目录

一、什么是防火墙

二、iptables

1.链的概念

INPUT链：

OUTPUT链：

FORWARD链：

PREROUTING链：

POSTROUTING链：

（局域网出互联网）在对数据包作路由选择之后，应用此链中的规则，如SNAT。

2.表的概念

– nat表：

– mangle表：

– raw表：

3.iptables语法格式和命令参数

5.实验二：禁止所有人ssh远程登录该服务器

6.实验三：禁止某个主机地址ssh远程登录该服务器，允许该主机访问服务器的web服务。服务器地址为172.24.8.128

三、firewalld

1.firewalld-cmd命令参数

2.禁止某个ip地址进行ssh访问

3.配置端口转发（在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口）

4.此规则将本机80端口转发到192.168.1.1的8080端口上

一、什么是防火墙

防火墙：防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。

防火墙又可以分为硬件防火墙与软件防火墙。硬件防火墙是由厂商设计好的主机硬件，这台硬件防火墙的操作系统主要以提供数据包数据的过滤机制为主，并将其他不必要的功能拿掉。软件防火墙就是保护系统网络安全的一套软件（或称为机制），例如Netfilter与TCP Wrappers都可以称为软件防火墙。这儿主要介绍linux系统本身提供的软件防火墙的功能，那就是Netfilter，即数据包过滤机制。

数据包过滤，也就是分析进入主机的网络数据包，将数据包的头部数据提取出来进行分析，以决定该连接为放行或抵挡的机制。由于这种方式可以直接分析数据包头部数据，包括硬件地址，软件地址，TCP、UDP、ICMP等数据包的信息都可以进行过滤分析，因此用途非常广泛（主要分析OSI七层协议的2、3、4层）。由此可知，linux的Netfilter机制可以进行的分析工作有：

1、拒绝让Internet的数据包进入主机的某些端口；

2、拒绝让某些来源ip的数据包进入；

3、拒绝让带有某些特殊标志（flag）的数据包进入，最常拒绝的就是带有SYN的主动连接的标志了；

4、分析硬件地址（MAC）来决定连接与否。

虽然Netfilter防火墙可以做到这么多事情，不过，某些情况下，它并不能保证我们的网络一定就很安全。例如：

1、防火墙并不能有效阻挡病毒或木马程序。（假设主机开放了www服务，防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞，或者请求www服务的数据包本身就是病毒的一部分时，防火墙是阻止不了的）2、防火墙对于内部LAN的攻击无能为力（防火墙对于内部的规则设置通常比较少，所以就很容易

造成内部员工对于网络无用或滥用的情况）

netfilter这个数据包过滤机制是由linux内核内建的，不同的内核版本使用的设置防火墙策略的软件不一样，在红帽7系统中firewalld服务取代了iptables服务，但其实iptables服务与firewalld服务它们都只是用来定义防火墙策略的“防火墙管理工具”而已，他们的作用都是用于维护规则，而真正使用规则干活的是内核的netfilter。

二、iptables

防火墙会从以上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为（即放行或阻止）。如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略。一般而言，防火墙策略规则的设置有两种：一种是“通”（即放行），一种是“堵”（即阻止）。当防火墙的默认策略为拒绝时（堵），就要设置允许规则（通），否则谁都进不来；如果防火墙的默认策略为允许时，就要设置拒绝规则，否则谁都能进来，防火墙也就失去了防范的作用。

iptables服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下：

在进行路由选择前处理数据包，用于目标地址转换（PREROUTING）；

处理流入的数据包（INPUT）；

处理流出的数据包（OUTPUT）；

处理转发的数据包（FORWARD）；

在进行路由选择后处理数据包，用于源地址转换（POSTROUTING）。

1.链的概念

iptables开启后，数据报文从进入服务器到出来会经过5道关卡，分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后)：

INPUT链：

当接收到防火墙本机地址的数据包(入站)时，应用此链中的规则；

OUTPUT链：

当防火墙本机向外发送数据包(出站)时，应用此链中的规则；

FORWARD链：

当接收到需要通过防火墙发送给其他地址的数据包(转发)时，应用此链中的规则；

PREROUTING链：

（互联网进入局域网）在对数据包作路由选择之前，应用此链中的规则，如DNAT；

POSTROUTING链：

（局域网出互联网）在对数据包作路由选择之后，应用此链中的规则，如SNAT。

2.表的概念

iptables提供了四种表：

– filter表：主要用于对数据包进行过滤，根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG)，所谓的防火墙其实基本上是指这张表上的过滤规则，对应内核模块iptables_filter；

– nat表：

network address translation，网络地址转换功能，主要用于修改数据包的IP地址、端口号等信息(网络地址转换，如SNAT、DNAT、MASQUERADE、REDIRECT)。属于一个流的包(因为包的大小限制导致数据可能会被分成多个数据包)只会经过这个表一次，如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作，也就是说，余下的包不会再通过这个表。对应内核模块iptables_nat；

