章节简述:
保障数据的安全性是继保障数据的可用性之后最为重要的一项工作。防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。考虑到读者可能还不了解新增的firewalld防火墙与先前版本中iptables防火墙之间的区别,刘遄老师决定先带领读者从理论和实际层面正确地认识这两款防火墙之间的关系。
【改改改:确认下是否还有TCP Wrapper】
本章将分别使用iptables、firewall-cmd、firewall-config和TCP Wrapper等防火墙策略配置工具,完成数十个根据真实工作需求设计的防火墙策略配置实验。在学习完这些实验之后,读者不仅能够熟练地过滤请求的流量、基于服务程序的名称对流量进行允许和拒绝操作,还可以使用Cockpit轻松监控系统运行状态,确保Linux系统的安全性万无一失。
本章目录结构
8.1 防火墙管理工具
众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙(见图8-1),虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。就像家里安装的防盗门一样,目的是保护亲人和财产安全。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,这样就能确保只有合法的流量在企业内网和外部公网之间流动了。
图8-1 防火墙作为公网与内网之间的保护屏障
从RHEL 10系统开始,firewalld防火墙正式取代了iptables防火墙。对于接触Linux系统较早或学习过RHEL 5/6系统的读者来说,当他们发现曾经掌握的知识在新系统中不再适用,需要全新学习firewalld时,难免会有抵触心理。实际上,iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已;或者说,它们只是一种服务。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。换句话说,当前在Linux系统中其实存在多个防火墙管理工具,旨在方便运维人员管理Linux系统中的防火墙策略,我们只需要配置妥当其中的一个就足够了。
虽然这些工具各有优劣,但它们在防火墙策略的配置思路上是保持一致的。大家甚至可以不用完全掌握本章介绍的内容,只要在这多个防火墙管理工具中任选一款并将其学透,就足以满足日常工作需求了。
8.2 Iptables
在早期的Linux系统中,默认使用的是iptables防火墙管理服务来配置防火墙。尽管新型的firewalld防火墙管理服务已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用iptables。考虑到iptables在当前生产环境中还具有顽强的生命力,以及为了使大家在求职面试过程中被问到iptables的相关知识时能胸有成竹,刘遄老师觉得还是有必要在本书中好好地讲解一下这项技术。更何况前文也提到,各个防火墙管理工具的配置思路是一致的,在掌握了iptables后再学习其他防火墙管理工具时,也有借鉴意义。
8.2.1 策略与规则链
防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认策略。通常,防火墙策略规则设置有两种:“通”(即放行)和“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
在进行路由选择前处理数据包(PREROUTING);
处理流入的数据包(INPUT);
处理流出的数据包(OUTPUT);
处理转发的数据包(FORWARD);
在进行路由选择后处理数据包(POSTROUTING)。
一般来说,从内网向外网发送的流量通常是可控且良性的,因此使用最多的就是INPUT规则链,该规则链可以增大黑客人员从外网入侵内网的难度。
举例来说,在您居住的社区内,物业管理公司有两条规定:禁止小商小贩进入社区;各种车辆在进入社区时都要登记。显而易见,这两条规定应该是用于社区的正门的(流量必须经过的地方),而不是每家每户的防盗门上。根据前面提到的防火墙策略的匹配顺序,可能会存在多种情况。例如,来访人员是小商小贩,则直接会被物业公司的保安拒之门外,也就无需再对车辆进行登记。如果来访人员乘坐一辆汽车进入社区正门,则“禁止小商小贩进入社区”的第一条规则就没有被匹配到,因此按照顺序匹配第二条策略,即需要对车辆进行登记。如果是社区居民要进入正门,则这两条规定都不会匹配到,因此会执行默认的放行策略。
但是,仅有策略规则还不能保证社区的安全,保安还应该知道采用什么样的动作来处理这些匹配的流量,比如“允许”“拒绝”“登记”“不理它”。这些动作对应到iptables服务的术语中分别是ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。“允许流量通过”和“记录日志信息”都比较好理解,这里需要着重讲解的是REJECT和DROP的不同点。就DROP来说,它是直接将流量丢弃而且不响应;REJECT则会在拒绝流量后再回复一条“信息已经收到,但是被扔掉了”信息,从而让流量发送方清晰地看到数据被拒绝的响应信息。
下面举一个例子,让各位读者更直观地理解这两个拒绝动作的不同之处。比如有一天您正在家里看电视,突然听到有人敲门,透过防盗门的猫眼一看是推销商品的,便会在不需要的情况下开门并拒绝他们(REJECT)。但如果看到的是债主带了十几个小弟来讨债,此时不仅要拒绝开门,还要默不作声,伪装成自己不在家的样子(DROP)。
Tips
在红帽认证考试中,必须用REJECT进行拒绝,好让用于判分的得到反应,以获得分值。但在实际工作中,更多建议用DROP进行拒绝,这样可以隐藏服务器的运行状态,有一定迷惑骇客的效果。
当把Linux系统中的防火墙策略设置为REJECT动作后,流量发送方会看到端口不可达的响应:
[root@linuxprobe ~]# ping -c 4 192.168.10.10 PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. From 192.168.10.10 icmp_seq=1 Destination Port Unreachable From 192.168.10.10 icmp_seq=2 Destination Port Unreachable From 192.168.10.10 icmp_seq=3 Destination Port Unreachable From 192.168.10.10 icmp_seq=4 Destination Port Unreachable --- 192.168.10.10 ping statistics --- 4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3002ms
而把Linux系统中的防火墙策略修改成DROP动作后,流量发送方会看到响应超时的提醒。但是流量发送方无法判断流量是被拒绝,还是接收方主机当前不在线:
[root@linuxprobe ~]# ping -c 4 192.168.10.10 PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. --- 192.168.10.10 ping statistics --- 4 packets transmitted, 0 received, 100% packet loss, time 3000ms
