RHCSA 系列（十一）: 使用 firewalld 和 iptables 來控制網路流量

RHCSA: 使用 FirewallD 和 Iptables 來控制網路流量 – Part 11

在本文中，我們將回顧 firewalld 和 iptables 的基礎知識。前者是 RHEL 7 中的默認動態防火牆守護進程，而後者則是針對 Linux 的傳統的防火牆服務，大多數的系統和網路管理員都非常熟悉它，並且在 RHEL 7 中也可以用。

FirewallD 和 Iptables 的一個比較

在後台， firewalld 和 iptables 服務都通過相同的介面來與內核中的 netfilter 框架相交流，這不足為奇，即它們都通過 iptables 命令來與 netfilter 交互。然而，與 iptables 服務相反， firewalld 可以在不丟失現有連接的情況下，在正常的系統操作期間更改設定。

在默認情況下， firewalld 應該已經安裝在你的 RHEL 系統中了，儘管它可能沒有在運行。你可以使用下面的命令來確認（firewall-config 是用戶界面配置工具）：

# yum info firewalld firewall-config

檢查 FirewallD 的信息

以及，

# systemctl status -l firewalld.service

檢查 FirewallD 的狀態

另一方面， iptables 服務在默認情況下沒有被包含在 RHEL 系統中，但可以被安裝上。

# yum update && yum install iptables-services

這兩個守護進程都可以使用常規的 systemd 命令來在開機時被啟動和開啟：

# systemctl start firewalld.service | iptables-service.service
# systemctl enable firewalld.service | iptables-service.service

另外，請閱讀：管理 Systemd 服務的實用命令

至於配置文件， iptables 服務使用 /etc/sysconfig/iptables 文件（假如這個軟體包在你的系統中沒有被安裝，則這個文件將不存在）。在一個被用作集群節點的 RHEL 7 機子上，這個文件看起來是這樣：

Iptables 防火牆配置文件

而 firewalld 則在兩個目錄中存儲它的配置文件，即 /usr/lib/firewalld 和 /etc/firewalld：

# ls /usr/lib/firewalld /etc/firewalld

FirewallD 的配置文件

在這篇文章中後面，我們將進一步查看這些配置文件，在那之後，我們將在這兩個地方添加一些規則。現在，是時候提醒你了，你總可以使用下面的命令來找到更多有關這兩個工具的信息。

# man firewalld.conf
# man firewall-cmd
# man iptables

除了這些，記得查看一下當前系列的第一篇 RHCSA 系列（一）: 回顧基礎命令及系統文檔，在其中我描述了幾種渠道來得到安裝在你的 RHEL 7 系統上的軟體包的信息。

使用 Iptables 來控制網路流量

在進一步深入之前，或許你需要參考 Linux 基金會認證工程師（Linux Foundation Certified Engineer,LFCE） 系列中的 配置 Iptables 防火牆 – Part 8 來複習你腦中有關 iptables 的知識。

例 1：同時允許流入和流出的網路流量

TCP 埠 80 和 443 是 Apache web 伺服器使用的用來處理常規（HTTP）和安全（HTTPS）網路流量的默認埠。你可以像下面這樣在 enp0s3 介面上允許流入和流出網路流量通過這兩個埠：

# iptables -A INPUT -i enp0s3 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -o enp0s3 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
# iptables -A INPUT -i enp0s3 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -o enp0s3 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

例 2：從某個特定網路中阻擋所有（或某些）流入連接

或許有時你需要阻擋來自於某個特定網路的所有（或某些）類型的來源流量，比方說 192.168.1.0/24：

# iptables -I INPUT -s 192.168.1.0/24 -j DROP

上面的命令將丟掉所有來自 192.168.1.0/24 網路的網路包，而

# iptables -A INPUT -s 192.168.1.0/24 --dport 22 -j ACCEPT

將只允許通過埠 22 的流入流量。

例 3：將流入流量重定向到另一個目的地

假如你不僅使用你的 RHEL 7 機子來作為一個軟體防火牆，而且還將它作為一個硬體防火牆，使得它位於兩個不同的網路之間，那麼在你的系統上 IP 轉發一定已經被開啟了。假如沒有開啟，你需要編輯 /etc/sysctl.conf 文件並將 net.ipv4.ip_forward 的值設為 1，即：

