Linux中的防火墙（粗糙版）

防火墙的配置和策略

安全技术：

入侵检测系统：特点是不阻断网络访问，量化，定位的方式来锁定内外网络的危险情况，提供告警服务和事后监督为主。

说白了就是默默看着你，没有主动行为

入侵防御系统：特点是以透明模式工作，分析数据包，木马，病毒，服务攻击等进行准确的分析判断，判定之后会立即阻断。

他是主动地有效的保护网络安全

是所有数据进入指定网络的必经之路

防火墙就是入侵防御系统(人工配置或者系统预设)：主要就是隔离，工作在网络或者主机的边缘

对进出网络或者主机的数据包基于一定规则的检查。而且在匹配到某规则时，由规则定义做出相应的处理动作

只有允许策略的数据包，才能够通过

防水墙：ensp.他是不透明的一种工作方式，你干什么都会有记录，但是你自己不知道

保护范围：

主机防火墙：只能保护当前一台主机

网络防火墙：可以保护整个防火墙另一侧的局域网

网络协议：

网络层防火墙：iptables firwalld 包过滤防火墙，对数据包进行过滤

应用层防火墙：

iptables 就是包过滤防火墙

面试题：通信的五要素和四要素：

五要素：

源IP和目的IP

源端口和目的端口

协议（tcp/udp）

四要素：

源IP和目的IP

源端口和目的端口

iptables:属于用户态防火墙

用户态：面向使用对象，我们就是使用工具，配置策略

内核态：代码层（开发考虑的）

iptables的配置规则生效之后，会立即生效，无须重启

centos7之前，iptables是默认配置，现在默认配置是firewalld

之后要使用iptables需提前将firewalld关闭

面试题：四个表组成：

row表：控制数据包的状态跟踪，以及可以决定是否跳过后续的处理。(关闭还是启用数据包的跟踪机制，加快数据包穿越防火墙的速度)

mangle表：修改数据包的头部信息(修改数据包的标记位规则)

nat表：用于网络地址转换，可以改变数据包的源IP地址和目的IP地址

filter表：是iptables的默认表，用于过滤数据包，可以控制数据包的进出。以及是否接受或者拒绝数据包

每个表里面都有链：链里面有5个链：

INPUT链：数据包进入本机的规则

OUTPUT链：数据包出本机的规则

PREROUTING链：数据包进入本机之前，是否做地址转换

POSTROUTING链：数据包离开本机之前，是否要做地址转换

FORWARD链：是否运行数据包通过本机进行转发

四个表……5个链……每个链里面都有对应的规则

规则就是我们人工配置的策略

数据包进入本机之后，匹配表是由优先级的

row…………mangle………net…………filter

PS:到工作中千万不要这么干，发现服务无法启动不要去关防火墙。 生产的防火墙都是白名单。清空防火墙策略，你也要倒霉。

iptables命令的格式和相关选项：

格式：

iptables -t 表名 管理选项 链名 匹配条件 -j 控制类型

不加 -t 表名 默认就是fiter表

不加链名，就是指所有链，不推荐如此操作

管理选项：

-A：在指定链的末尾追加一条

-I：在指定链中插入一条新的规则，根据编号来进行插入，不指定序号，直接插入当前链中的第一条(不推荐)

-P：指定默认策略

-D：删除规则

-R：修改或者替换规则（不推荐）

-L：查看

v:显示详细信息

n:所有字段以数字形式显示

-F：清空链当中的所有规则（慎用）

-X：清空自定义链的规则

匹配条件：

-p:指定匹配数据包的协议类型

-s：指定匹配数据包的源IP地址

-d:指定匹配数据包的目的IP地址

-i：指定数据包进入使用本机的网络接口

-o：指定数据包离开本机使用的网络接口

-sport：指定源端口

-dport:指定目的端口

控制类型：

ACCPET:允许数据包通过

DROP:直接丢弃数据包而且没有任何回应信息

REJECT：拒绝数据包通过，会给一个响应信息

SNAT:修改数据包的源地址

DNAT：修改数据包的目的地址

规则内的匹配顺序：

自上向下按照顺序依次进行检测，找到匹配的规则立刻停止，如果在链中找不到规则，则会按照该链默认策略处理

1.如果策略已保存过，写在配置文件中的保存，导入到iptables，重启服务即可

2.机房调整

3.炸

命令：

iptables -F #清空所有策略

iptables -vnL

iptables -vnL --line-numbers

iptables -t filter -A INPUT -p icmp -j REJECT #禁止所有主机ping本机，包括本机

iptables -t filter -A INPUT -p icmp -j ACCEPT #允许ping通，-A在前一条规则后添加

PS：匹配到了就不会在匹配后面的规则

iptables -t filter -I INPUT 1 -P icmp -j ACCEPT #指定序号插入,插入到第一条,他是立即生效

iptables -vnL --line-numbers #查看行规则的位置

iptables -t filter -I INPUT 1 -p icmp -j DROP #

iptables -A INPUT -s 192.168.86.12 -p icmp -j REJECT #指定拒绝主机

iptables -t filter -I INPUT 1 -s 192.168.86.12 -p tcp --dport 80 -j REJECT

删除规则：

iptables -D INPUT 需要删除的序号

修改规则：（极其不推荐此功能）

iptables -R INPUT 1 -s 192.168.86.12 -p tcp --dport 80 -j ACCEPT

修改默认策略：

iptables -P INPUT DROP

拒绝整个网段：

iptables -A INPUT -ptcp -s 192.168.86.0/24 --dport 80 -j REJECT

拒绝多个网络是用逗号隔开

拒绝多个端口是用：隔开，而且需要小的端口在前，大的端口在后

iptables -A INPUT -p tcp -m -- dport 22:80 -j REJECT

显示匹配：已-m扩展模块形式指出类型，多端口MAC地址，ip范围

多端口：

iptables -A INPUT -p tcp -m multiport -- dport 80,22,21,53 -j REJECT

IP范围：

iptables -A INPUT -p tcp -m iprange --src-range 192.168.86.11-192.168.86.14 --dport 80 -j REJECT

MAC地址：

iptables -A INPUT -m mac --mac-source mac地址 -j REJECT

对指定设备进行操作：

-i:数据的入口设备

-o:数据的出口设备

需求：所有从ens33接口进入的数据包，全部拒绝，而且指定IP地址DROP

iptables -A INPUT -i ens33 -s 192.168.86.12,192.168.86.13 -j DROP

iptables -A INPUT -p icmp -j ACCEPT

备份：

iptables-save > /opt/iptables.bak

cat /etc/sysconfig/iptables

iptables-restore < /opt/iptables.bak #这是临时导入

cat /opt/iptables.bak > /etc/sysconfig/iptables #这是永久导入

PS:导入配置文件之前，原文件一定要备份！