2018-06-11笔记（日常运维二）

10.12 firewalld和netfilter

（1）selinux 安全增强型 Linux（Security-Enhanced Linux）简称 SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统,seinux是Linux系统特有的安全机制，不过因为限制太多，所以很少人使用，一般我们都是关闭SELinux。

临时关闭：setenforce 0; 永久关闭：编辑配置文件 vim /etc/selinux/config，找到SELINUX=enforcing 改成 SELINUX=disabled。重启后生效！

\# This file controls the state of SELinux on the system.
\# SELINUX= can take one of these three values:
\#     enforcing - SELinux security policy is enforced.
\#     permissive - SELinux prints warnings instead of enforcing.
\#     disabled - No SELinux policy is loaded.
SELINUX=disabled                    ###修改这一行为disabled
\# SELINUXTYPE= can take one of three two values:
\#     targeted - Targeted processes are protected,
\#     minimum - Modification of targeted policy. Only selected processes are protected.
\#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

关于SELINUX的运行状态 1：enforcing #开启状态，会强制执行SELINUX的安全策略 2：permissive #提示状态，会打印触发SELINUX安全策略的警告，但是不会执行相应的策略。 3：disabled #关闭SELINUX，重启后也不会再启动SELINUX 可以使用genenforce命令获得当前selinux的状态

[root@luo ~]# getenforce 
Disabled

(2）netfilter CentOS 5和6 的防火墙是netfilter；主要是使用iptables工具实现防火墙。 CentOS7使用的是firewalld，在这里先关闭firewalld服务，使用CentOS6的netfilter演示。更换操作如下： systemctl stop firewalld 关闭firewalld服务 systemctl disable firewalld 禁止firewalld服务开机启动 yum install -y iptables-services 安装iptables-services systemctl enable iptables 让它开机启动 systemctl start iptables 启动iptables服务

[root@luo ~]# systemctl stop firewalld
[root@luo ~]# systemctl disable firewalld.
[root@luo ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
   Docs: man:firewalld(1)
[root@luo ~]# yum install -y iptables-services^C               #这里已经安装过了就不再安装了
[root@luo ~]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@luo ~]# systemctl start iptables

（3）firewalld CentOS7 的防火墙使用firewalld，不是netfilter

10.13 netfilter5表5链介绍

5表：filter表、nat表、mangle表、raw表、security表 5链：PEROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING 下面介绍5表5链： filter表：主要用于过滤包，是系统预设的表。平时用的最多的表。该表内建3个链：IUPUT、OUTPUT、FORWARD，INPUT链作用进入本机的包，OUTPUT链作用于本机送出的包，FOEWARD作用于跟本机无关的包 nat表：主要用于网络地址转换，它也有3个链。PREROUTING链的作用是在包刚刚到达防火墙时改变它的目的地址（非必须），OUTPUT链的作用是改变本地包的目的地址，POSTROUTING链的作用是在包即将离开防火墙时改变其源地址。偶尔用到！ mangle表：主要用于给数据包做标记，然后根据标记去操作相应的包。（运维几乎不用，网络工程师用） raw表：可以实现不追踪某些数据包，默认系统的数据都会被跟踪。（也是几乎不用） security表：CentOS6没有的，它用于强制访问控制(MAC)的网络规则。（了解即可） PEROUTING：数据包进入路由表之前 INPUT：通过路由表后目的地为本机 FORWARD：通过路由表后，目的地不为本机 OUTPUT：有本机产生，向外转发 POSTROUTING：发送到网卡接口之前 iptables数据包流向： 表和链对应的关系：

