防火墙的分类

• 软件防火墙 ： 对数据包进行过滤 ， 软件包的传送、转发 … 是否允许某一个IP、 端口 加入主机。
  • 包过滤防火墙：网络层 的限制 、 控制流 、 控制访问广 、 防御效果好.
  • 应用层防火墙 ： 主要控制行为 （用户 、 访问时间 。。）
• 硬件防火墙 ： 防御 DDOS 攻击 、 大流量的攻击 、 同时兼容软件防火墙的一部分。
• iptable: 主要是包过滤防火墙 ， 对IP 端口、TCP、UDP、ICMP协议进行控制。

iptables 的表和链

• filter ： 进行过滤
• nat ： 网络地址转换 （内网 -> 公网 用户才能进行访问）
• input:（客户端(用户) - > 服务端 方向为：进入 ） 多数对这个进行操作
• output 返回 forward分享
• prerotting : 路由器转换、线路由器之前进行预处理。

filter过滤

• iptables -vnL 查询filter 表里的具体规则链 和详细信息
• 规则链 ： chain 过滤方向 input policy 默认过滤规则 注意大小写 因为显示了域名 所以很慢
• -A 在已有的规则链中添加 -I 插入到第一条规则链
  
  

• iptables 设置原则 ① 默认允许 只阻止 某些IP (软件测试的情况) ② 全部阻止 ，只允许我们某一些IP进行访问 。

  

• -D 删除指定规则
  
  

• 因为 阻止INPUT ： 客户端 -》 服务端的处理 ，如果没有阻止一些端口 ， 那么会对CPU造成开销。 阻止 OUTPUT ： 服务端 -> 客户端 ： 数据表——》 主机 ——》 客户端 被阻止了，数据被丢掉 不合理！！

• -i 设置 in出去网络接口（网卡）图中对于eth0

• -o 设置out出去网络接口 -p + 协议(tcp udp icmp ) 处理协议 --dport 协议接口
  

nat表 （网络地址装换表）

• PREROUTING 一般使用在 公司 内网的服务器 映射到外网 。
• POSTROUTING 公司内网通过某一个节点统一代理进行上网 内网 转外网
  待补充

iptables 的配置文件

• 使设置 永久保存 ！