net.ipv4.ip_forward = 1

接著保存更改，關閉你的文本編輯器，並最終運行下面的命令來應用更改：

# sysctl -p /etc/sysctl.conf

例如，你可能在一個內部的機子上安裝了一個印表機，它的 IP 地址為 192.168.0.10，CUPS 服務在埠 631 上進行監聽（同時在你的列印伺服器和你的防火牆上）。為了從防火牆另一邊的客戶端傳遞列印請求，你應該添加下面的 iptables 規則：

# iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 631 -j DNAT --to 192.168.0.10:631

請記住 iptables 會逐條地讀取它的規則，所以請確保默認的策略或後面的規則不會重載上面例子中那些規則。

FirewallD 入門

firewalld 引入的一個變化是區域（zone） （註：翻譯參考了 https://fedoraproject.org/wiki/FirewallD/zh-cn ）。這個概念允許將網路劃分為擁有不同信任級別的區域，由用戶決定將設備和流量放置到哪個區域。

要獲取活動的區域，使用：

# firewall-cmd --get-active-zones

在下面的例子中，public 區域是激活的，並且 enp0s3 介面被自動地分配到了這個區域。要查看有關一個特定區域的所有信息，可使用：

# firewall-cmd --zone=public --list-all

列出所有的 Firewalld 區域

由於你可以在 RHEL 7 安全指南 中閱讀到更多有關區域的知識，這裡我們將僅列出一些特別的例子。

例 4：允許服務通過防火牆

要獲取受支持的服務的列表，可以使用：

# firewall-cmd --get-services

列出所有受支持的服務

要立刻生效且在隨後重啟後都可以讓 http 和 https 網路流量通過防火牆，可以這樣：

# firewall-cmd --zone=MyZone --add-service=http
# firewall-cmd --zone=MyZone --permanent --add-service=http
# firewall-cmd --zone=MyZone --add-service=https
# firewall-cmd --zone=MyZone --permanent --add-service=https
# firewall-cmd --reload

假如 -–zone 被忽略，則使用默認的區域（你可以使用 firewall-cmd –get-default-zone來查看）。

若要移除這些規則，可以在上面的命令中將 add 替換為 remove。

例 5：IP 轉發或埠轉發

首先，你需要查看在目標區域中，偽裝（masquerading）是否被開啟：

# firewall-cmd --zone=MyZone --query-masquerade

在下面的圖片中，我們可以看到對於外部區域，偽裝已被開啟，但對於公用區域則沒有：

查看偽裝狀態

你可以為公共區域開啟偽裝：

# firewall-cmd --zone=public --add-masquerade

或者在外部區域中使用偽裝。下面是使用 firewalld 來重複例 3 中的任務所需的命令：

# firewall-cmd --zone=external --add-forward-port=port=631:proto=tcp:toport=631:toaddr=192.168.0.10

不要忘了重新載入防火牆。

在 RHCSA 系列的 第九部分 你可以找到更深入的例子，在那篇文章中我們解釋了如何允許或禁用通常被 web 伺服器和 ftp 伺服器使用的埠，以及在針對這兩個服務所使用的默認埠被改變時，如何更改相應的規則。另外，你或許想參考 firewalld 的 wiki 來查看更深入的例子。

• 延伸閱讀： 在 RHEL 7 中配置防火牆的幾個實用的 firewalld 例子

總結

在這篇文章中，我們已經解釋了防火牆是什麼，介紹了在 RHEL 7 中用來實現防火牆的幾個可用的服務，並提供了可以幫助你入門防火牆的幾個例子。假如你有任何的評論，建議或問題，請隨意使用下面的評論框來讓我們知曉。這裡就事先感謝了！

via: http://www.tecmint.com/firewalld-vs-iptables-and-control-network-traffic-in-firewall/

作者：Gabriel Cánepa 譯者：FSSlc 校對：wxy

本文由 LCTT 原創翻譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive