iptables防火墙

常见防火墙选用 硬件

开源软件:iptables (默认规则改为 INPUT DROP)

云服务器:安全组(阿里云 白名单[默认是拒绝])Iptables使用 执行过程 Iptables 4表5链

filter nat mangle raw
filter : INPUT
nat : PREROUTING POSTROUTING

pre prefix xxx之前routing route
post xxx之后

准备Iptables环境Iptables功能之防火墙-filter

封IP 封端口 准许某个ip访问 网段访问

实际生产iptables配置
Iptables功能之内网服务器上外网(共享上网) Iptables功能之端口转发

2. 常见防火墙

选用公司网站入口使用的硬件防火墙、三层路由带有防火墙功能 Iptables访问量小 C5 C6 默认，CentOS 7 Firewalld(关闭 安装iptables)
SELinux

3. 名词(关系)与单词

image.png

4. 防火墙执行过程

1. 防火墙是层层过滤的，实际是按照配置规则的顺序从上到下，从前到后进行过滤的。

2. 如果匹配上规则，即明确表示是阻止(DROP)还是通过(ACCEPT)数据包就不再向下匹配新的规则。

3. 如果规则中没有明确表明是阻止还是通过的，也就是没有匹配规则，向下进行匹配，直到匹配默认 规则得到明确的阻止还是通过。

4. 防火墙的默认规则是所有规则执行完才执行的。

image.png

5. 四表五链

5.1 整体说明 4表及作用

image.png

参考查询帮助: man iptables

5.2 4表中的5链

image.png

[图片上传中...(image.png-7cccd6-1562068013669-0)]

5.2.1 filter表

image.png

5.2.2 nat表

image.png

5.2.3 Mangle表 主要负责修改数据包中特殊的路由标记，如TTL，TOS，MARK等，这个表定义了5个链

(chains):

6. 防火墙之filter表

6.1 环境准备

image.png image.png

6.2 配置规则-禁止访问22端口

image.png

配置防火墙规则注意事项:
1. 去机房重启系统或者登陆服务器删除刚才的禁止规则。
2. 让机房人员重启服务器或者让机房人员拿用户密码登录进去 3. 通过服务器的远程管理卡管理(推荐)
4. 先写一个定时任务，每5分钟就停止防火墙
5. 测试环境测试好，写成脚本，批量执行

6.3 iptables 命令及参数

image.png image.png image.png

6.4 filter表其他规则配置 6.4.1 只让10.0.0.0/24网段进行访问

只要是10.0.0.0/24 局域网的用户 访问m01 都ACCEPT
此例子主要限制:网段或ip地址

[图片上传中...(image.png-71d478-1562068421216-0)]

6.4.2 准许或禁止端口