一.火墙介绍:是位于内部网络及外部网络间的防御屏障,保护服务器的安全
分为三类: netfilter | iptables | firewalld
二.火墙默认策略:
默认三张表:filter(经过内核的数据)| nat(不经过内核的数据)| mangle(filter/nat不够时用)
默认五条链:input(输入) output(输出 ) forward(转发) postrouting(路由后) prerouting(路由前
三.火墙间切换:
systemctl stop firewallld / iptables 停止火墙
systemctl disable firewalld / iptables 关闭火墙
systemctl mask firewalld / iptables 禁用火墙
systemctl enable --now iptables firewalld 开启火墙
systemctl unmask firewalld / iptables 关闭禁用
四.iptables常用命令
增加策略其他主机可以访问
——————————————————————————————————————————
当添加拒绝访问策略后仍然可以访问是因为火墙是按顺序执行策略
——————————————————————————————————————————
用命令把所要执行的策略插入到前面
——————————————————————————————————————
删除第几条策略
————————————————————————————————————————
更改第几条策略
————————————————————————————————————————
添加 更改 删除 链
———————————————————————————————————————
iptables -n 不做解析 iptables -L 查看 iptables -t 指定表名称
iptables -A 添加策略 iptables -p 协议 iptables -s 来源
iptables -j 动作 iptables -dport 目的地端口
iptables -R 更改 iptables -i 插入 iptables -D 删除
iptables -P 更改默认规则 iptables -N新建链 iptables -X删除链
五.火墙策略的保存
iptables -F 清除刷新策略
service iptables save 永久保存策略
六.火墙优化
数据包状态: RELATED(建立过连接的) ESTABLISHED(正在连接到) NEW(新的)
当第一条策略验证完数据包后 后面添加的策略的数据包可直接链接 ,并拒绝其他新的数据包
七.nat表设定:
-t nat(指定nat表) -A POSTROUTING(路由之后) -o ens192(从该网卡输出)
-j SNAT(原来的地址) --to-source(伪装)
若要主机2ping通或连接主机3 需要在双网卡主机1中添加策略
链接后在主机3中查看发现为主机1
————————————————————————————————————————
-A PREROUTING(路由前) -i(把从该网卡进来的数据) -j DNAT --to-dest(伪装)
主机3要连接回主机2需要在双网卡主机1中添加策略
连接后为连接的主机2
内核路由功能的查看开启:
路由功能的查看
路由功能的开启
vim /etc/sysctl.conf sysctl -P 生效
八. firewalld常用命令
查看默认域 
查看生效的域
改变默认域 
指定数据来源访问
删除数据来源访问
添加删除指定域接口
删除高级规则
扫一扫
148
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