8.2.2 基本的参数
iptables是一款基于行的防火墙策略管理工具,具有大量的参数,学习难度较大。好在对于日常的防火墙策略配置来讲,大家无须深入了解诸如“四表五链”的理论概念,只需要掌握常用的参数并做到灵活搭配即可,这就足以应对日常工作了。
根据OSI七层模型的定义,iptables属于工作在第二、三、四层的服务,所以能够根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配;一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。另外,再次提醒一下,防火墙策略规则的匹配顺序是从上到下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。表8-1总结归纳了常用的iptables命令参数。再次强调,无须死记硬背这些参数,只需借助下面的实验来理解掌握即可。
表8-1 iptables中常用的参数以及作用
参数 | 作用 |
-P | 设置默认策略 |
-F | 清空规则链 |
-L | 查看规则链 |
-A | 在规则链的末尾添加新规则 |
-I num | 在规则链的头部添加新规则 |
-D num | 删除指定规则 |
-s | 匹配来源地址(IP/MASK),加叹号“!”表示排除该IP |
-d | 匹配目标地址 |
-i 网卡名称 | 匹配从指定网卡流入的数据 |
-o 网卡名称 | 匹配从指定网卡流出的数据 |
-p | 匹配协议,如:TCP、UDP、ICMP |
--dport num | 匹配目标端口号 |
--sport num | 匹配来源端口号 |
1.在iptables命令后添加-L参数查看已有的防火墙规则链。
[root@linuxprobe ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere anywhere udp dpt:bootps ACCEPT tcp -- anywhere anywhere tcp dpt:bootps Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere 192.168.122.0/24 ctstate RELATED,ESTABLISHED ACCEPT all -- 192.168.122.0/24 anywhere ACCEPT all -- anywhere anywhere REJECT all -- anywhere anywhere reject-with icmp-port-unreachable REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT udp -- anywhere anywhere udp dpt:bootpc
2.在iptables命令后添加-F参数清空已有的防火墙规则链。
[root@linuxprobe ~]# iptables -F [root@linuxprobe ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
3.把INPUT规则链的默认策略设置为拒绝。
[root@linuxprobe ~]# iptables -P INPUT DROP [root@linuxprobe ~]# iptables -L Chain INPUT (policy DROP) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
前文提到,防火墙策略规则的设置无非有两种方式:“通”和“堵”。当把INPUT链设置为默认拒绝后,就要往里面写入允许策略了,否则所有流入的数据包都会被默认拒绝掉。同学们需要留意的是,规则链的默认策略拒绝动作只能是DROP,而不能是REJECT。
4.向INPUT链中添加允许ICMP流量进入的策略规则。
在日常运维工作中,经常会使用ping命令来检查对方主机是否在线,而向防火墙的INPUT规则链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。
[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT [root@linuxprobe ~]# ping -c 4 192.168.10.10 PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 64 bytes from 192.168.10.10: icmp_seq=1 ttl=64 time=0.154 ms 64 bytes from 192.168.10.10: icmp_seq=2 ttl=64 time=0.041 ms 64 bytes from 192.168.10.10: icmp_seq=3 ttl=64 time=0.038 ms 64 bytes from 192.168.10.10: icmp_seq=4 ttl=64 time=0.046 ms --- 192.168.10.10 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 104ms rtt min/avg/max/mdev = 0.038/0.069/0.154/0.049 ms
5.删除INPUT规则链中刚刚加入的那条策略(允许ICMP流量),并把默认策略设置为允许。
使用-F参数会清空已有的所有防火墙策略;使用-D参数可以删除某一条指定的策略,因此更加安全和准确。
[root@linuxprobe ~]# iptables -D INPUT 1 [root@linuxprobe ~]# iptables -P INPUT ACCEPT [root@linuxprobe ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
6.将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量。
要对某台主机进行匹配,可直接写出它的IP地址;如需对网段进行匹配,则需要写为子网掩码的形式(比如192.168.10.0/24)。
[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT [root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT [root@linuxprobe ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable ………………省略部分输出信息………………
再次重申,防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉,从而导致任何主机都无法访问我们的服务。另外,这里提到的22号端口是ssh服务使用的(有关ssh服务,请见第9章),这里先挖个坑,等大家学完第9章后可再验证这个实验的效果。
在设置完上述INPUT规则链之后,使用IP地址在192.168.10.0/24网段内的主机访问服务器(即前面提到的设置了INPUT规则链的主机)的22端口,效果如下:
