centos6中iptables单机网络防火墙的使用

概述：

iptables：基于软件的形式实现的一种防火墙的软件程序
Firewall：工作在主机或网络边缘，对进出的报文按事先定义的规则进行检查，并且由匹配到的规则进行处理的一组硬件或软件，甚至可能是两者的组合


主机防火墙：工作于主机边缘，只能对一台主机起到保护作用
网络防火墙：工作于网络边缘，对多台主机起到保护作用
 
网络层：网络防火墙
应用层：网关


IDS：入侵检测
   HIDS：OSSEC
   NIDS：snort
   Filesystem：tireware


IPS：入侵防御系统


honeypot：蜜罐


系统评估安全工具：
  Nessus，nmap 


iptables/netfilter：基于网络层的防火墙，连接追踪（状态检测）


ipfw ipchains iptables


iptables：防火墙规则编写工具
    netfiter：网络过滤器，是一个框架
        hook_function
    INPUT
    OUTPUT
    FORWARD
    POATROUTING
    PRERROUTING


过滤：做报文筛选
NAT：Network Address Transltion
     DNAT
     SNAT
mangle:
raw:


FORWARD:
    filter
    mangle
INPUT
    filter
    mangle
OUT
    filter
    mangle
    nat
PREROUTING
     mangle 
     nat
POSTOUTING
     mangle 
     nat


将控制强的放在前面，应用访问频繁的也要放在前面


四表：
   fileter，net，mangle，raw
五链
   PREROUTING（路由前） INPUT FOREARD OUTPUT POSTROUTING（路由后）


表和链的对应关系
     filer：INPUT,FORWARD.OUTPUT
     nat：PREROUTING OUTPUT POSTROUTING
     mangle：PREROUTING FORWARD POSTROUTING INPUT OUTPUT


规则：检查条件，处理机制，


通：白名单，默认为堵，只对能识别的进行放行
堵：黑名单，默认为通，只对能识别的进行阻截


检查条件：
   IP：SIP,DIP
   TCP：SPORT,DPORT,FLags
   UDP：SPORT,DPORT
   ICMP：ICMP-TYPE


扩展机制：
  time string state(connection-tracking)


处理机制：
    DROP(丢弃),
    REJECT(拒绝，并返回)
    ACCEPT(允许)
    SNAT
    DNAT
    RETURN(返回)
    REDIRECT(端口转发)
    LOG(只记录日志)

mangle：做防火墙标记

如何写规则

   -t 表 -L 列出 -n 以数值方式显示
  iptables [-t table] -N chain
     创建一条自定义的空规则链
  iptables [-t table] -X chain
     产出一条自定义的空规则链
  iptables [-t table] -E old-chin-name new-chain-name
    为链修改名
 iptables [-t table] -P chain—name target
    为链指定默认策略，修改默认的属性
  iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
  -F 清空链中的规则
     规则由编号，在链中自上而下，从1开始
  -L list 列出表中的所有规则
     -n：数字格式显示ip和port
     -v：显示信息，
        pkts：packets，被本规则所有匹配到的报文的个数
        baytes：被本规则所匹配到的所有报文的大小子和，单位是字节，会执行单位换算 
         target：目标，即处理机制
         port：协议一般为(TCP|UDP|ICMP)
         opt：可选项
         in：数据包的流入端口
         out：数据包的流出接口
         scource：