当前位置：首页 > news >正文

【Linux笔记】防火墙firewall与相关实验（iptables、firewall-cmd、firewalld）

news 来源：原创 2025/7/2 8:09:08

一、概念

1、防火墙firewall

Linux 防火墙用于控制进出系统的网络流量，保护系统免受未授权访问。常见的防火墙工具包括 iptables、nftables、UFW 和 firewalld。

防火墙类型
- 包过滤防火墙：基于网络层（IP、端口、协议）过滤流量（如 iptables）。
- 应用层防火墙：基于应用协议（如 HTTP、SSH）过滤流量（需结合代理或深度包检测）。
关键术语
- 表（Table）：规则集合，如 filter（过滤）、nat（地址转换）、mangle（包修改）。
- 链（Chain）：规则链，默认链包括 INPUT（入站）、OUTPUT（出站）、FORWARD（转发）。
- 规则（Rule）：定义匹配条件和动作（如允许 ACCEPT、拒绝 DROP）。
- 区域（Zone）：firewalld 的概念，定义不同网络环境（如 public、home）的安全级别。
状态检测
- 跟踪连接状态（如 NEW、ESTABLISHED），允许响应流量自动放行。

2、iptables

iptables 是集成在 Linux 内核中的包过滤防火墙系统，它允许系统管理员配置规则集，以便控制网络数据包的进出和转发。iptables 通过定义一系列的规则来决定如何处理经过网络接口的数据包。这些规则可以基于数据包的来源、目的地、协议类型等多种条件来设置。

二、命令

1、搭建实验运行环境

（1）前提说明

防火墙命令相关实验我们准备三个虚拟机，请先自行克隆出来三个，分别命名为F1、F2、F3

其中，F1与F3相互沟通，F2是它们沟通的桥梁

主机名	ip	网络类型
F1	192.168.76.10	NAT
F2	192.168.76.20（NAT的） 192.168.194.20（Host-only的）	NAT + Host-only（仅主机）
F3	192.168.194.30	Host-only（仅主机）

ip项请务必清楚自己虚拟机在NAT和Host-only（仅主机） 这两个网络类型下的网段是什么，

这里说一下查看办法：

按图中步骤来：点击实验所需的三台主机中的其中一台，这里是F1；点编辑；点虚拟网络编辑器；进去后即可查看：

仅主机时的ip网段

NAT时的ip网段:

这里的都是博主自己的，你们的都可以按照这个办法来查询

（2）设置三台主机的网络类型

1）对于F1

F1用NAT模式，默认应该就是NAT模式，但还是建议去查看一下：

2）对于F2

F2有两个：

一个是默认自带的NAT

另一个是Host-only（仅主机）

3）对于F3

F3是Host-only（仅主机）

（3）设置IP等基础配置

IP地址的配置先前博客有讲过，这里不再赘述，简单过一遍。配置指令为nm-connection-editor

手动配置你们网段的IP地址即可，可以按照上面的表格：

来进行配置IP，注意，F2有两个网卡，需要配置两个。

nm-connection-editor

示例

主机F1、F3和F2的第二个网卡（为下图F2的ens192）都不用配置网关，F2的第一个NAT类型网卡（图中为ens160）需要配置网关

F2的第一个NAT类型网卡（图中为ens160）需要配置网关

到这里就完成了实验环境的搭建

（4）测试

F1能ping通F2的NAT网卡（192.168.76.20）

F2的仅主机网卡（192.168.194.20）能ping通F3

2、iptables命令

（1）安装软件

安装需要搭建软件仓库，详情请见之前博客

dnf install iptables-nft-services.noarch -y

示例

（2）关闭防火墙

systemctl disable --now firewalld

示例

systemctl mask firewalld

示例

（3）启动服务

systemctl enable --now iptables.service

示例

（4）iptables基本语法格式

iptables [-t 表名] 命令选项 [链名] [规则条件] -j 目标动作

（5）常用命令选项

参数	说明
`-A` 或 `--append`	在链末尾添加规则（如 `-A INPUT`）。
`-I` 或 `--insert`	在链的指定位置插入规则（如 `-I INPUT 1` 插入为第一条）。
`-D` 或 `--delete`	删除指定规则（如 `-D INPUT 2` 或按规则内容删除）。
`-L` 或 `--list`	列出链中的规则（配合 `-n` 禁用DNS解析，`-v` 显示详细信息）。
`-F` 或 `--flush`	清空链中的所有规则（如 `-F INPUT`）。
`-P` 或 `--policy`	设置链的默认策略（如 `-P INPUT DROP`）。
`-N` 或 `--new-chain`	创建自定义链（如 `-N MY_CHAIN`）。
`-X` 或 `--delete-chain`	删除自定义空链。
`-Z` 或 `--zero`	重置计数器（数据包和字节计数）。