[root@Client A ~]# ssh 192.168.10.10 The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established. ECDSA key fingerprint is SHA256:5d52kZi1la/FJK4v4jibLBZhLqzGqbJAskZiME6ZXpQ. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts. root@192.168.10.10's password: 此处输入服务器密码 Activate the web console with: systemctl enable --now cockpit.socket Last login: Wed Jan 20 16:30:28 2021 from 192.168.10.1
然后,再使用IP地址在192.168.20.0/24网段内的主机访问服务器的22端口(虽网段不同,但已确认能够相互通信),效果如下:
[root@Client B ~]# ssh 192.168.10.10 Connecting to 192.168.10.10:22... Could not connect to '192.168.10.10' (port 22): Connection failed.
由上可以看到,提示连接请求被拒绝了(Connection failed)。
7.向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则。
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT [root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT [root@linuxprobe ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable ………………省略部分输出信息………………
8.向INPUT规则链中添加拒绝192.168.10.5主机访问本机80端口(Web服务)的策略规则。
[root@linuxprobe ~]# iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
………………省略部分输出信息………………
9.向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则。
前面在添加防火墙策略时,使用的是-I参数,它默认会把规则添加到最上面的位置,因此优先级是最高的。如果工作中需要添加一条最后“兜底”的规则,那就用-A参数吧。这两个参数的效果差别还是很大的:
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT [root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT [root@linuxprobe ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpts:cadlock2:1024 reject-with icmp-port-unreachable REJECT udp -- anywhere anywhere udp dpts:cadlock2:1024 reject-with icmp-port-unreachable ………………省略部分输出信息………………
有关iptables命令的知识讲解到此就结束了,大家是不是意犹未尽?考虑到Linux防火墙的发展趋势,大家只要能把上面的实例吸收消化,就可以完全搞定日常的iptables配置工作了。但是请特别注意,使用iptables命令配置的防火墙规则默认会在系统下一次重启时失效,如果想让配置的防火墙策略永久生效,还要执行保存命令:
[root@linuxprobe ~]# iptables-save # Generated by xtables-save v1.8.2 on Wed Jan 20 16:56:27 2021 ………………省略部分输出信息………………
对了,如果公司服务器是5/6/7版本的话,对应的保存命令应该是:
[root@linuxprobe ~]# service iptables save iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
8.3 Firewalld
RHEL 10系统中集成了多款防火墙管理工具,其中firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。
相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域即firewalld预先准备了几套防火墙策略集合(策略模板),用户能够根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。例如,我们有一台笔记本电脑,每天都要在办公室、咖啡厅和家里使用。按常理来讲,这三者的安全性按照由高到低的顺序来排列,应该是家庭、公司办公室、咖啡厅。当前,我们希望为这台笔记本电脑制定如下防火墙策略规则:在家中允许访问所有服务;在办公室内仅允许访问文件共享服务;在咖啡厅仅允许上网浏览。在以往,我们需要频繁地手动设置防火墙策略规则,而现在只需要预设好区域集合,然后轻点鼠标就可以自动切换了,从而极大地提升了防火墙策略的应用效率。firewalld中常见的区域名称(默认为public)以及相应的策略规则如表8-2所示。
表8-2 firewalld中常用的区域名称及策略规则
区域 | 默认规则策略 |
trusted | 允许所有的数据包 |
home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量 |
internal | 等同于home区域 |
work | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量 |
public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量 |
external | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
dmz | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
block | 拒绝流入的流量,除非与流出的流量相关 |
drop | 拒绝流入的流量,除非与流出的流量相关 |
8.3.1 终端管理工具
第2章在讲解Linux命令时曾提到,命令行终端是一种极富效率的工作方式,firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。它的参数一般都是以“长格式”来提供的。大家不要一听到长格式就头大,因为RHEL 10系统支持部分命令的参数补齐,其中就包含这条命令(很酷吧)。也就是说,现在除了能用Tab键自动补齐命令或文件名等内容之外,还可以用Tab键来补齐表8-3中所示的长格式参数。这太棒了!
