第7章Iptables与Firewalld防火墙要点分析.docxVIP

 HYPERLINK /chapter07/ 第7章 Iptables与Firewalld防火墙。 章节简述： 红帽RHEL7系统已经用firewalld服务替代了iptables服务，新的防火墙管理命令firewall-cmd与图形化工具firewall-config。 本章节基于数十个防火墙需求，使用规则策略完整演示对数据包的过滤、SNAT/SDAT技术、端口转发以及复杂均衡等实验。 不光光学习iptables命令与firewalld服务，还新增了Tcp_wrappers防火墙服务小节，简单配置即可保证系统与服务的安全。 ? 本章目录结构?[ HYPERLINK /chapter07/ 收起]  HYPERLINK /chapter07/ \l 71 7.1 了解防火墙管理工具  HYPERLINK /chapter07/ \l 72_Iptables 7.2 Iptables命令  HYPERLINK /chapter07/ \l 721 7.2.1 规则链与策略  HYPERLINK /chapter07/ \l 722 7.2.2 基本的命令参数  HYPERLINK /chapter07/ \l 723_SNATDNAT 7.2.3 SNAT与DNAT  HYPERLINK /chapter07/ \l 724 7.2.4 端口转发与流量均衡  HYPERLINK /chapter07/ \l 73_Firewalld 7.3 Firewalld防火墙  HYPERLINK /chapter07/ \l 731 7.3.1 区域概念与作用  HYPERLINK /chapter07/ \l 732 7.3.2 字符管理工具  HYPERLINK /chapter07/ \l 733 7.3.3 图形管理工具  HYPERLINK /chapter07/ \l 74 7.4 服务的访问控制列表 7.1 了解防火墙管理工具 防火墙虽有软件或硬件之分但主要功能还是依据策略对外部请求进行过滤，成为公网与内网之间的保护屏障，防火墙会监控每一个数据包并判断是否有相应的匹配策略规则，直到满足其中一条策略规则为止，而防火墙规则策略可以是基于来源地址、请求动作或协议来定制的，最终仅让合法的用户请求流入到内网中，其余的均被丢弃。 在红帽RHEL7系统中firewalld服务取代了iptables服务，但依然可以使用iptables命令来管理内核的netfilter。这对于接触Linux系统比较早或学习过红帽RHEL6系统的读者来讲，突然接触firewalld服务会比较抵触，可能会觉得新增Firewalld服务是一次不小的改变，其实这样讲也是有道理的。但其实Iptables服务与Firewalld服务都不是真正的防火墙，它们都只是用来定义防火墙规则功能的“防火墙管理工具”，将定义好的规则交由内核中的netfilter即网络过滤器来读取，从而真正实现防火墙功能，所以其实在配置规则的思路上是完全一致的，而我会在本章中将iptables命令与firewalld服务的使用方法都教授给你们，坦白讲日常工作无论用那种都是可行的。 ? 7.2 Iptables命令 iptables命令用于创建数据过滤与NAT规则，主流的Linux系统都会默认启用iptables命令，但其参数较多且规则策略相对比较复杂。 7.2.1 规则链与策略 在iptables命令中设置数据过滤或处理数据包的策略叫做规则，将多个规则合成一个链。举例来说:小区门卫有两条的规则，将这两个规则可以合成一个规则链： 遇到外来车辆需要登记。严禁快递小哥进入社区。 但是光有策略还不能保证社区的安全，我们需要告诉门卫（iptables）这个策略（规则链）是作用于哪里的，并赋予安保人员可能的操作有这些，如：“允许”，“登记”，“拒绝”，“不理他”，对应到iptables命令中则常见的控制类型有： ACCEPT:允许通过.LOG:记录日志信息,然后传给下一条规则继续匹配.REJECT:拒绝通过,必要时会给出提示.DROP:直接丢弃,不给出任何回应. 其中REJECT和DROP的操作都是将数据包拒绝，但REJECT会再回复一条“您的信息我已收到，但被扔掉了”。通过ping命令测试REJECT情况会是这样的： [root@localhost ~]# ping -c 4 0 PING 0 (0) 56(84) bytes of data. From 0 icmp_seq=1 Destination Port Unreachable From 0 icmp_seq=2 Destination Port Unreac