参数	说明
`-p` 或 `--protocol`	指定协议（如 `tcp`、`udp`、`icmp`、`all`）。
`-s` 或 `--source`	源IP地址或网段（如 `-s 192.168.1.0/24`）。
`-d` 或 `--destination`	目标IP地址或网段。
`-i` 或 `--in-interface`	指定数据包进入的网络接口（如 `-i eth0`）。
`-o` 或 `--out-interface`	指定数据包离开的网络接口。
- j 或 -- jump	指定目标，即满足某条件时该执行什么样的动作，如ACCPET。

参数	说明
`--dport`	目标端口（如 `--dport 80`）。
`--sport`	源端口。
`--multiport`	多端口匹配（需加载 `multiport` 模块，如 `--dports 80,443`）。

（6）各种命令选项的常用命令

就是上面的表中的部分常用的详解

1）iptables -nL

查看当前iptables策略

iptables  -nL

示例

下面的三行：INPUT、FORWARD、OUTPUT，即为-A后面接的东西（规则）

2）iptables -t 表名

iptables -t

示例

输入-t后，我们连按table键，可以看到弹出来的这些就是表名，分别为：filter mangle nat

以下是各个表的详解

filter表：

默认表：若未指定 -t 参数，默认使用 filter 表。
核心功能：过滤数据包，决定是否允许数据包通过。

内置链：

链名	触发时机	常见用途
`INPUT`	处理目标是本机的数据包（入站）	控制进入本机的流量（如开放 SSH 端口）。
`OUTPUT`	处理本机产生的数据包（出站）	限制本机程序对外访问（如禁止某些 IP）。
`FORWARD`	处理经过本机转发的数据包（路由）	配置 NAT 网关或防火墙路由规则。

nat 表：

核心功能：网络地址转换（Network Address Translation），用于修改数据包的源或目标地址。

内置链：

链名	触发时机	常见用途
`PREROUTING`	数据包进入路由决策之前（刚到达网卡）	DNAT（目标地址转换，如端口转发）。
`POSTROUTING`	数据包离开本机之前（即将发送到网卡）	SNAT/MASQUERADE（源地址转换，如共享上网）。
`OUTPUT`	本机产生的数据包在路由决策之后	对本机出站流量做 NAT（较少使用）

mangle 表：

核心功能：修改数据包内容（如 TTL、TOS 字段）或标记数据包（MARK），用于高级流量控制。

内置链：

链名	触发时机
`PREROUTING`	数据包进入路由决策之前
`POSTROUTING`	数据包离开本机之前
`INPUT`	处理目标是本机的数据包
`OUTPUT`	处理本机产生的数据包
`FORWARD`	处理经过本机转发的数据包

拓展：清空指定表中的策略

iptables -t filter（这里填你想清理的表名，这里以filter举例） -F

示例

3）拒绝某条流量的访问

iptables -t 表名 -p 协议 --dport 80 -s ip地址 -j 功能

1））命令解析与添加规则

我们以一个实例来举例理解，比如：我们想让F1的tcp协议的访问数据不能到达F2，即拒绝F1的tcp流量，所以我们的命令可以写成：

iptables -t filter -A INPUT -p tcp --dport 80 -s 192.168.76.10 -j REJECT

这一项命令很长，但把其拆解就不复杂了：

所以，整条命令的意思即为：通过iptables写入一条规则 —— 拒绝访问（-j REJECT）表头为filter（-t filter）、端口为80（--dport 80）的tcp协议（-p tcp），并且还是来自（-A INPUT）192.168.76.10（-s 192.168.76.10）的流量