10.14 iptables语法

查看规则：iptables -t nat -nvL; 规则保存在/etc/sysconfig/iptables文件中；-t 指定表名；-nvL表示查看该表规则，-n表示不针对IP反解析主机名，-L表示列出，-v表示列出更加详细。不加-t，默认打印filter表的相关信息。 清空规则：iptables -F，临时清空，重启后会还原配置iptables文件的规则; 保存规则：service iptables save 包及流量计数器置零：iptables -Z 增加/删除一条规则，用法：iptables -A INPUT -s 192.168.128.1 -p tcp --sport 1234 -d 192.168.128.28 --dport 80 -j DROP 各个选项的作用： -A/-D 表示增加/删除一条规则 -I 表示插入一条规则，其实效果跟-A一样（执行顺序不一样） -p 表示指定协议，可以是tcp、udp或者icmp -P 后面跟链名，它表示预设策略； 如iptables -P INPUT DROP; （使用这个选项是要小心，特别是远程服务器） --dport：跟-p一起使用，表示指定目标端口 --sport：跟-p一起使用，表示指定源端口 -s 表示指定源IP（可以是一个IP段） -d 表示指定目标IP（可以是一个IP段） -j 后面跟动作，其中ACCEPT表示允许包，DROP表示丢弃包，REJECT表示拒绝包 -i 表示指定网卡 举例： ①插入一条规则，把来自2.2.2.2的所有数据包丢弃：iptables -I INPUT -s 2.2.2.2 -j DROP ②下面是删除上面这条规则，注意删除规则时，必须和插入的规则一致，也就是说两条命令，除了-I和-D不一样，其他地方都是一样的：iptables -D INPUT -s 2.2.2.2 -j DROP ③把来自2.2.2.2并且是TCP协议到本机80端口的数据包丢弃：iptables -I INPUT -s 2.2.2.2 -p tcp --dport 80 -j DROP; 注意--dport/--sport必须和-p一起使用，否则会报错。 ④把发送到10.0.0.21的22端口的数据包丢弃：iptables -I OUTPUT -p tcp -dport 22 -d 10.0.0.21 -j DROP 有时候服务器上iptables过多，你想删除一条规则，但又忘记了创建是的规则，怎么删除呢？其实还有一种简单的方法： iptables -nvL --line-numbers查看规则的number

[root@luo ~]# iptables -nvL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       94  6648 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5       17  1634 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 68 packets, 5416 bytes)
num   pkts bytes target     prot opt in     out     source               destination  

然后你想删除某一条规则：iptables -D INPUT 1; -D后面跟链名、规则num，这个num就是上面的数字 规则选项说明:

-i或–in-interface <网络接口名>：指定数据包从哪个网络接口进入，如ppp0、eth0和eth1等

-o或–out-interface <网络接口名>：指定数据包从哪块网络接口输出，如ppp0、eth0和eth1等

-p或—proto协议类型 < 协议类型>：指定数据包匹配的协议，如TCP、UDP和ICMP等

-s或–source <源地址或子网>：指定数据包匹配的源地址

–sport <源端口号>：指定数据包匹配的源端口号，可以使用“起始端口号:结束端口号”的格式指定一个范围的端口

-d或–destination <目标地址或子网>：指定数据包匹配的目标地址

–dport <目标端口号>:指定数据包匹配的目标端口号，可以使用“起始端口号:结束端口号”的格式指定一个范围的端口

动作选项说明:

ACCEPT：接受数据包

DROP：丢弃数据包

REDIRECT：与DROP基本一样，区别在于它除了阻塞包之外， 还向发送者返回错误信息。

SNAT：源地址转换，即改变数据包的源地址

DNAT：目标地址转换，即改变数据包的目的地址

MASQUERADE：
    IP伪装，即是常说的NAT技术，
    MASQUERADE只能用于ADSL等拨号上网的IP伪装，也就是主机的IP是由ISP分配动态的；
    如果主机的IP地址是静态固定的，就要使用SNAT

LOG日志功能，将符合规则的数据包的相关信息记录在日志中，以便管理员的分析和排错

10.15 iptables filter表案例

需求：只针对filter表，预设策略INPUT链DROP，其他两个链ACCEPT，然后针对192.168.66.0/24放行22端口，所有网段开放80端口，对所有网段开放21端口 可以编写一个shell脚本来实现。 vim /usr/local/sbin/iptables.sh ##编辑脚本文件，加入以下内容

