RHEL7--第八章

Posted 2021-11-07 fantasyxo

Iptables与Firewalld防火墙

• 防火墙管理工具

依据策略对穿越防火墙自身的流量进行过滤；利用预先定制的策略来监控出入的流量；

防火墙策略可以基于流量的源目的地址，端口号，协议，应用等信息来定制；

firewalld与iptables

1：RHEL 7 系统中，firewalld防火墙取代了 iptables防火墙；防火墙管理工具；

2：iptables服务配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理；

3：firewalld服务则交由内核层面的nftables包过滤框架处理；

4：当前Linux系统中存在多个防火墙管理工具，便于管理防火墙策略；

• iptables

RHEL6之前的系统包括6，默认使用的防火墙服务；

1：策略与规则链

1）防火墙会至上而下的顺序来读取配置的策略规则；

2）策略规则的设置两种；

一种是 通，即放行；如果默认策略为允许，需设置拒绝规则；

一种是 堵，即阻止；如果默认策略为拒绝，需设置允许规则；

3）iptables服务把处理或过滤流量的策略条目称之为规则，多条规则组成一个规则链，规则链依据数据包处理位置的不同进行分类如下：

a：在进行路由选择前处理数据包（PREROUTING）;

b：处理流入的数据包（INPUT）；

c：处理流出的数据包（OUTPUT）；

d：处理转发的数据包（FORWARD）；

e：在进行路由选择后处理数据包（POSTROUTING）；

4）iptables服务的术语

ACCEPT：允许流量通过；

REJECT：拒绝通过；拒绝流量后会回复短信“你的信息收到，但被扔掉了”

LOG： 　记录日志信息；

DROP：  拒绝通过；拒绝流量后直接丢弃流量，无任何回应；

2：基本的命令参数

-P：　　　　设置默认策略；

-F：　　　　清空规则链；

-L：　　　　查看规则链；

-A：　　　　在规则链的末尾加入新规则；

-l num：　　在规则链的头部加入新规则；

-D num：　　删除一条规则；

-s：　　　　　　匹配来源地址IP/MASK，加叹号 ! 表示除这个IP 外；

-d：　　　　　　匹配目标地址；

-i 网卡名称：　　匹配从这块网卡流入的数据；

-o 网卡名称：　　匹配从这块网卡流出的数据；

-p：　　　　　　匹配协议，如 TCP ,UDP ,ICMP；

--dport num：　匹配目标端口号；

--sport num：　匹配来源端口号；