表8-3 firewall-cmd命令中使用的参数以及作用
参数 | 作用 |
--get-zones | 显示所有可用的区域 |
--get-services | 显示所有预先定义的服务 |
--get-active-zones | 显示当前正在使用的区域及其对应的网卡名称 |
--get-default-zone | 查询默认的区域名称 |
--set-default-zone=<区域名称> | 设置默认的区域,并使其永久生效 |
--add-source= |
将源自指定IP或子网的流量导向指定的区域 |
--remove-source= |
取消将源自指定IP或子网的流量导向某个区域 |
--add-interface=<网卡名称> | 将源自指定网卡的所有流量导向指定的区域 |
--change-interface=<网卡名称> | 将指定网卡与指定区域进行关联 |
--list-services | 列出当前区域允许的服务 |
--list-ports | 列出当前区域允许的端口 |
--list-all | 显示当前区域的所有配置参数、资源、端口及服务信息 |
--list-all-zones | 显示所有区域的配置参数、资源、端口及服务信息 |
--add-service=<服务名> | 允许默认区域的指定服务流量 |
--remove-service=<服务名> | 禁止默认区域的指定服务流量 |
--add-port=<端口号/协议> | 允许默认区域的指定端口流量 |
--remove-port=<端口号/协议> | 禁止默认区域的指定端口流量 |
--query-service=<服务名> | 查询指定服务是否被允许 |
--query-port=<端口号/协议> | 查询指定端口是否被允许 |
--add-rich-rule='<规则>' | 添加一条复杂的规则 |
--remove-rich-rule='<规则>' | 删除一条复杂的规则 |
--reload | 重新加载配置,让永久生效的规则立即生效,覆盖当前配置 |
--panic-on | 开启应急模式,拒绝所有流量 |
--panic-off | 关闭应急模式,恢复正常流量处理 |
--permanent | 将规则设置为永久生效(重启后依然有效) |
与Linux系统中其他的防火墙策略配置工具一样,使用firewalld配置的防火墙策略默认为运行时(Runtime)模式,又称为当前生效模式,而且会随着系统的重启而失效。如果想让配置策略一直存在,就需要使用永久(Permanent)模式了,方法就是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数,这样配置的防火墙策略就永久生效了。但是,永久生效模式有一个“不近人情”的特点,就是使用它设置的策略只有在系统重启之后才能自动生效。如果想让配置的策略立即生效,需要手动执行firewall-cmd --reload命令。
Tips
Runtime:当前立即生效,重启后失效。
Permanent:当前不生效,重启后生效。
接下来的实验都很简单,但是提醒大家一定要仔细查看使用的是Runtime模式还是Permanent模式。如果不关注这个细节,就算正确配置了防火墙策略,也可能无法达到预期的效果。
1.查看firewalld服务当前所使用的区域。
这是一步非常重要的操作。在配置防火墙策略前,必须查看当前生效的是哪个区域,否则配置的防火墙策略将不会立即生效。
[root@linuxprobe ~]# firewall-cmd --get-default-zone public
2.查询指定网卡在firewalld服务中绑定的区域。
在生产环境中,服务器大多不止有一块网卡。一般来说,充当网关的服务器有两块网卡,一块对公网,另外一块对内网,那么这两块网卡在审查流量时所用的策略肯定也是不一致的。因此,可以根据网卡针对的流量来源,为网卡绑定不同的区域,实现对防火墙策略的灵活管控。
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=ens160 public
3.把网卡默认区域修改为external,并在系统重启后生效。
[root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=ens160 The interface is under control of NetworkManager, setting zone to 'external'. success [root@linuxprobe ~]# firewall-cmd --permanent --get-zone-of-interface=ens160 external
4.把firewalld服务的默认区域设置为public。
默认区域也叫全局配置,指的是对所有网卡都生效的配置,优先级较低。在下面的代码中可以看到,当前默认区域为public,【改改改:网卡名称是否准确】而ens160网卡的区域为external。此时便是以网卡的区域名称为准。
通俗来说,默认区域就是一种通用的政策。例如,食堂为所有人准备了一次性餐具,而环保主义者则会自己携带碗筷。如果您自带了碗筷,就可以用自己的;反之就用食堂统一提供的。
[root@linuxprobe ~]# firewall-cmd --set-default-zone=public Warning: ZONE_ALREADY_SET: public success [root@linuxprobe ~]# firewall-cmd --get-default-zone public [root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=ens160 externa
5.启动和关闭firewalld防火墙服务的应急状况模式。
如果想在1s的时间内阻断一切网络连接,有什么好办法呢?大家下意识地会说:“拔掉网线!”这是一个物理级别的高招。但是,如果人在北京,服务器在异地呢?panic紧急模式在这个时候就派上用场了。使用--panic-on参数会立即切断一切网络连接,而使用--panic-off则会恢复网络连接。切记,紧急模式会切断一切网络连接,因此在远程管理服务器时,在按下回车键前一定要三思。
