1、防火墙基础
网络防火墙、主机防火墙
硬件防火墙、软件防火墙
网络安全的知名企业:深信服、思科、天融信
硬件防火墙:思科(AIR-CT5508-300-K9)
华为
2、四表五链
四表:filter (INPUT,FORWARD,OUTPUT)
nat (PREROUTING,POSTROUTING,OUTPUT)
raw (PREROUTING,OUTPUT)
mangle (五条)
五链:INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
四表在同一个链中有顺序(优先级)
raw>mangle>nat>filter
3、防火墙配置
- iptables -L 查看所有规则
iptables -F 清空规则 - iptables -t filter -D INPUT 1 某个链的某个规则
- iptables -t fitle -L 查看指定表的规则
- iptables -nvl --line-number
-n:转化成数字
-v:显示详细信息
–line-number:显示链下规则的序号
加载模块:modprobe +要加载的模块 如下图
target:
ACCEPT:容许,接受
DROP:丢弃
REJECT:拒绝
iptables -t filter -l INPUT -s 192.168.42.102 -j DROP
从上往下执行,放在前面的先执行
增
iptables -t filter -I INPUT -s 192.168.1.130 -j DROP
iptables -t filter -I INPUT -s 192.168.1.130 -j REJECT
iptables -t filter -I OUTPUT -d 192.168.1.130 -j DROP
iptables -t filter -A INPUT -s 192.168.42.102 -j DROP
iptables -t filter -I INPUT 2 -s 192.168.42.102 -j ACCEPT #具体添加到哪一行
iptables -t filter -I INPUT -s 192.168.1.130 -p ICMP -j DROP #禁ping
iptables -t filter -I INPUT -s 192.168.1.130 -p tcp --dport 80 -j REJECT #禁curl
iptables -t filter -I INPUT -p ICMP -s 192.168.42.145,192.168.42.102 -j ACCEPT
iptables -t filter -I INPUT -p ICMP -s 192.168.42.0/24 -j ACCEPT
iptables -t filter -I INPUT -p ICMP ! -s 192.168.42.145 -j ACCEPT #在192.168.42.0/24 屏蔽了 192.168.42.145
- -t:指定操作的表
- -I:指定插入规则到哪个链中
- -s:指定“匹配条件”中的源地址
- -j:指定“匹配条件”中的动作
实例一
增加规则,丢弃所有来自192.168.1.20的所有报文
实例二
再增加一条新规则,接受所有来自192.168.1.20的所有报文
排除
iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -I INPUT -p tcp --sport 22 -j ACCEPT
iptables -t filter -I INPUT -j REJECT #拒绝所有
-
-s:原地址
-
-d:目的地址
-
-p:协议
-
–dport:目标端口
-
–sport:源端口
-
-I:添加到第一条
-
-A:追加到最后
删
iptables -F 清理所有规则
iptables -t filter -D INPUT 2
iptables -t filter -D INPUT -p tcp --sport 22 -j ACCEPT
实例
删除接受来自192.168.1.20的所有报文
改
iptables -t filter -R INPUT 2 -p tcp --dport 80 -s 192.168.42.102 -j ACCEPT
实例
将丢弃来自192.168.1.20的所有报文修改成接受
查
iptables -nvL --line-number
- -n:转化成数字
- -v:显示详细信息
- -L:表示列出规则,在-L后加上链名时表示查看指定表的指定链中的规则
保存规则
service iptables save 保存到文件,/etc/sysconfig/iptables
iptables-save > /etc/syscongif/iptables 输出规则到屏幕
md5sum /etc/sysconfig/iptables 比较两个文件是否相同