CentOS 防火墙学习

防火墙是管理流经网络封包的一种机制，主要通过对网络封包包头分析，决定封包是否可以流经本机，一般防火墙有两种实现方式：1软件实现，比如360就有防火墙的功能，2通过硬件实现，它也具有自己的炒作系统，用来对封包分析过滤，性能较好。

防火墙主要由表结构和链组成

iptables结构
表
iptables是由几张表所组成，每张表又由几条链组成，每张表负责不同的封包处理机制，每条链负责不同的封包走向，具体采取的策略由链里的规则设定
filter表： 用于过滤封包
Nat表： 用于做地址转换

链

INPUT链： 存在于filter表，主要用于处理进入本机的封包
OUTPUT链： 存在于filter表,主要用于处理离开本机的封包
FORWARD链： 存在于fileter表，主要用于处理穿过本机的封包
PREROUTING： 存在于nat表，主要用于修改目的地址(DNAT)
POSTROUTING： 存在于nat表，主要用于修改来源地址(SNAT)

防火墙配置保存文件 /etc/sysconfig/iptables
防火墙配置保存命令 service iptables save

防火墙的启动/停止/重启
service iptables start
service iptables stop
service iptables restart

/etc/init.d/iptables restart

/etc/init.d/iptables stop

/etc/init.d/iptables start

chkconfig –level 35 iptables off(永久关闭防火墙)

指定特定的远程主机访问

iptables A input  -s  ip  -j   accept

更改防火墙内置链的默认策略并查看

iptables  -P INPUT  DROP

查看 表链策率

iptables -L

开启相关的端口

iptables -I INPUT -p tcp –dport 80 -j ACCEPT

-I 链名 [规则号码］ 插入一条规则

--dport 目的端口

-p协议

-j ACCEPT 允许封包通过而不拦截
-j DROP 不允许封包通过

查看端口开启情况

/etc/init.d/iptables status

参考资料：www.dbaoper.com