防火墻的分類

主機型防火墻：主要保護的是服務器本機（過濾威脅本機的數(shù)據(jù)包）
網絡型防火墻：主要保護的是防火墻后面的其他服務器，如web服務器、FTP服務器等

Iptables介紹

Linux內核默認支持軟路由功能，通過修改內核參數(shù)即可開。

永久保存寫入規(guī)則文件：service iptables save
規(guī)則文件位置：/etc/sysconfig/iptables
Linux內核默認支持軟路由功能，通過修改內核參數(shù)即可開啟或關閉路由轉發(fā)功能：

[ root@proxy ~] # echo 0 > /proc/sys/net/ipv4/ip_forward //關閉路由轉發(fā) [ root@proxy ~] # echo 1> /proc/sys/net/ipv4/ip_forward //開啟路由轉發(fā) //注意以上操作僅當前有效，計算機重啟后失效 [ root@proxy ~] # echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf //可以實現(xiàn)永久有效規(guī)則

添加網關：

[ root@client ~] # nmcli connection modify eth0 ipv4.gateway 192.168.4.5 [ root@client ~] # nmcli connection up eth0

添加永久的網關：
創(chuàng)建一個對應網卡的路由配置文件

Vim /etc/sysconfig/network-scripts/route-eth0 192.168.142.100/32 via 192.168.142.10 192.168.142.200/32 via 192.168.142.20

然后重啟網絡 service network restart
查看 route -n 或 ip route
要添加目標為 10.41.0.0，子網掩碼為 255.255.0.0，下一個躍點地址為 10.27.0.1 的永久路由，請鍵入：

route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1

要添加目標為 10.41.0.0，子網掩碼為 255.255.0.0，下一個躍點地址為 10.27.0.1，接口索引為 0x3 的路由，請鍵入：

route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 if 0x3

IPtable的四張表：
Raw表：確定是否對該數(shù)據(jù)包進行狀態(tài)跟蹤
Mangle表：為數(shù)據(jù)包設置標記
Nat表：修改數(shù)據(jù)包的源、目的IP地址和端口
Filter表：確定是否放行該數(shù)據(jù)包
Iptable的五條鏈：
入站：PREROUTING INPUT
出站：POSTROUTING OUTPUT
轉發(fā)：PREROUTING POSTROUTING FORWARD
7個動作類型：
ACCEPT:允許通過
DORP:直接丟棄，不給出任何回應
REJECT：拒絕通過，必要時給出提示
LOG:記錄日志信息，然后傳給下一條規(guī)則繼續(xù)匹配
SNAT:修改數(shù)據(jù)包的源地址
DNAT:修改數(shù)據(jù)包的目的地址
REDIRECT:重定向
選項：
-A：在鏈的末尾追加一條規(guī)則
-I：在鏈的開頭（指定序號）插入一條規(guī)則
-L：列出所有規(guī)則條目
-n:以數(shù)字的形式顯示地址、端口等信息
-v:以更詳細的方式顯示規(guī)則信息
–line-numbers:顯示規(guī)則的序號
-D：刪除鏈內指定序號的一條規(guī)則
-P：為指定的鏈設置默認規(guī)則
-F：清空所有規(guī)則
常見的通用匹配條件：
-p:協(xié)議名
-s:源地址
-d:目標地址
-i:入站網卡
-o:出站網卡

Iptables -I INPUT -p icmp -j DROP iptables -D INPUT 1

常見的隱藏匹配條件：
–sport:源端口
–dport:目標端口
–icmp-type:icmp類型

Iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT iptables -D FORWARD 3 Iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT iptables -t filter -D INPUT 14

源端口：就是本機程序用來發(fā)送數(shù)據(jù)的端口，目的端口，就是對方主機用哪個端口接收，源IP目標IP，意思相似。
常見的顯示匹配條件：
-m multiport --sport 源端口列表 多端口匹配
-m iprange --src-range ip范圍
-m mac --macl-source mac地址范圍
-m state --state 連接狀態(tài)

Iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT iptables -t filter -nL INPUT --line-numbers //查看指定鏈的規(guī)則 iptables -t filter -D INPUT 14 //刪除規(guī)則 Iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT iptables -t filter -nL FORWARD --line-numbers iptables -t filter -D FORWARD 3 Iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t filter -nL INPUT --line-numbers iptables -t filter -D INPUT 1

注意事項和規(guī)律：
可以不指定表，默認為filter表；
可以不指定鏈，默認為對應表的所有鏈；
可以不指定鏈，默認為對應表的所有鏈；
選項/鏈名/目標操作用大寫字母，其余都小寫；

iptables - t filter - A INPUT - p tcp - j ACCEPT //追加規(guī)則至filter表中的INPUT鏈的末尾，允許任何人使用TCP協(xié)議訪問本機 iptables - A INPUT - s 192.168.4.100 - j DROP //丟棄192.168.4.100發(fā)給本機的所有數(shù)據(jù)包 iptables - A INPUT - p icmp - - icmp-type echo-request - j DROP //僅禁止入站的ping請求，不拒絕入站的ping回應包 iptables - A INPUT - p tcp - - dport 22 - m mac - - mac- source 52:54:00:00:00:0b - j DROP //拒絕52:54:00:00:00:0b這臺主機遠程本機 iptables - A INPUT - p tcp - m multiport --dports 20:22,25,80,110,143,16501:16800 - j ACCEPT //一次性開啟20,21,22,25,80,110,143,16501到16800所有的端口 iptables - A INPUT - p tcp - - dport 22 - m iprange --src- range 192.168.4.10- 192.168.4.20 - j ACCEPT注意，這里也可以限制多個目標IP的范圍，參數(shù)是--dst-range,用法與--src-range一致。 iptables - t nat - A POSTROUTING - s 192.168.4.0/24 - p tcp - - dport 80 - j SNAT - - to- source 192.168.2.5

SNAT策略：
局域網主機共享單個公網IP地址接入Internet

Iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 218.29.30.31

DNAT策略：
在Internet中發(fā)布位于企業(yè)局域網的服務器

Iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6

導出規(guī)則：
使用iptables-save工具，可以結合重定向輸出保存到指定文件

Iptables-save >1.iptables

導入規(guī)則：
使用iptables-restore工具，可以結合重定向輸入指定規(guī)則來源

Firewalld防火墻

firewall-cmd --get-default-zone #查看默認區(qū)域 firewall-cmd --set-default-zone=規(guī)則 #修改默認區(qū)域 firewall-cmd --zone=規(guī)則 --list-all #查看區(qū)域策略 firewall-cmd --zone=規(guī)則 --add-service=協(xié)議 #添加協(xié)議 firewall-cmd --reload #重新加載防火墻所有配置文件規(guī)則 --permanent 永久配置選項 firewall-cmd --zone=規(guī)則 --remove-service=協(xié)議 #刪除協(xié)議 firewall-cmd --zone=規(guī)則 --add-source=IP #添加源IP地址策略 firewall-cmd --zone=規(guī)則 --add-port=端口 #添加端口策略 firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80 #端口映射

總結

以上是生活随笔為你收集整理的iptables防火墙规则的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。