防火墙
1.核心:是数据报文过滤。
2.功能:
1)保护易受攻击服务;
2)控制内外网之间网络系统的访问;
3)集中管理内网的安全性,降低管理成本;
4)提高网络的私密性和私有性;
5)记录网络的使用状态,为安全规划和网络维护提供依据。
3.五元组(保障网络安全):
1)源IP
2)目的IP
3)源端口
4)目的端口
5)传输协议
iptables
一、定义:
Linux内核通过netfilter模块实现网络访问控制功能,在用户层我们可以通过iptables程序对netfilter进行控制管理。iptables由表tables、链chains、规则rules组成。可以对数据进行允许、丢弃、修改操作。
二、五条链
1.INPUT链:当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则。
2.OUTPUT链:当防火墙向外发送数据包(出站)时,应用此链中的规则。
3.FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用词链中的规则。
4.PREROUTING链:在对数据包做路由选择之前,应用此链中的规则,如DNAT。
5.PSOTROUTING链:在对数据包做路由选择之后,应用此链中的规则,如SNAT。
三、四张表
1.filter表:数据包过滤:
主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包(DROP、ACCEPT、REJECT)。
2.nat表:地址转换:主要用于修改数据包的IP地址、端口好信息。
3.mangle表:报文重构:拆解报文,做出修改并重新封装的功能。
4.raw表:链路追踪主要用于决定数据包是否被状态跟踪机制处理。
优先级顺序:raw–>mangle–>nat–>filter
四:命令格式
-A:新增加一条规则到该链表的最后一行;
-L:查看当前运行的防火墙规则表;
-D:从规则链中删除一条规则(输入完整的规则删除或按编号删除);
-F:清除所有规则表;
-P:设置某条规则链的默认动作;
-I:插入一条规则到该规则链表的第一行;
-R:替换某条规则,必须指定编号,规则替换不会改变顺序;
-n:查看当前运行的防火墙规则表;
-i:后面跟网卡名称,指定数据包从哪块网卡进入;
-o:后面跟网卡名称,指定数据包从哪块网卡出去;
-p:后面跟协议类型(tcp,udp,icmp等);
-s:后面跟源ip;
-d:后面跟目的ip;
–sport:后面跟源端口号;
–dport:后面跟目的端口号;
-m:提供更多的匹配参数;如:
-m state --state NEW,ESTABLISHED,RELATED
-m multiport --dports 80,8080
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT –to-source 172.16.100.1
将192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1(源IP地址转换)
iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp --dport 80 -j DNAT --todestination 172.16.100.2
目的地址转换要做在到达网卡之前进行转换,所以要做在PREROUTING这个位置上(目的IP地址转换)
FIREWALLD
一、定义:使用服务(service)和区域(zero)代替了iptables的规则(rule)和链(chain)。
二、区域
三、使用方法
1.直接编辑配置文件 /etc/firewalld
2.使用图形化界面firewall-config
3.使用firewall-cmd命令
firewall-cmd --add-service=http 添加一个服务(运行生效,不保存规则)
firewall-cmd --permanent --add-service=http 永久生效,只有重启或重载时生效
firewall-cmd --reload 重新加载
富规则
386
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