– mangle表：

拆解报文，做出修改，并重新封装，主要用于修改数据包的TOS(Type Of Service，服务类型)、TTL(Time To Live，生存周期)指以及为数据包设置Mark标记，以实现Qos(Quality Of Service，服务质量)调整以及策略路由等应用，由于需要相应的路由设备支持，因此应用并不广泛。对应内核模块iptables_mangle；

– raw表：

是自1.2.9以后版本的iptables新增的表，主要用于决定数据包是否被状态跟踪机制处理，在匹配数据包时，raw表的规则要优先于其他表，对应内核模块iptables_raw。我们最终定义的防火墙规则，都会添加到这四张表中的其中一张表中。

3.iptables语法格式和命令参数

语法格式：iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

iptables的参数说明：

4.实验一：搭建web服务，设置任何人能够通过80端口访问。

[root@localhost ~]#  iptables -I INPUT -p tcp --dport 80 -j ACCEPT #允许任何人通过80端口访问
[root@localhost ~]# iptables  -L --line-numbers  #按数字查看
[root@localhost ~]# iptables -D INPUT 1   #删除INPUT 1

5.实验二：禁止所有人ssh远程登录该服务器

[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 -j REJECT
删除设置的拒绝ssh连接：
[root@localhost Desktop]# iptables -D INPUT 1

6.实验三：禁止某个主机地址ssh远程登录该服务器，允许该主机访问服务器的web服务。服务器地址为172.24.8.128

拒绝172.24.8.129通过ssh远程连接服务器：
[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 22 -j REJECT
允许172.24.8.129访问服务器的web服务：
[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 80 -j ACCEPT

三、firewalld

相比于传统的防火墙管理工具，firewalld支持动态更新技术并加入了区域的概念。区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以选择不同的集合，从而实现防火墙策略之间的快速切换。

firewalld中常见的区域名称（默认为public）以及相应的策略规则：

1.firewalld-cmd命令参数

2.禁止某个ip地址进行ssh访问

# 禁止某个ip地址进行ssh访问：
[root@good~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"

3.配置端口转发（在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口）

# 配置端口转发（在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口）：
[root@good~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="172.24.8.0/24" forward-port port="5423" protocol="tcp" to-port="80"'# 生效配置
[root@good~]# firewall-cmd --reload

4.此规则将本机80端口转发到192.168.1.1的8080端口上

# 此规则将本机80端口转发到192.168.1.1的8080端口上：[root@good~]# firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:todaddr=
192.168.1.1 --permanent

linux中iptable和firewalld详解相关推荐

Linux中的ps指令详解
[时间]2018.12.16 [题目]Linux中的ps指令详解转载地址:https://www.cnblogs.com/exe19/p/5511733.html 概述要对进程进行监测和控制,首先 ...
linux cut命令学习,Linux中的cut 命令详解
今天小编要跟大家分享的文章是关于Linux中的cut 命令详解.cut 命令在Linux和Unix中的作用是从文件中的每一行中截取出一些部分,并输出到标准输出中.我们可以使用 cut 命令从一行字符串 ...
linux bin fuser,Linux中fuser命令用法详解
描述: fuser可以显示出当前哪个程序在使用磁盘上的某个文件.挂载点.甚至网络端口,并给出程序进程的详细信息. fuser显示使用指定文件或者文件系统的进程ID. 默认情况下每个文件名后面跟一个字母 ...
linux etc passwd权限,Linux中/etc/passwd配置文件详解
原标题:Linux中/etc/passwd配置文件详解 /etc/passwd文件: 系统用户配置文件,存储了系统中所有用户的基本信息,并且所有用户都可以对此文件执行读(r)操作. 查看文件内容: / ...
在Linux中ipcs命令,linux中ipcs命令使用详解
linux中ipcs命令使用详解用途报告进程间通信设施状态. 语法代码如下: ipcs [-mqs] [-abcopt] [-C core] [-N namelist] -m 输出有关共享内存( ...
6.Linux中vi/vim编辑器详解
文章目录前言一.vim/vi 介绍二.vi/vim学习图(初级) 三.文本编辑(状态)概览四.使用vi打开文本的方式五.命令模式 1.进入插入模式(进行文本编辑) 2.从插入模式切换为命令行 ...
Linux中top命令参数详解、常用快捷键
1.命令 1.简介 top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于Windows的任务管理器. 显示系统当前的进程和其他状况: top是一个动态显示过程 ...
linux中tail命令的作用,Linux中tail命令用法详解
tail命令也是一个非常常用的文件查看类的命令,今天就为大家介绍下Linux tail命令的用法. 更多Linux命令详情请看:Linux命令速查手册 Linux tail命令主要用来从指定点开始将文 ...
【linux】linux中fork（）详解（实例讲解）|fork的运行机制
目录 linux中fork()函数详解从一道面试题谈linux下fork的运行机制 linux中fork()函数详解原文:linux中fork()函数详解(原创!!实例讲解)_jason314的博 ...
linux中w命令参数详解
以下是是linux w 命令详解,希望对您有所帮助. 是linux w 命令详解功能说明:显示目前登入系统的用户信息. 语法:w [-fhlsuV][用户名称] linux w 命令补充说明:执行这项 ...

linux中iptable和firewalld详解