255.255.0  10.1.80.61  metric 1 

5、 测试。在外网(模拟外网)客户机的浏览器地址栏中输入内网Web服务器的地址

先关闭防火墙： systemctl stop firewalld.service

方法一：

开nftables服务：systemctl start nftables.service

创建一个名为nat的表：nft add table nat

向表中添加prerouting和postrouting链：nft add chain nat postrouting { type nat hook postrouting priority 100 \; }

方法二：

重启nftables服务：

创建一个名为nat的表：nft add table nat

向表中添加prerouting和postrouting链：nft add chain nat postrouting { type nat hook postrouting priority 100 \; }

nft add rule nat postrouting oifname "ens3" snat to 192.168.159.128

①向表中添加prerouting和postrouting链： nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }；nft add chain nat postrouting { type nat hook postrouting priority 100 \; }

② nft add rule nat prerouting iifname ens3 tcp dport { 80, 443 } dnat to 192.168.157.10