firewalld和netfilter
selinux临时关闭用命令setenforcee 0 永久关闭需要使用编辑文件来进行关闭:如下
需要把SELINUX=enforcing改成SELINUX=disabled就可以永久关闭了。
使用命令gerenforce 如果是enforcing说明是打开状态如果显示的是permissive说明是关闭状态
在之前耳朵CenOS版本的防火墙为(netfilter),CenOS7的版本防火墙为firewalld。
关闭firewalld服务命令如下:、
安装iptables-services这样就可以使用以前得到版本的iptables了 命令如下
让他开机启动,启动iptables服务:
netfilter5表5链介绍
netfilter的5个表
filter表主要用于过滤包,是系统预设的表,这个表也比较常用。该表内建3个链:INPUT.OUTPUT以及FORWARD INPUT链作用于进入本机的包,OUTPUT链作用本机送出的包,FORWARD链作用于那些跟本机无关的包。
nat表主要是用于网络地址转换,它也有3个链。PREROUTING链作用是在包刚刚到达防火墙时改变他的目的地址(如果需要的话),OUTPUT链的作用是改变本地产生的包的目的地址。POSTROUTING链的作用是在包即将离开防火墙时改变其原地址。
mangle表主要用于给数据包做标记,然后根据标记去操作相应的包。这个表几乎不怎么用。
raw表可以实现不追踪某些数据包,默认系统的数据包都会被追踪,但追踪必然消耗一定的资源。所以可以使用raw表来指定某些端口的包不被追踪。这个表也不经常用。
security表在Cenos6中并没有,用于强制访问控制(MAC)的网络规则。这个暂时用不到。
查看5表使用命令:man iptables
etflilter的5个链
5个链分别是:PREROUUTING INPUT,FORWARG,OUTPUT,POSTROUTING.
PREROUUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机。
FORWARG:通过路由比起后,目的地不在本机。
OUTPUT:由本机产生,向外转发。
POSTROUTING:发送到网卡接口之前。
iptables基本语法
iptables是一个非常复杂和功能丰富的工具
1.查看规则以及清除规则:
-t:选项后面跟表名。
-nvL:表示查看该表的规则
-n:表示不针对ip反解析主机名。
-L:表示列出
-v:表示列出信息更加详细。
如果不加-t 则表示打印filter表的相关信息。如下:
清除规则中常用的有:
iptables -F
iptables -Z
这里的-F表示把所有的规则全部删除,如果不加-t指定表,默认只清除filter表的规则。-Z表示把包以及流量计数置零。
增加或者删除一条规则。如下:
这里没有加 -t 所以针对的是filter表。规则选项作用如下;
-A/-D:表示增加或删除一条规则
-I:表示插入一条规则,其效果和-A一样。
-p:表示指定协议,可以使tcp udp或者icmp。
–dport:跟-p一起使用,表示指定目标端口
–sport:跟-p一起使用,表示指定源端口。
-s:表示指定源IP。(可以是ip段)
-d:表示指定目的ip。(可以是IP段)
-j:后面跟动作,其中ACCEPT表示允许包,DROP表示丢弃包,REJECT表示拒绝包
-i:表示指定网卡(不常用,但是会偶尔使用)