[root@linuxprobe ~]# firewall-cmd --panic-on success [root@linuxprobe ~]# firewall-cmd --panic-off success
6.查询SSH和HTTPS协议的流量是否允许放行。
在工作中可以不使用--zone参数指定区域名称,firewall-cmd命令会自动依据默认区域进行查询,从而减少用户输入量。但是,如果默认区域与网卡所绑定的不一致时,就会发生冲突,因此规范写法的zone参数是一定要加的。
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh yes [root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https no
7.把HTTPS协议的流量设置为永久允许放行,并立即生效。
默认情况下进行的修改都属于Runtime模式,即当前生效而重启后失效,因此在工作和考试中尽量避免使用。而在使用--permanent参数时,则是当前不会立即看到效果,而在重启或重新加载后方可生效。于是,在添加了允许放行HTTPS流量的策略后,查询当前模式策略,发现依然是不允许放行HTTPS协议的流量:
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https success [root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https no
不想重启服务器的话,就用--reload参数吧:
[root@linuxprobe ~]# firewall-cmd --reload success [root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https yes
8.把HTTP协议的流量设置为永久拒绝,并立即生效。
【改改改:报错信息是否正确】由于在默认情况下HTTP协议的流量就没有被允许,所以会有“Warning: NOT_ENABLED: http”这样的提示信息,因此对实际操作没有影响。
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http Warning: NOT_ENABLED: http success [root@linuxprobe ~]# firewall-cmd --reload success
9.把访问8080和8081端口的流量策略设置为允许,但仅限当前生效。
[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp success [root@linuxprobe ~]# firewall-cmd --zone=public --list-ports 8080-8081/tcp
【改改改】图8-3 firewall-config的图形界面
除了图8-3中列出的功能,还有用于将网卡与区域绑定的Interfaces选项,以及用于将IP地址与区域绑定的Sources选项。另外再啰唆一句。在使用firewall-config工具配置完防火墙策略之后,【改改改:确认还是这样吗?】无须进行二次确认,因为只要有修改内容,它就自动进行保存。
下面进行动手实践环节。
先将当前区域中请求http服务的流量设置为允许放行,但仅限当前生效。具体配置如图8-4所示。
【改改改】图8-4 允许放行请求http服务的流量
尝试添加一条防火墙策略规则,使其放行访问8080~8088端口(TCP协议)的流量,并将其设置为永久生效,以达到系统重启后防火墙策略依然生效的目的。在按照图8-5所示的界面配置完毕之后,【改改改】还需要在Options菜单中单击Reload Firewalld命令,让配置的防火墙策略立即生效(见图8-6)。这与在命令行中使用--reload参数的效果一样。
前面在讲解firewall-config工具的功能时,曾经提到了SNAT(Source Network Address Translation,源网络地址转换)技术。SNAT是一种为了解决IP地址匮乏而设计的技术,它能够使得多个内网中的用户通过同一个外网IP接入Internet。该技术的应用非常广泛,甚至可以说我们每天都在使用,只不过没有察觉到罢了。比如,当通过家中的网关设备(无线路由器)访问本书配套站点gulass.cn时,就用到了SNAT技术。
【改改改】图8-5 放行访问8080~8088端口的流量
【改改改】图8-6 让配置的防火墙策略规则立即生效
大家可以看一下在网络中不使用SNAT技术(见图8-7)和使用SNAT技术(见图8-8)时的情况。在图8-7所示的局域网中有多台PC,如果网关服务器没有应用SNAT技术,则互联网中的网站服务器在收到PC的请求数据包,并回送响应数据包时,将无法在网络中找到这个私有网络的IP地址,所以PC也就收不到响应数据包了。在图8-8所示的局域网中,由于网关服务器应用了SNAT技术,所以互联网中的网站服务器会将响应数据包发给网关服务器,再由后者转发给局域网中的PC。
图8-7 没有使用SNAT技术的网络
图8-8 使用SNAT技术处理过的网络
使用iptables命令实现SNAT技术是一件很麻烦的事情,但是在firewall-config中却是小菜一碟了。用户只需按照图8-9进行配置,并选中Masquerade zone复选框,就自动开启了SNAT技术。
【改改改】图8-9 开启防火墙的SNAT技术
为了让大家直观查看不同工具在实现相同功能时的区别,针对前面使用firewall-cmd配置的防火墙策略规则,这里使用firewall-config工具进行了重新演示:将本机888端口的流量转发到22端口,且要求当前和长期均有效,具体如图8-10和图8-11所示。
【改改改】图8-10 配置本地的端口转发
【改改改】图8-11 让防火墙效策略规则立即生效
用命令配置富规则可真辛苦,幸好我们现在有了图形用户界面的工具。让192.168.10.20主机访问本机的1234端口号,如图8-12所示。其中Element选项能够根据服务名称、端口号、协议等信息进行匹配;Source与Destination选项后的inverted复选框代表反选功能,将其选中则代表对已填写信息进行反选,即选中填写信息以外的主机地址;Log复选框在选中后,日志不仅会被记录到日志文件中,而且还可以在设置日志的级别(Level)后,再将日志记录到日志文件中,以方便后续的筛查。
