Linux系统-防火墙策略管理
一、iptables
1.防火墙介绍
作用: 提供一道保护性的安全屏障,起到保护隔离作用,隔离公网和私网之间
分类:硬件防火墙 软件防火墙
程序:RHEL6以下iptables命令,RHEL7以上firewalld命令
firewalld底层是调用包过滤防火墙iptables
包过滤防火墙:工作在3层,对ip包进行过滤处理
2. iptables介绍
安装软件名:iptables-services
四表五链:表是防火墙功能,链是防火墙过滤规则
3.四表五链介绍
(1)四表,防火墙功能表
包过滤表filter表
地址转换表nat表
包标记表mangle表
状态跟踪表raw表
(2)五链,防火墙过滤规则
INPUT
OUTPUT
FORWARD
PREROUTING
POSTROUTING
4.四表五链对应
包过滤表filter表- INPUT OUTPUT FORWARD
地址转换表nat表 - PREROUTING POSTROUTING OUTPUT
包标记表mangle表- PREROUTING POSTROUTING INPUT OUTPUT
状态跟踪表raw表 - PREROUTING OUTPUT
5.防护类型
根据保护对象主机,其他主机区分
主机型防火墙:服务运行后保护自己filter->INPUT
网络型防火墙:控制数据包是否运行经过本机filter->FORWARD
1.iptables命令格式
管理程序位置: /sbin/iptables
命令格式:
iptables [-t 表名] 选项 [链名] [匹配条件] [-j 目标操作]
格式结构:iptables <- 表 <- 链 <- 规则
保存配置:iptables-save > /etc/sysconfig/iptables
2.整体规则
顺序比对,匹配即停止,LOG除外
可以不指定表,默认为filter表
可以不指定链,默认为对应表的所有链
如果没有匹配的规则,则使用防火墙默认规则
选项/链名/项目操作用大写字母,其余都小写
设置完后必须保存配置
3.常用选项
(1)添加规则
-A
-I
(2)删除规则
-D
-F
(3)设置默认规则
-P
(4)查看规则
-L
-n
--line-numbers
4.匹配条件
(1)基本匹配条件
1)通用匹配
可直接使用,不依赖于其他条件或扩展,包括网络协议,IP地址,网络接口等条件
需要取反条件时,用叹号!
协议匹配: -p 协议名
地址匹配: -s 源地址 -d 目标地址
接口匹配: -i 数据接收网卡 -o 数据输出网卡
2)隐含匹配
要求以特定的协议匹配作为前提,包括端口,TCP标记,ICMP类型等条件
tcp/udp: --sport 源端口 --dport 目标端口
icmp: --icmp-type ICMP类型(请求类型echo-request 回应类型echo-reply)
(2)扩展匹配条件
1)扩展条件的方法
前提条件:有对应的防火墙模块支持
格式:iptables [-t 表名] 选项 [链名] [匹配条件] [-m 扩展模块 --扩展条件 条件值] [-j 目标操作