1.防火墻

防火墻，其實就是一個隔離工具：工作于主機或者網(wǎng)絡的邊緣

對于進出本主機或者網(wǎng)絡的報文根據(jù)事先定義好的網(wǎng)絡規(guī)則做匹配檢測，

對于能夠被規(guī)則所匹配的報文做出相應處理的組件(這個組件可以是硬件，也可以是軟件)

?

?

主機防火墻：1->2->5->6

網(wǎng)絡防火墻：1->3->4->6

2.四表五鏈

1）功能（也叫表）

filter:過濾，防火墻

nat:network address translation,網(wǎng)絡地址轉換

mangle:拆分報文，做出修改，在封裝起來

raw:關閉nat表上啟用的連接追蹤功能

2）鏈

PREROUTING

INPUT

FORWARD

OUTPUT

POSTROUTING

3）各功能可以在哪些表上實現(xiàn)

filter: INPUT,FORWARD,OUTPUT

nat:PREROUTING(DNAT),OUTPUT,INPUT,POSTROUTING(SNAT)

mangle: PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

raw:PREROUTING,OUTPUT

4）添加規(guī)則時的考量點

(1)要實現(xiàn)什么功能:判斷添加在哪張表上;

(2)報文流經的路徑:判斷添加在哪個鏈上;

5）firewalld優(yōu)先級

策略應用優(yōu)先級:raw, mangle, nat, filter

策略常用優(yōu)先級:filter,nat,mangle,raw

?

3.iptables命令

-L 列出指定鏈上的所有規(guī)則

-t 指定表，默認為filter

-n 以數(shù)字格式顯示地址和端口號

-v 顯示詳細信息

--line-number 顯示規(guī)則編號

-F 清空規(guī)則鏈，省略鏈表示清空指定表上的所有鏈

-N 創(chuàng)建新的自定義規(guī)則鏈

-X 刪除用戶自定義的空的規(guī)則鏈

-P 指定鏈的默認策略，包括accept、drop

-A 將新規(guī)則追加至指定鏈的尾部

-I 將新規(guī)則插入鏈的指定位置

-D 刪除指定鏈上的指定規(guī)則

4.匹配規(guī)則

-s 指定源ip（也可以指定網(wǎng)段）

-d 指定目標ip（也可以指定網(wǎng)段）

-p 指定協(xié)議

--dport 指定端口

-j jump至指定的targrt

-j target:jump至指定的target

ACCEPT:接受

DROP:丟棄

REJECT:拒絕

RETURN：返回調用鏈

REDIRECT:端口重定向

LOG:記錄日志

MARK:做防火墻標記

DNAT:目標地址轉換

SNAT:源地址轉換

MASQUERADE:地址偽裝

?

5.防火墻規(guī)則實例

清空所有策略:????????????????????????????????? iptables -F

清空自定義鏈:????????????????????????????????? iptables -X

自定義一個鏈?????????????????????????????????? iptables -N old_forward

修改自定義鏈的名字???????????????????????????? iptables -E old_forward new_forward

把filter中forward鏈的默認策略打成drop????????? iptables -P FORWARD DROP???????????????

查看filter表中的策略并且顯示行數(shù):?????? ???????iptables -L -n --line-number???

刪除filter表中forward鏈中的第9條策略:????????? iptables -t filter -D FORWARD 9

?

限制所有主機(0.0.0.0)拒絕ping本主機???????????????????

iptables -t filter -A INPUT -s 0.0.0.0 -d 192.168.254.24 -p icmp -j REJECT???

顯示所有主機(0.0.0.0)拒絕通過ens33網(wǎng)卡ping本主機??? 　　

iptables -t filter -A INPUT -d 192.168.254.24 -i ens33 -p icmp -j REJECT

?

設置轉發(fā)規(guī)則使內網(wǎng)主機可以訪問外網(wǎng)主機

?

iptables -t nat -A POSTROUTING -s 192.168.200.2 -d 172.16.100.2 -p tcp --dport 80 -j SNAT --to-source 172.16.100.1:80

防火墻也可以用于端口轉發(fā)

?

轉載于:https://www.cnblogs.com/Agnostida-Trilobita/p/11090607.html

總結

以上是生活随笔為你收集整理的firewalld防火墙简介的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。