前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。
介绍
与大多数其他 Linux 发行版一样,CentOS 7 使用 Linux 内核中的 netfilter
框架来访问通过网络堆栈流动的数据包。这提供了必要的接口来检查和操作数据包,以实现防火墙系统。
大多数发行版使用 iptables
防火墙,它使用 netfilter
钩子来执行防火墙规则。CentOS 7 配备了一个名为 firewalld
的替代服务,它实现了相同的功能。
虽然 firewalld
是一个非常强大的防火墙解决方案,具有出色的功能,但对于一些用户来说,如果他们熟悉 iptables
的语法并且满意其行为和性能,可能更容易使用 iptables
。iptables
命令实际上被 firewalld
本身使用,但是 CentOS 7 默认情况下没有安装 iptables
服务。在本指南中,我们将演示如何在 CentOS 7 上安装 iptables
服务,并将防火墙从 firewalld
迁移到 iptables
(如果您想了解如何使用 FirewallD,请查看此指南)。
保存当前防火墙规则(可选)
在将服务器的防火墙解决方案切换到 iptables
之前,最好保存 firewalld
正在执行的当前规则。我们上面提到,firewalld
守护程序实际上利用 iptables
命令与 netfilter
内核钩子通信。因此,我们可以使用 iptables
命令来转储当前规则。
通过输入以下命令将当前规则集转储到标准输出并保存到您的主目录中的名为 firewalld_iptables_rules
的文件中:
sudo iptables -S | tee ~/firewalld_iptables_rules
对 ip6tables
也执行相同操作:
sudo ip6tables -S | tee ~/firewalld_ip6tables_rules
根据活动的 firewalld
区域、启用的服务以及从 firewall-cmd
直接传递给 iptables
的规则,转储的规则集可能非常庞大。
firewalld
服务使用普通的 iptables
规则来实现其防火墙策略。它通过使用 iptables
链构建管理框架来实现这一点。您可能会看到的大多数规则将用于创建这些管理链并指导流量进出这些结构。
您迁移到 iptables
服务的防火墙规则将不需要重新创建 firewalld
依赖的管理框架。因此,您最终实施的规则集可能会简单得多。我们在此保存整个集合,以尽可能保持尽可能多的原始数据。
您可以通过输入以下命令来查看一些更重要的行,以了解您需要重新创建的策略:
grep 'ACCEPT\|DROP\|QUEUE\|RETURN\|REJECT\|LOG' ~/firewalld_iptables_rules
这将主要显示导致最终决策的规则。只跳转到用户创建的链的规则将不会显示。
下载并安装 Iptables 服务
要开始服务器的过渡,您需要从 CentOS 软件仓库下载并安装 iptables-service
包。
通过输入以下命令下载并安装服务文件:
sudo yum install iptables-services
这将下载并安装用于管理 iptables
服务的 systemd
脚本。它还将在 /etc/sysconfig
目录中写入一些默认的 iptables
和 ip6tables
配置文件。
构建您的 Iptables 防火墙规则
接下来,您需要通过修改 /etc/sysconfig/iptables
和 /etc/sysconfig/ip6tables
文件来构建您的 iptables
防火墙规则。这些文件保存了在启动 iptables
服务时将被读取和应用的规则。
您如何构建防火墙规则取决于是否安装并使用 system-config-firewall
进程来管理这些文件。检查 /etc/sysconfig/iptables
文件顶部以查看是否建议不要手动编辑:
sudo head -2 /etc/sysconfig/iptables
如果输出看起来像这样,可以自由地手动编辑 /etc/sysconfig/iptables
和 /etc/sysconfig/ip6tables
文件以实施 iptables
防火墙的策略:
[secondary_label output]# sample configuration for iptables service# you can edit this manually or use system-config-firewall
使用 sudo
权限打开并编辑文件以添加您的规则:
sudo nano /etc/sysconfig/iptablessudo nano /etc/sysconfig/ip6tables
在制定规则后,您可以使用以下命令测试您的 IPv4 和 IPv6 规则:
sudo sh -c 'iptables-restore -t < /etc/sysconfig/iptables'sudo sh -c 'ip6tables-restore -t < /etc/sysconfig/ip6tables'
另一方面,如果检查 /etc/sysconfig/iptables
文件的输出看起来像这样,您不应该手动编辑该文件:
[secondary_label output]
由 system-config-firewall 编写的防火墙配置
不建议手动修改此文件。
这意味着安装并使用了 system-config-firewall
管理工具来管理此文件。任何手动更改都将被该工具覆盖。如果看到这个提示,应该使用相关工具来更改防火墙。对于文本界面,输入以下命令:
sudo system-config-firewall-tui
如果安装了图形界面,可以输入以下命令启动:
sudo system-config-firewall
如果需要学习关于 iptables
规则和语法的帮助,下面的指南可能会有所帮助,尽管它们主要针对 Ubuntu 系统:
停止 FirewallD 服务并启动 Iptables 服务
接下来,我们需要停止当前的 firewalld
防火墙并启动我们的 iptables
服务。我们将使用 &&
构造在 firewalld
服务成功关闭后立即启动新的防火墙服务:
sudo systemctl stop firewalld && sudo systemctl start iptables; sudo systemctl start ip6tables
您可以通过输入以下命令验证 firewalld
是否未运行:
sudo firewall-cmd --state
您还可以通过输入以下命令查看您在 /etc/sysconfig
目录中设置的规则是否已加载和应用:
sudo iptables -Ssudo ip6tables -S
此时,iptables
和 ip6tables
服务已激活当前会话。但是,当前情况下,firewalld
服务仍然会在服务器重新启动时自动启动。
这是测试防火墙策略的最佳时机,以确保您拥有所需的访问级别,因为如果出现任何问题,可以重新启动服务器以恢复到旧的防火墙。
禁用 FirewallD 服务并启用 Iptables 服务
在测试防火墙规则以确保策略正确执行后,可以禁用 firewalld
服务:
sudo systemctl disable firewalld
这将防止服务在启动时自动启动。由于在运行 iptables
服务时也不应手动启动 firewalld
服务,可以采取额外步骤屏蔽该服务。这将防止手动启动 firewalld
服务:
sudo systemctl mask firewalld
现在,可以启用 iptables
和 ip6tables
服务,以便它们在启动时自动启动:
sudo systemctl enable iptablessudo systemctl enable ip6tables
这应该完成了防火墙的过渡。
结论
实施防火墙是确保服务器安全的重要步骤。虽然 firewalld
是一个很好的防火墙解决方案,但有时使用最熟悉的工具或在更多样化的基础设施中使用相同的系统是最明智的选择。