【改改改】图8-12 配置防火墙富规则策略
如果生产环境中的服务器有多块网卡在同时提供服务(这种情况很常见),则对内网和对外网提供服务的网卡要选择的防火墙策略区域也是不一样的。也就是说,可以把网卡与防火墙策略区域进行绑定(见图8-13和图8-14),这样就能够使用不同的防火墙区域策略,对源自不同网卡的流量进行有针对性的监控,效果会更好。
【改改改】图8-13 把网卡与防火墙策略区域进行绑定
【改改改】图8-14 网卡与策略区域绑定完成
最后再提一句,firewall-config工具真的非常实用,很多原本复杂的长命令被图形化按钮替代,设置规则也简单明了,足以应对日常工作。所以再次向大家强调配置防火墙策略的原则—只要能实现所需的功能,用什么工具请随君便。
8.4 服务的访问控制列表
TCP Wrapper是RHEL 5/6/7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序做出允许或拒绝的操作。在RHEL 10版本中,它已经被firewalld正式替代。换句话说,Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrapper服务则是能允许或禁止Linux系统提供服务的防火墙,从而在更高层面保护了Linux系统的安全运行。
TCP Wrapper服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;如果没有匹配,则会进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。如果这两个文件都没有匹配到,则默认放行流量。
由于RHEL 10版本已经不再支持TCP Wrapper服务程序,因此我们接下来选择在一台老版本的服务器上进行实验。TCP Wrapper服务的控制列表文件配置起来并不复杂,常用的参数如表8-4所示。
表8-4 TCP Wrappers服务的控制列表文件中常用的参数
客户端类型 | 示例 | 满足示例的客户端列表 |
单一主机 | 192.168.10.10 | IP地址为192.168.10.10的主机 |
指定网段 | 192.168.10. | IP段为192.168.10.0/24的主机 |
指定网段 | 192.168.10.0/255.255.255.0 | IP段为192.168.10.0/24的主机 |
指定DNS后缀 | .gulass.cn | 所有DNS后缀为.gulass.cn的主机 |
指定主机名称 | gulass.cn | 主机名称为gulass.cn的主机 |
指定所有客户端 | ALL | 所有主机全部包括在内 |
在配置TCP Wrapper服务时需要遵循两个原则:
编写拒绝策略规则时,填写的是服务名称,而非协议名称;
建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。
下面编写拒绝策略规则文件,禁止访问本机sshd服务的所有流量(无须修改/etc/hosts.deny文件中原有的注释信息):
[root@linuxprobe ~]# vim /etc/hosts.deny # # hosts.deny This file contains access rules which are used to # deny connections to network services that either use # the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # The rules in this file can also be set up in # /etc/hosts.allow with a 'deny' option instead. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers sshd:* [root@linuxprobe ~]# ssh 192.168.10.10 ssh_exchange_identification: read: Connection reset by peer
接下来,在允许策略规则文件中添加一条规则,使其放行源自192.168.10.0/24网段,且访问本机sshd服务的所有流量。可以看到,服务器立刻就放行了访问sshd服务的流量,效果非常直观:
[root@linuxprobe ~]# vim /etc/hosts.allow # # hosts.allow This file contains access rules which are used to # allow or deny connections to network services that # either use the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers sshd:192.168.10. [root@linuxprobe ~]# ssh 192.168.10.10 The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established. ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts. root@192.168.10.10's password: Last login: Wed May 4 07:56:29 2021 [root@linuxprobe ~]#
但是,Cockpit服务程序在RHEL 10版本中没有自动运行,下面将它开启并加入到开机启动项中:
[root@linuxprobe ~]# systemctl start cockpit [root@linuxprobe ~]# systemctl enable cockpit.socket Created symlink /etc/systemd/system/sockets.target.wants/cockpit.socket → /usr/lib/systemd/system/cockpit.socket.
