Net-filter是 Linux的一种防火墙机制。而 Firewall是一个在网络区域( networks zones)的支撑下动态管理防火墙的守护过程。早期的RHEL版本和 Centos6应用 Iptables这个守护过程在高防服务器中进行数据包过滤。而在 RHEL/Centos中, Iptables将被Firewall代替。
由于Iptables可能会在未来的版本中消散,所以建议从现在起就考虑应用 Firewall来代替 Iptables。但现行版本仍然支撑 Iptables,而且还可以用yum命令来安装。可以确定的是,在同一个系统中不能同时运行Firewall和 Iptables,否则可能引发冲突。在 Iptables中需要配置INPUT、 OUTPUT和 FORWARD CHAINS。而在 Firewall中新引入了区域(zones)这个概念。认情况下, Firewall中就有一些有效的区域,这也是我们这里将要讨论的要害内容。
基础区域如同公共区域( public zone)和私有区域( privatezone)。为了让作业在这些区域中运行,需要为网络接口添加特定区域( specified zone)支撑,好让我们往 Firewall中添加服务。默认情况下就有很多生效的服务。 Firewall最好的特征之一就是,它本身就供给了一些预定义的服务,而我们可以以这些预定义的服务为模版,复制之以添加到我们自己的服务中。
Firewall还能很好地兼容IPv4、IPv6和以太网桥接。在 Firewall中,我们可以有独立的运行时间和永久性的配置。查看一下 Iptables是不是正在运行。如果是,需要用以下命令来stop和mask(不再应用)Iptables。
#systemctl status iptables
# systemctl stop iptables
# systemc mask iptables
进行 Firewall配置之前,先讨论一下区域这个概念。默认情况就有一些有效的区域。我们需要网络接口分配区域。区域规定了区域是网络接口信任或者不信任网络连接的标准。区域包含服务和端口。接下来让我们讨论 Firewall中那些有用的区域。在 Firewall中应用了区域的概念默认已经定义了几个区域,如图1所示。
数据包要进入内核一定要通过这些区域中的一个,而不同的区域里定义的规矩是不一样的(即信任度不一样,过滤的强度也不一样)。可以根据网卡所连接的网络的安全性来断定,这张网卡的流量到底应用哪个区域如图2所示,来自eth1的流全部应用优生信任区域的过滤规矩eth1的流量应用公共区域的过滤规矩。一张网卡同时只能绑定到一个区域。默认的几个区域(由 Firewall供给的区域)按照从不信任到信任的次序排序。
丢弃区域( drop zone):如果应用丢弃区域,任何进入的数据包将被丢弃。这个类似与我们之前应用的 ptables-j drop。应用丢弃规矩意味着将不存在响应,只有流出的网络连接有效。
阻塞区域( block zone):阻塞区域会拒绝进入的网络连接,返回icmp-host-prohibited,只有服务器已经建立的连接会被通过。
公共区域( public zone):只吸收那些被选中的连接,而这些通过在公共区域中定义相干规矩实现。服务器可以通过特定的端口数据,而其他连接将被丢弃。
外部区域( external zone):这个区域相当于路由器的启用假装( masquerading)选项。只有指定的连接会被吸收,而其他连接将被丟弃或者不被吸收。
隔离区域( DM zone):如果想要只容许部分服务器能被外部访问,可以在DMZ区域中定义。它也拥有只通过被选中的连接的特征。
工作区域( work zone):在这个区域,我们只能定义内部网络。比如私有网络通信才被容许。
家庭区域( home zone):这个区域专门用于家庭环境。我们可以利用这个区域来信任网络上其他主机不会侵害你的主机。它同样只容许被选中的连接。
内部区域( internal zone):这个区域与工作区域类似,只通过被选中的连接。
信任区域( trusted zone):信任区域容许所有网络通信通过。
现在我们对区域有很好的认识了,让我们应用以下的命令来找出有用的区域、默认区域并列出所有的区域吧。
#firewall-cmd-get- zones //找出有用的区域
#firewall-cmd- get-default-zone//找出默认区域
# firewall-cmd-list- all-zones//列出所有的区城
NAT简介
NAT英文全称是 Network Address Translation,中文意思是网络地址转换,容许一个整体机构以一个公用P地址涌现在 Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技巧。
这个功效最常见的处所就是我们在家里的宽带上网,本来一家只能让台电脑上网,因为一次拨号只会被分配一个P地址,但是通过无线路由器,我们的手机等设备也能上网。此时无线路由器就应用了NAT功效,将连上Wif的设备的P转换成了找号连接获得的那个IP地址,这样我们的手机才干上网。以上是大致的原理。NAT还可以分为SNAT和DNAT等,DNAT是修正目标P地址,SNAT就是修正起源P地址。