我们再次通过iptables -nL查看一下当前的规则，可以看到在INPUT行我们刚刚新写入的规则：

iptables  -nL

2））测试规则的存在与生效

我们在F2主机安装nginx来进行测试，看看我们刚刚设置的规则是否存在且生效：

dnf install nginx -y

示例

启动nginx服务：

systemctl enable --now nginx.service

示例

往F2的nginx里的默认index.html写入一个内容，方便我们后续测试，内容即为F2的NAT网卡ip本身：

echo 192.168.76.20 > /usr/share/nginx/html/index.html

示例

接下来我们分别到F1主机和F3主机进行测试，看看在F2写的规则是否生效：

我们刚刚写的规则是，F2拒绝F1的tcp协议访问流量，F3的访问流量不拒绝

在F1端对F2进行访问：

在F3端对F2进行访问：

3））总结

这就是火墙，通过iptables命令设置规则，规定谁能访问，谁不能访问

4）只允许某条流量访问

有了上面的基础，这一条就好理解了：

同样在F2进行配置

iptables -t filter -A INPUT -p tcp --dport 80 ! -s 192.168.194.30 -j REJECT

示例

这里与上面不同的是-s前面的“！”感叹号，感叹号表示反选，-s本来是表示指定192.168.194.30这条流量，加了“！”感叹号后，就表示除了192.168.194.30这条之外的所有ip地址，所以这条命令也就变成了：

除了192.168.194.30，之外的其他所有ip全部都被拒绝访问F2，即——只允许ip为192.168.194.30的tcp访问流量来访问F2

而在默认不设置的情况下，策略都为ACCEPT，即允许，所以192.168.194.30的流量能够访问

5）删除filter表中的第X条策略

iptables -D INPUT  3

各项解释：

INPUT —— （指定为INPUT链，想删哪条链的策略就写哪条链名）

3 —— （3为第三条策略，想删哪条写哪个数字）

3、firewalld命令

（1）概念

Firewalld 是 Linux 系统（尤其是 RHEL/CentOS/Fedora）中动态管理防火墙规则的工具，基于 firewall-cmd 命令行工具和 zone（区域）概念，支持动态更新规则而无需重启服务。

1）核心概念

区域（Zone）

定义：预定义的网络信任级别，每个区域关联一组规则（允许的服务、端口等）。
默认区域：通常为 public（未明确指定时使用）。

常见区域：

区域名	用途
`public`	公共网络（默认，仅开放明确允许的服务）。
`trusted`	完全信任所有连接。
`internal`	内部网络（类似 `home`）。
`dmz`	非军事区（仅允许部分服务）。
`block`	拒绝所有入站流量（出站允许）。
`drop`	丢弃所有入站流量（无响应，出站允许）。

2）服务（Service）

预定义的端口和协议组合（如 ssh、http、https），简化规则配置。
服务定义文件路径：/usr/lib/firewalld/services/*.xml。

3）运行时与永久配置

运行时（Runtime）：临时生效，重启后失效。
永久（Permanent）：持久化配置，需 --permanent 参数，重启或重载后生效。

（2）常用命令

1）firewall-cmd命令表

状态与基本信息

命令	说明	示例
`firewall-cmd --state`	查看防火墙运行状态。	-
`firewall-cmd --reload`	重新加载配置（应用永久规则）。	`sudo firewall-cmd --reload`
`firewall-cmd --complete-reload`	完全重启防火墙服务（断开现有连接）。	`sudo firewall-cmd --complete-reload`
`firewall-cmd --version`	查看 firewalld 版本。	-

区域（Zone）管理

命令	说明	示例
`firewall-cmd --get-default-zone`	查看默认区域。	-
`firewall-cmd --set-default-zone=<zone>`	设置默认区域（需 `--permanent`）。	`sudo firewall-cmd --set-default-zone=internal --permanent`
`firewall-cmd --get-active-zones`	查看所有活动区域及绑定的接口。	-
`firewall-cmd --get-zones`	列出所有可用区域。	-
`firewall-cmd --zone=<zone> --list-all`	查看指定区域的详细配置。	`firewall-cmd --zone=public --list-all`
`firewall-cmd --zone=<zone> --change-interface=<iface>`	为接口绑定区域（需 `--permanent`）。	`sudo firewall-cmd --zone=work --change-interface=eth0 --permanent`

服务（Service）与端口（Port）管理

命令	说明	示例
`firewall-cmd --list-services`	查看当前区域允许的服务。	`firewall-cmd --list-services`
`firewall-cmd --add-service=<service>`	允许服务（默认运行时，加 `--permanent` 永久生效）。	`sudo firewall-cmd --add-service=http`
`firewall-cmd --remove-service=<service>`	移除服务。	`sudo firewall-cmd --remove-service=ftp`
`firewall-cmd --list-ports`	查看当前区域开放的端口。	`firewall-cmd --list-ports`
`firewall-cmd --add-port=<port>/<protocol>`	开放端口（如 `80/tcp`）。	`sudo firewall-cmd --add-port=8080/tcp --permanent`
`firewall-cmd --remove-port=<port>/<protocol>`	移除端口。