在Cockpit服务启动后,打开系统自带的浏览器,在地址栏中输入“本机地址:9090”即可访问。由于访问Cockpit的流量会使用HTTPS进行加密,而证书又是在本地签发的,因此还需要进行添加并信任本地证书的操作,如图8-16与图8-17所示。
【改改改】图8-16 添加额外允许的证书
【改改改】图8-17 确认信任本地证书
进入Cockpit的登录界面后,输入root管理员的账号与系统密码,单击Log In按钮后即可进入,如图8-18所示。
【改改改】图8-18 输入登录账号与系统密码
【改改改,确认下还是这样吗】进入Cockpit的Web界面,发现里面可谓“别有洞天”。Cockpit总共分为13个功能模块:系统状态(System)、日志信息(Logs)、硬盘存储(Storage)、网卡网络(Networking)、账户安全(Accounts)、服务程序(Services)、软件仓库(Applications)、报告分析(Diagnostic Reports)、内核排错(Kernel Dump)、SElinux、更新软件(Software Updates)、订阅服务(Subscriptions)、终端界面(Terminal)。下面逐一进行讲解。
1.System
进入Cockpit界面后默认显示的便是System(系统)界面,在该界面中能够看到系统架构、版本、主机名与时间等信息,还能够动态地展现出CPU、硬盘、内存和网络的复杂情况,这有点类似于Web版的“Winodws系统任务管理器”,属实好用,如图8-19所示。
【改改改】图8-19 系统状态界面
2.Logs
这个模块能够提供系统的全部日志,但是同学们可能会好奇,“为什么图8-20中的内容这么有限呢”?原因出在图8-20中的两个选项中:时间和日志级别。通过这两个选项可以让用户更快地找到所需信息,而不是像/var/log/message文件那样一股脑儿地都抛给用户。
【改改改】图8-20 日志信息界面
3.Storage
这个功能模块是同学们最喜欢的一个模块,原因不是这个模块显示了硬盘的I/O读写负载情况,而是能够让用户通过该界面,用鼠标创建出RAID、LVM、VDO和iSCSI等存储设备,如图8-21所示。是的,您没有看错,RAID和LVM都可以用鼠标进行创建了,是不是很开心呢?
【改改改】图8-21 硬盘存储界面
4.Networking
既然名为Networking模块,那么动态看网卡的输出和接收值肯定是这个模块的标配功能了。如图8-22所示,我们不仅可以在这里进行网卡的绑定(Bonding)和聚合(Team),还能够创建桥接网卡及添加VLAN。图8-22的最下方会单独列出与网卡相关的日志信息。
【改改改】8-22 网卡网络界面
5.Accounts
大家千万别小看Accounts模块,虽然它的功能界面有些简陋(见图8-23),只有一个用于创建账户的按钮,但只要点击进入某个用户的管理界面中,马上会发现“别有洞天”,如图8-24所示。这个界面中的功能非常丰富,我们在这里可以对用户进行重命名,设置用户的权限,还能够锁定、修改密码以及创建SSH密钥信息。
【改改改】图8-23 账户安全界面
【改改改】图8-24 账户管理界面
6.Services
在Services功能模块的界面中(见图8-25),能够查看系统中已有的服务列表和运行状态。单击某一服务,进入该服务的管理界面后(见图8-26),可以对具体的服务进行开启、关闭操作。在Services功能模块中设置了服务并将其加入到开机启动项后,在系统重启后也依然会为用户提供服务。
【改改改】图8-25 服务程序界面
【改改改】图8-26 服务管理界面
7.Applications
后期采用Cockpit或红帽订阅服务安装的软件都会显示在这个功能模块中,如图8-27所示。
【改改改】图8-27 软件仓库界面
8.Diagnostic Report
Diagnostic Report模块的功能是帮助用户收集及分析系统的信息,找到系统出现问题的原因,界面如图8-28所示。单击Create Report按钮后大约两分钟左右,会出现如图8-29所示的界面。好吧,摊牌了,这个功能其实很鸡肋,就是将sosreport命令做成了一个网页按钮。
【改改改】图8-28 报告分析界面
【改改改】图8-29 报告生成完毕
9.Kernel Dump
