Linux系统管理 –RHEL-7 防火墙篇

浏览数：168 / 时间：2015年06月20日

Linux系统的防火墙功能是由内核实现的：

2.0 版内核中，包过滤机制是ipfw，管理工具是ipfwadm

2.2 版内核中，包过滤机制是ipchain，管理工具是ipchains

2.4 版及以后的内核中，包过滤机制是netfilter，管理工具是iptables

3.10版内核中，包过滤机制是firewalld，管理工具是firewall-cmd

大家应该都知道RHEL7内核的版本是3.10，在此版本的内核里防火墙的包过滤机制是firewalld ，虽然说它的工具变了，但是‘firewall-cmd’ 命令其实是调用的iptables

[root@serverX ~]# for SERVICE in iptables ip6tables ebtables; do

> systemctl mask${SERVICE}.service

> done

包过滤防火墙是工作在TCP/IP的网络层

附件 TCP/IP

规则表

具有某一类相似用途的防火墙规则，按照不同处理时机区分到不同的规则链以后，被归置到不同的“表”中规则表是规则链的集合

默认的4个规则表

raw表：确定是否对该数据包进行状态跟踪

mangle表：为数据包设置标记

nat表：修改数据包中的源、目标IP地址或端口

filter表：确定是否放行该数据包（过滤）

其中filter表、nat表是最常用的，每个表的功能不同，通过数据的匹配规则也不同，在今后使用中请确认后再去使用mangle表可以对数据包进行特殊标记，结合这些标记可以在filter表中对数据包进行有选择性的处理（如“策略路由”，举个例子，网关主机有两条ADSL线路，分别使用网通、电信的接口，可以将访问网通服务器的数据交给网通ADSL接口，而访问电信服务器的数据交给电信ADSL接口）raw表是自1.2.9以后版本的iptables新增的表，主要用于决定数据包是否被状态跟踪机制处理，目前raw表中的应用尚不多见

附件 规则表

规则链

“包过滤”防火墙的主要特点是过滤网络层的IP数据包。实际上在应用iptables规则的时候会发现，有些规则应用是针对传输层、链路层的这些规则的实现是由一个叫“规则链”的规则的作用在于对数据包进行过滤或处理，根据处理时机的不同，各种规则被组织在不同的“链”中规则链是防火墙规则/策略的集合。这些规则链有五种默认的分别是：

INPUT： 处理入站数据包

OUTPUT： 处理出站数据包

FORWARD： 处理转发数据包

POSTROUTING ：在进行路由选择后处理数据包

PREROUTING： 在进行路由选择前处理数据包

在“主机防火墙”中，主要针对服务器本机进出的数据实施控制，多以INPUT、OUTPUT链的应用为主在“网络防火墙”中，主要针对数据转发实施控制，特别是防火墙主机作为网关使用时的情况，因此多以FORWARD、PREROUTING、POSTROUTING链的应用为主

入站数据流向：来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包的目标地址是防火墙本机（如Internet用户访问防火墙主机中Web服务的数据包），那么内核将其传递给INPUT链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（如httpd服务器）进行响应

转发数据流向：来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后会进行路由选择，如果数据包的目标地址是其他外部地址（如局域网用户通过网关访问QQ站点的数据包），则内核将其传递给FORWARD链进行处理（是否转发或拦截），然后再交给POSTROUTING规则链（是否修改数据包的地址等）进行处理

出站数据流向：防火墙本机向外部地址发送的数据包（如在防火墙主机中测试公网DNS服务时），首先被OUTPUT规则链处理，之后进行路由选择，然传递给POSTTOUTING规则链（是否修改数据包的地址等）进行处理

附件 规则链

防火墙区域

firewall区域许多预定义的区域运输firewalld，每个都有自己的用途，每一个区域都和其他区域是有联系的，不指定区域时，默认区域为public，默认的区域不是一个独立的区域；相反，它指向一个在系统定义的其他区域，在RHEL7中常见的区域有

trusted：允许所有传入的流量

home： 拒绝传入流量，允许外出及服务ssh、mdns、ipp-client、samba-client、dhcpv6-client