202208025

iptables防火墙
关闭两项功能：
1.selinux（生产中也是关闭的）
2.iptables（生产中看情况，内网关闭，外网打开），大并发的情况，不能开iptables，影响性能；我们使用硬件防火墙

1.容器：包含或者说属于的关系
2.Netfilter/iptables是表的容器，iptables包含的各个表
（filter,NAT,MANGLE,RAW）
filter表是iptables默认使用的表
3.iptables的表又是链的容器
链：INPUT,OUTPUT,FORWARD,PREROUTING,POSTOUTING


4.链(chains)是规则容器：
5. 规则(policy)：一条条过滤的语句
（所有链名要大写，对于filter表的控制是我们实现本机防火墙功能的重要手段，特别是对INPUT链的控制）
查看现在防火墙的规则：# iptables -L -n


清除默认规则：
iptables -F//清除所有规则，不会处理默认的规则
iptables -X//删除用户自定义的链
iptables -Z//链的计数器清零

列出所有的网络连接#lsof -i
列出谁在使用某个端口#sof -i :3306

封端口：iptables -A INPUT -p tcp --dport 9001 -j DROP
封IP：iptables -I INPUT -p tcp --dport 18:80 -j DROP (封掉22端口18-80之间包含22)

部署防火墙：
1.清理当前所有规则和计数器
#iptables -F//清除当前所有链的规则
#iptables -X//删除用户自定义的链
#iptables -Z//清除当前所有链的计数器
2.配置允许SSH登录端口进入
#iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT
提示：此步为了防止执行下面的步骤，把自己关外面
3.设置允许本机lo通信规则
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT
4.设置默认的防火墙禁止和允许规则
#iptables -P(大写) INPUT DROP
#iptables -P OUTPUT ACCEPT
#iptables -P FORWARD DROP
允许合法的进入（例）
#iptables -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT
#iptables -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT
#…
5.允许业务服务端口对外访问（允许http服务无条件通过）
out service | 允许普通的外部服务 80
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT （dport端口）
6.允许icmp类型协议通过
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
提示：如果不想开，就不执行此行命令
#iptables -A INPUT -p icmp icmp --icmp-type 8 -j ACCEPT
7.允许关联的状态包通过（web服务不要使用FTP服务）
#允许关联的状态包
iptables -A INPUT -m state --state ESTABLLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLLISHED,RELATED -j ACCEPT
(linux中使用nmap命令扫描端口
namp 10.0.0.19 -p 1-65535)

永久保存成配置文件
在上面的命令行配置中所有的命令结果仅仅存放于内存中，重启服务就会丢，我们需要将其保存成配置文件
#/etc/init.d/iptables save
将当前规则保存到/etc/sysconfig/iptables
#cp /etc/sysconfig/iptables /etc/sysconfig/iptables.ori