Windows系统，CentOS6.5, 7操作系统防火墙规则

Windows系统
windows7：
https://jingyan.baidu.com/article/ea24bc39a757d1da62b33128.html
Windows10：
http://www.win10zhijia.net/xtjc/windows10/2016/0331/2473.html
Windows防火墙——穿透与防御：
https://bbs.kafan.cn/thread-1456448-1-1.html
配置Windows Server 2008防火墙 - 允许被Ping：
netsh firewall set icmpsetting 8
netsh firewall set icmpsetting 8 disable
高级安全Windows防火墙：
http://blog.csdn.net/ab601026460/article/details/61924238

CentOS系统
linux6.5:
iptables规则
[网络封包的过滤]
(http://img.blog.csdn.net/20171023153129411?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvc2lnZWVyZGFpZHVpd2FuZw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)

规则–顾名思义就是规矩和原则，规则就是决定如何处理一个包的语句。如果一个包符合所有的条件，我们就用相应的处理动作来处理。

Linux下的封包机制：iptables
iptables利用封包过滤的机制，分析封包的表头数据，根据表头数据与定义的规则去对比，从而决定这个封包能否进入该主机还是应该被丢弃的一个过程，如果相同则动作，否则进入下一条。
三个表：filter/nat/mangle
filter:INPUT 与封包想进入主机有关
OUTPUT 与主机送出的封包有关
FORWARD 与主机转发传递到其他主机上有关
nat:PREROUTING 在进行路由判断之前所要进行的规则 （DNAT/REDIRECT）
POSTROUTING 在进行路由判断之后所要进行的规则 （SNAT/MASQUERADE）
OUTPUT 与发送出去的封包有关系
mangle:较少用

书写规则的语法格式为：
iptables 的命令参数
-L 列出防火墙当前的规则
-t 后面接tables，没使用时，默认使用filter表格
-n 不进行IP和hostname的反查，加快查询速度
-v 显示更多信息，包括封包总位数和相关网络接口

-P 定义策略
-A 定义规则，接最后
-I 定义规则，放最前

-F 清除所有已制定的规则
-X 清除所有使用者自定义的tables
-Z 清除tables里的计数和流量
书写规则的语法格式为：
iptables [-t table] command chains [creteria] -j action

-t table就是表名，filter/nat/mangle三个表中的一个，默认是filter表

command告诉程序如何做，比如：插入一个规则，还是删除等

chains 链，有五个，PREROUTING POSTROUTING INPUT OUTPUT FORWARD

action 处理动作，有ACCEPT DENY DROP REJECT SNAT DNAT

iptables的策略建立参数
iptables –P INPUT DROP # 该封包直接被丢弃且客户端不知道为什么会被丢弃
iptables –P OUTPUT ACCEPT #该封包会被发送出去
iptables -P FORWARD ACCEPT #该封包会被转发走

iptables 的规则建立参数
-i 封包所进入的网络接口，后接eth0，lo等接口
-o 封包所传出的网络接口
-p 指定协议，主要封包的格式有TCP、UDP、ICMP、ALL
-s 来源IP/网段，192.168.6.76 192.168.6.0/24 !192.168.6.0/24
-d 目标IP/网段
-j 后接动作，例如ACCEPT/DROP/LOG
iptables 的规则建立参数
-sport 限制来源的端口
-dport 限制目标的端口
在使用这两个参数时，需要制定封包格式
例如：iptables –A INPUT –I eth0 –p tcp –sport 22–j ACCEPT
-m 根据指定状态做出对应反应
–state 和-m参数配合使用 ，一些状态的指定，有INVALID(无效封包)、ESTABLISHED(联机成功)、NEW（新建立的连接）、RELATED(表示对发出去的封包做出回应)
例如：iptables –A INPUT -m state –state RELATED,ESTABLISHED –j ACCEPT
使用场景：用本机访问远程主机的SSH或只允许被动响应的连接来源
ICMP的封包规则
-p icmp 当需要对ICMP封包格式过滤时
–icmp-type 后接ICMP的类型
例如:iptables –A INPUT –p icmp –icmp-type 8 –j drop
iptables –A INPUT –p icmp –icmp-type echo-request –j drop
iptales 的记录、恢复与测试
iptables-save > filename
iptables-restore < filename

CentOS7：
防火墙
systemctl stop firewalld 关闭firewall
systemctl distable firewalld 禁止开机启动

firewall-cmd –zone=public –add-port=80/tcp –permanent
firewall-cmd –zone=public –add-service=http –permanent

–zone #作用域
–add-port=80/tcp #添加端口，格式为：端口/通讯协议
–permanent #永久生效，没有此参数重启后失效
重启防火墙
firewall-cmd –reload
常用命令介绍
firewall-cmd –state ##查看防火墙状态，是否是running

firewall-cmd –reload ##重新载入配置，比如添加规则之后，需要执行此命令

firewall-cmd –get-zones ##列出支持的zone

firewall-cmd –get-services ##列出支持的服务，在列表中的服务是放行的

firewall-cmd –query-service ftp ##查看ftp服务是否支持，返回yes或者no

firewall-cmd –add-service=ftp ##临时开放ftp服务

firewall-cmd –add-service=ftp –permanent ##永久开放ftp服务

firewall-cmd –remove-service=ftp –permanent ##永久移除ftp服务

firewall-cmd –add-port=80/tcp –permanent ##永久添加80端口

iptables -L -n ##查看规则，这个命令是和iptables的相同的

man firewall-cmd ##查看帮助