Iptables与Firewalld防火墙

1.Iptables命令

     iptables命令用于创建数据过滤和NAT规则，默认启用。

1.1 规则链和策略

iptables命令中的控制类型：

    ACCEPT：:运行通过

    LOG:记录日志信息，传递给下一条规则继续匹配。

    REJECT：拒绝通过，必要时给出提示。

    DROP：直接丢弃，不给出任何回应。

规则链依据数据包的位置不同而进行分类：

    PREROUTING：在进行路由选择前处理数据包

    INPUT：处理入站的数据包

    OUTPUT：处理出站的数据包

    FORWARD：处理转发的数据包

    POSTROUTING：在进行路由选择后处理数据包

Iptables中的规则表是用于容纳规则链的，规则表默认是允许状态的，那么规则链就是设置被禁止的规则，规则表是禁止状态的，那么规则链就是设置被允许的规则。

   raw表：确认是否对该数据包进行状态跟踪。

   mangle表：为数据包设置标记。

   nat表：修改数据包中源、目标ip地址或端口

   filter表：确定是否放行该数据包。

规则表的先后顺序：raw---mangle---nat--filter.

规则链的先后顺序：

入站顺序：PREROUTING--INPUT

出站顺序：OUTPUT---POSTROUTING

转发顺序：PREROUTINT---FORWARD---POSTROUTING

没有指定规则表则默认filter表；不指定规则链则指表内所有的规则链；在规则链中匹配规则时会依次检查，匹配即停止(Log规则除外)，没有匹配项就按照链的默认状态处理。

1.2 基本的命令参数

      iptables命令用于管理防火墙的规则策略，格式为iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]。

-P //设置默认策略 iptables -P INPUT （ACCEPT|DROP）-F //清空规则链-L //查看规则链-A //在规则链末尾加上新规则-I num //在规则链前面加一条新规则-D num //删除一条规则-s //匹配来源地址IP/MASK-d //匹配目标地址-i 网卡名称 //匹配从这块网卡流入的数据-o 网卡名称 //匹配从这块网卡流出的数据-p //匹配协议--dport num  //匹配目标端口号--sport num  //匹配来源端口号

1.3 SNAT和DNAT

     SNAT为源地址转换技术，能够让多个内网用户通过一个外网地址访问。

iptables -t nat -A POSTROUTING -s 局域网地址 -o 网卡名称 -j SNAT --to-source 外网地址

    DNAT为目标地址转换技术，能够让外网IP用户访问局域网内不同的服务器。

iptables -t nat -A PREROUTING -i 网卡地址 -d 外网接口地址 -p tcp --dport 80 -j DNAT --to-destination 内网地址

2. firewalld防火墙

    

防火墙的网络区域：

trusted   //运行所有的数据包home  //拒绝流入的数据包，除非和流出数据包相关或是ssh,mdns,ipp-client,samba-client,dhcpv6-client服务则允许internal  //和home一样work  //拒绝流入的数据包，除非和流出数据包相关或是ssh,ipp-client,dhcpv6-client服务则允许public  //拒绝流入的数据包，除非和流出数据包相关或是ssh,dhcpv6-client服务则允许external   //拒绝流入的数据包，除非和流出数据包相关或是ssh服务则允许dmz  //拒绝流入的数据包，除非和流出数据包相关或是ssh服务则允许block  //拒绝流入的数据包drop //拒绝流入的数据包

2.1 字符管理工具 

    firewall-cmd命令，参数有：

--get-default-zone //查询默认的区域名称--set-default-zone=区域名称 //设置默认的区域，永久生效--get-zones  //显示可用的区域--get-services //显示预先定义的服务--get-active-zones //显示当前正在使用的区域和网卡名称。。。。。。

允许名单： /etc/hosts.allow

拒绝名单：/etc/hosts.deny