防火墙的含义

firewalld：隔离功能

病毒防护：

1、入侵检测系统：在互联网访问的过程中，不阻断任何网络访问，也不会定位网络的威胁，提供告警和事后的监督，类似于监控。

2、入侵防御系统：透明工作模式，在判定为攻击行为或者是病毒威胁时，主动的隔断。

防水墙：

防止内部信息泄露的产品，网络，外设接口等等全访问的实现监控。

防火墙的隔离规则：

1、对进出网络或者主机的数据包基于一定的规则进行检查，匹配规则的则方行，不匹配的就会隔离在主机之外。防火墙会配置在网络边缘或者主机边缘。有主机防火墙和网络防火墙

Linux系统主机自带的防火墙：

iptables：centos7之前是系统的默认防护墙

firewalld：centos7系统的默认防护墙

ufw：ubuntu的防火墙，自带的，默认就没有规则。

iptables

属于用户态防火墙，通过表匹配链——>链中的规则对数据包放行或者拒绝进行匹配。

表是自带的

链是自有的

规则是人工配置，规则一旦配置，立即生效，不需要重启。

四表五链

四表

raw表：用来控制数据包的状态跟踪，决定是否跳过后续的处理流程。

mangle表：用于修改数据包的头部信息。

nat表：网络地址转换，改变数据包的源地址和目的地址。用于内网和外网之间通信。

filter表：用于过滤数据包，可以控制数据包的进出，以及接受或者拒绝数据包。

表的优先级

raw——>mangle——>nat——>filter（不指定表名时，默认就是filter）

五链

INPUT：处理数据包进入本机的规则

OUTPUT：处理本机发出的或者其他请求响应的数据包的规则，一般不做限制。

FORWARD：处理数据包转发到其他主机的规则

PREROUTING：处理数据包进入本机之前的规则（地址转换）

POSTOUTING：处理数据离开本机之后的规则（地址转换）

规则内的匹配顺序：

1、自上而下按照顺序依次进行检查，找到了匹配的规则即停止。

2、链内没有规则，就会按照链的默认策略进行处理。

命令格式

iptables   -t   表名（默认就是filter表）   管理选项   链名   匹配的条件   -j   控制类型 

管理选项：

• -A：在指定链的末尾添加一条规则
• -I（大写）：在注定链中插入一条新的规则，根据序号来进行插入
• -P：指定链的默认规则（慎用，没有特殊需求不要修改）
• -D：删除链里的规则，根据规则的序号进行删除
• -R：修改，替换某一条规则（不常用）
• -L：查看规则
• -n：数字化的展示规则的字段
• -v：查看详细的信息
• --line-number：查看规则时带有编号
• -F：清除链中的所有规则（慎用）
• -X：清空自定义链的规则

匹配条件：

• -p：匹配数据包的协议
• -s：匹配数据包的源地址
• -d：匹配数据包的目的地址
• -i：指定数据包进入本机的网络接口
• -o：数据包离开本机使用的网络接口
• --sport：指定源端口
• --dport：指定目的端口

控制类型：

• ACCEPT：允许数据包通过
• DROP：直接丢弃数据包。没有任何回显信息。
• REJECT：拒绝数据包通过，但是会有一个回显信息。
• SNAT：修改数据包的源地址
• DNAT：修改数据包的目的地址

案例

查看规则-vnL

以上可以看出我们还未有新加入的规则

以上可以看出我们加入了一条新的规则，编号为1。

添加规则-A

拒绝其他主机ping本机-p

如我们在filter表中插入一个规则到INPUT链，匹配的协议是icmp。拒绝其他主机ping本机。

根据序号插入规则-I

如果我们想解除拒绝其他主机ping本机这条规则，使用iptables -A INPUT -p icmp -j ACCEPT命令，虽然能添加成功，但是依然没有效果，必须要将ACCEPT规则插入到上一条REJECT规则之前，才能生效。

拒绝指定主机ping本机-s

-s可以指定IP地址，REJECT和DROP都是表示拒绝的意思，但是DROP没有任何回显信息，如下

拒绝指定主机访问本机指定端口

如我们指定192.168.254.3这个主机访问本机指定端口80（nginx）

由上可以看出，加入这个规则后，192.168.254.3这个主机无法访问我们本机的nginx服务。

如我们拒绝自己主机对22（ssh）发出数据

这时候可以看出我们的ssh已经断开了

删除规则-D

删除规则-D要配合指定的序号，如我们删除序号2对应的规则

修改规则-R

修改链的默认策略-P

禁止数据访问设备-i

如禁止254这个网段从ens33设备进入本机

拒绝多个端口-m   multiport

-m：扩展模块

-m   multiport   --dport   目的端口列表

-m   multiport   --sport   源端口列表

禁止20这个ip禁止访问本机的端口80和22

方法1：这个方法必须是端口数小的在前面，大的在后面。

方法2：使用 -m   multiport 的形式，没有这个端口放前放后之说。

拒绝范围性ip地址-m   iprange

-m   iprange   --src-range   源ip地址的范围

-m   iprange   --dst-range   目的ip地址的范围

禁止 ip地址192.168.254.3-8 的主机访问本机的80端口

拒绝范围性mac地址-m   mac

-m   mac   --mac-source   源mac地址

策略的保存

策略添加完之后，只是暂时保存，并不是永久保存，需要添加到指定配置文件才能永久保存。

Ubuntu的保存

1、永久保存

先安装软件：apt -y install iptables-persistent

永久保存策略的配置文件在 /etc/iptables/ 目录下，分别是ipv4和ipv6配置文件。

iptables-save  >>  /etc/iptables/rules.v4        #策略永久保存到ipv4配置文件当中

这时候查看ipv4配置文件，以生产我们需要保存的策略

2、先将策略保存到指定文件，再直接导入到配置当中，这种方式虽然不是保存到配置文件中，但也算永久保存。

centos7的保存

先安装软件：yum -y install iptables-services

永久保存策略的配置文件是 /etc/sysconfig/iptables

iptables-save  >>  /etc/sysconfig/iptables       #永久保存

通信的要素

三大要素：协议、ip、端口

四大要素：源ip、目的ip、源端口、目的端口

五大要素：协议、源ip、目的ip、源端口、目的端口

端口，就是对应的应用在主机上的唯一标识。