高级规则（Rich Rules）

命令	说明	示例
`firewall-cmd --add-rich-rule='<rule>'`	添加富规则（支持 IP、端口、协议等复杂条件）。	`sudo firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'`
`firewall-cmd --remove-rich-rule='<rule>'`	移除富规则。	`sudo firewall-cmd --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'`
`firewall-cmd --list-rich-rules`	列出所有富规则。

应急模式与连接追踪

命令	说明	示例
`firewall-cmd --panic-on`	进入应急模式（拒绝所有流量，立即生效）。	`sudo firewall-cmd --panic-on`
`firewall-cmd --panic-off`	退出应急模式。	`sudo firewall-cmd --panic-off`
`firewall-cmd --query-panic`	检查应急模式状态。	`firewall-cmd --query-panic`

2）火墙信息查看

firewall-cmd --state

示例

firewall-cmd --list-all

示例

3）管理域

firewall-cmd --get-default-zonefirewall-cmd --set-default-zone=trustedfirewall-cmd  --get-zonesfirewall-cmd  --get-active-zones

示例

4）管理服务

firewall-cmd --get-servicesfirewall-cmd --list-services --zone=publicfirewall-cmd --permanent --add-service=http --zone=publicfirewall-cmd --permanent --remove-service=http

示例

5）管理ip

firewall-cmd --add-source=192.168.76.20 --zone=trustedfirewall-cmd --remove-source=192.168.76.20 --zone=trusted

示例

6）管理port接口

firewall-cmd --add-port=80/tcpfirewall-cmd --remove-port=80/tcp

示例

（3）firewalld高级规则

Firewalld 的高级规则（Rich Rules）允许管理员基于复杂条件（如源/目标 IP、端口、协议、连接状态等）定义精细化的防火墙策略。

1）核心参数与功能：

匹配条件

参数	说明
`family="ipv4	ipv6"`	指定协议族（IPv4 或 IPv6）。
`source address="CIDR"`	匹配源 IP 或网段（如 `192.168.1.0/24`）。
`destination address="CIDR"`	匹配目标 IP 或网段。
`port port="端口" protocol="tcp	udp"`	匹配目标端口和协议（如 `port="80" protocol="tcp"`）。
`service name="服务名"`	匹配预定义的服务（如 `ssh`、`http`）。
`protocol value="协议"`	匹配 IP 协议号或名称（如 `icmp`、`gre`）。

动作与日志

参数	说明
`accept`	允许数据包。
`reject`	拒绝数据包并返回错误（默认 `icmp-port-unreachable`）。
`drop`	丢弃数据包（无响应）。
`log`	记录日志（可选 `prefix` 和 `level`）。
`audit`	生成审计日志（需审计子系统支持）。
`mark set="标记值"`	为数据包设置标记（需结合 `tc` 等工具实现 QoS 或策略路由）。

2）规则优先级与执行顺序

富规则优先级
- 富规则优先于普通服务/端口规则执行。
- 规则按添加顺序匹配，首条匹配的规则生效。
规则顺序调整
- 默认无法直接调整顺序，需先删除再重新添加。

一、概念

1、防火墙firewall

2、iptables

二、命令

1、搭建实验运行环境

（1）前提说明

（2）设置三台主机的网络类型

1）对于F1

2）对于F2

3）对于F3

（3）设置IP等基础配置

（4）测试

2、iptables命令

（1）安装软件

（2）关闭防火墙

（3）启动服务

（4）iptables基本语法格式

（5）常用命令选项

（6） 各种命令选项的常用命令

1）iptables -nL

2）iptables -t 表名

3）拒绝某条流量的访问

1））命令解析与添加规则

2））测试规则的存在与生效

3））总结

4）只允许某条流量访问

5）删除filter表中的第X条策略

3、firewalld命令

（1）概念

1）核心概念

2）服务（Service）

3）运行时与永久配置

（2）常用命令

1）firewall-cmd命令表

2） 火墙信息查看

3）管理域

4）管理服务

5）管理ip

6）管理port接口

（3）firewalld高级规则

1）核心参数与功能：

匹配条件

动作与日志

2）规则优先级与执行顺序

相关文章：

（6）各种命令选项的常用命令

2）火墙信息查看