iptables防火墙

【●】iptables防火墙
1.概述
●一道保护性的安全屏障
—— 保护和隔离
2.linux包过滤防火墙
●RHEL7默认使用firewalld作为防火墙
●但firewalld底层还是调用包过滤防火墙iptables

firewalld---iptables-----netfilter
软件            应用软件------- >内核
firewalld-cmd --set-default-zone=trusted
把规则
●  iptables防火墙具有4表5链，4表分别是filter表、nat表、raw表、mangle表，5链分别是INPUT链、OUTPUT链、FORWARD链、PREROUTING链、POSTROUTING链。

案例一、iptables基本管理
步骤一：关闭firewalld，启动iptables服务
1）关闭firewalld服务器
[root@proxy ~]# systemctl stop firewalld.service 
[root@proxy ~]# systemctl disable firewalld.service

步骤二：熟悉iptables框架
1）iptables的4个表（区分大小写）：
iptables默认有4个表，nat表（地址转换表）、filter表（数据过滤表）、raw表（状态跟踪表）、mangle表（包标记表）。

2）iptables的5个链（区分大小写）：
INPUT链（入站规则）
OUTPUT链（出站规则）
FORWARD链（转发规则）
PREROUTING链（路由前规则）
POSTROUTING链（路由后规则）

步骤三：iptables命令的基本使用方法
1）iptabels语法格式
[root@proxy ~]# iptables  [-t 表名]  选项  [链名]  [条件]  [-j 目标操作]
[root@proxy ~]# iptables  -t  filter  -I  INPUT -p  icmp  -j  REJECT     #icmp为ping的协议
[root@proxy ~]# iptables -F    #清空所有规则
[root@proxy ~]# iptables -t filter -I  INPUT   -p  icmp  -j  ACCEPT
[root@proxy ~]# iptables  -I  INPUT  -p  icmp  -j  REJECT
●注意事项与规律：
#可以不指定表，默认为filter表
#可以不指定链，默认为对应表的所有链
#按顺序匹配，匹配即停止，如果没有找到匹配条件，则执行防火墙默认规则
#选项/链名/目标操作用大写字母，其余都小写
###################################################################
●目标操作：
# ACCEPT：允许通过/放行
# DROP：直接丢弃，不给出任何回应
# REJECT：拒绝通过，必要时会给出提示
# LOG：记录日志，然后传给下一条规则

● ptables命令的常用选项
      类别          选项                 描述
                       -A              追加一条防火墙规则至链的末尾位置
添加规则           -I              插入一条防火墙规则至链的开头

                        -L              查看iptables所有规则
查看规则          -n              以数字形式显示地址、端口等信息
              --line-numbers  查看规则时，显示规则的行号
                                                   
                       -D               删除链内指定序号（或内容）的一条规则          
删除规则          -F