Kernel Dump(Kdump)是一个在系统崩溃、死锁或死机时用来收集内核参数的一个服务。举例来说,如果有一天系统崩溃了,这时Kdump服务就会开始工作,将系统的运行状态和内核数据收集到一个名为dump core的文件中,以便后续让运维人员分析并找出问题所在。由于我们在安装系统时没有启动该服务,所以可以等到后续使用时再开启该功能界面(见图8-30)。
【改改改】图8-30 内核排错界面
10.SElinux
图8-31所示为SELinux服务的控制按钮和警告信息界面,第10章将详细介绍SELinux安全子系统,这里暂时略过。
【改改改】图8-31 SElinux管理界面
11.Software Updates
Software Updates功能模块的界面如图8-32所示。但是,这里提到的Software Updates并不是我们用来更新其他常规软件的一个界面,而是用来对红帽客户订阅的服务进行更新的界面。用户只有在购买了红帽第三方服务后才能使用这里面的功能。在购买了红帽订阅服务后,用户便可以在这里下载到相应服务程序的最新版本和稳定版本。
【改改改】图8-32 更新软件界面
12.Subscriptions
Subscriptions功能模块的界面如图8-33所示。这里依然是一则红帽公司的“小广告”—如果想成为尊贵的红帽服务用户,要付费购买订阅服务。个人用户无须购买,而且这对我们的后续实验没有任何影响。
【改改改】图8-33 订阅服务界面
13.Terminal
压轴的总是在最后。Terminal功能模块的界面如图8-34所示。Cockpit服务提供了Shell终端的在线控制平台,可方便用户通过网页上的终端功能管理服务器。这个功能深受运维人员喜爱。
【改改改】图8-34 终端管理界面
至此,相信各位读者已经充分掌握了防火墙的管理能力。防火墙管理工具有很多种,我们任选其一即可。在配置后续的服务前,大家要记得检查网络和防火墙的状态,以避免出现服务明明配置正确,但无法从外部访问的情况,最终影响实验效果。
好了,休息一下,准备下一章的学习!
出现问题?大胆提问!
因读者们硬件不同或操作错误都可能导致实验配置出错,请耐心再仔细看看操作步骤吧,不要气馁~
Linux技术交流学习请加读者群(推荐)://gulass.cn/club
*本群特色:确保每一位群友都是《Linux就该这么学》的读者,答疑更有针对性,不定期领取定制礼品。
1.在RHEL 10系统中,iptables是否已经被firewalld服务彻底取代?
答:没有,iptables和firewalld服务均可用于RHEL 10系统。
2.请简述防火墙策略规则中DROP和REJECT的不同之处。
答:DROP的动作是丢包,不响应;REJECT是拒绝请求,同时向发送方回送拒绝信息。
3.如何把iptables服务的INPUT规则链默认策略设置为DROP?
答:执行命令iptables -P INPUT DROP即可。
4.怎样编写一条防火墙策略规则,使得iptables服务可以禁止源自192.168.10.0/24网段的流量访问本机的sshd服务(22端口)?
答:执行命令iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j REJECT即可。
5.请简述firewalld中区域的作用。
答:可以依据不同的工作场景来调用不同的firewalld区域,实现大量防火墙策略规则的快速切换。
6.如何在firewalld中把默认的区域设置为dmz?
答:执行命令firewall-cmd --set-default-zone=dmz即可。
7.如何让firewalld中以永久(Permanent)模式配置的防火墙策略规则立即生效?
答:执行命令firewall-cmd --reload。
8.使用SNAT技术的目的是什么?
答:SNAT是一种为了解决IP地址匮乏而设计的技术,它可以使得多个内网中的用户通过同一个外网IP接入Internet。
9. TCP Wrapper服务分别有允许策略配置文件和拒绝策略配置文件,请问匹配顺序是怎么样的?
答:TCP Wrapper会先依次匹配允许策略配置文件,然后再依次匹配拒绝策略配置文件;如果都没有匹配到,则默认放行流量。
10.默认情况下如何使用Cockpit服务?
答:Cockpit服务默认占用9090端口号,可直接用浏览器访问Cockpit的Web界面。
本文原创地址://gulass.cn/learing-linux-08.html编辑:刘遄,审核员:暂无