#! /bin/bash              #定义执行脚本的shell
IPT="/usr/sbin/iptables"  #定义变量，iptables命令的绝对路径。
$IPT -F                   #清空iptables规则
$IPT -P INPUT DROP        #默认规则，丢弃所有数据包。
$IPT -P OUTPUT ACCEPT     #默认规则，放行所有OUTPUT链的数据包
$IPT -P FORWARD ACCEPT    #默认规则，放行所有FORWARD链的数据包
##下面这条规则允许通过RELATED和ESTABLISHED状态的数据包，这条规则必加，否则可能导致某些服务连不上。
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  
$IPT -A INPUT -s 192.168.66.0/24cp --dport 22 -j ACCEPT  #仅允许10.1.1.0/24网段链接22端口
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT    #允许通过所有80端口的数据包
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT    #允许通过所有21端口的数据包

[root@luo ~]# vi /usr/local/bin/iptables.sh
[root@luo ~]# cat !$
cat /usr/local/bin/iptables.sh
#! /bin/bash             
IPT="/usr/sbin/iptables" 
$IPT -F                  
$IPT -P INPUT DROP       
$IPT -P OUTPUT ACCEPT    
$IPT -P FORWARD ACCEPT   
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
$IPT -A INPUT -s 192.168.66.0/24 -p tcp --dport 22 -j ACCEPT  
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT    
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT

执行这个脚本后查看添加的规则：

[root@luo ~]# iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   33  2188 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       192.168.66.0/24      0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 18 packets, 1688 bytes)
 pkts bytes target     prot opt in     out     source               destination 

关于icmp的包有一个常见的应用（请牢记）：

iptables -I INPUT -p icmp --icmp-type 8 -j DROP

这里--icmp-type选项要跟-p icmp一起使用，后面指定类型编号。这个8指的是本机ping通其他机器，而其他机器不能ping通本机。

10.16-10.18nat表应用：

A机器两块网卡ens33(192.168.66.130)、ens37(192.168.66.1)，ens33可以上外网，ens37仅仅是内部网络，B机器只有ens37（192.168.100.100），和A机器ens37可以通信互联。 需求1：可以让B机器连接外网 A机器上打开路由转发 echo "1">/proc/sys/net/ipv4/ip_forward

[root@luo ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@luo ~]# cat /proc/sys/net/ipv4/ip_forward
1

A上执行 iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

[root@luo ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

B上设置网关为192.168.100.1

route add default gw 192.168.100.1  #设置一个默认网关

echo "nameserver 119.29.29.29" > /etc/resolv.conf  #添加一个临时的DNS服务器

这样B机器就可以连外网了

[root@localhost ~]# ping www.baidu.com
PING www.a.shifen.com (14.215.177.38) 56(84) bytes of data.
64 bytes from 14.215.177.38 (14.215.177.38): icmp_seq=2 ttl=128 time=6.99 ms
64 bytes from 14.215.177.38 (14.215.177.38): icmp_seq=3 ttl=128 time=13.3 ms
64 bytes from 14.215.177.38 (14.215.177.38): icmp_seq=4 ttl=128 time=7.54 ms
64 bytes from 14.215.177.38 (14.215.177.38): icmp_seq=5 ttl=128 time=6.98 ms
64 bytes from 14.215.177.38 (14.215.177.38): icmp_seq=6 ttl=128 time=9.47 ms
64 bytes from 14.215.177.38 (14.215.177.38): icmp_seq=7 ttl=128 time=8.52 ms

需求2：端口转发

让PC能远程登录B

添加规则1，将访问192.168.66.130:1122端口的数据包转发给192.168.100.100:22端口
[root@luo ~]# iptables -t nat -A PREROUTING -d 192.168.66.130 -p tcp --dport 1122 -j DNAT --to 192.168.100.100:22

添加规则2，将来源于192.168.100.100的数据包的源地址转换为192.168.66.130
[root@luo ~]# iptables -t nat -A POSTROUTING -s 192.168.100.100 -j SNAT --to 192.168.66.130

然后远程连接192.168.66.130:1122就可以间接的远程登录B主机了。

Connecting to 192.168.66.130:1122...
Connection established.

扩展 selinux教程 http://os.51cto.com/art/201209/355490.htm selinux pdf电子书 http://pan.baidu.com/s/1jGGdExK iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html