----------
**三表五链:**三表: filter过滤表 nat转换表 mangle表五链: PREROUTING--->在进行路由选择前处理数据包 INPUT--->处理流入的数据包 FORWADR--->处理转发的数据包 OUTPUT--->处理流出的数据包 POSTROUTING--->在进行路由选择后处理数据包filter:默认使用INPUT FORWARD OUTPUT链NAT:默认PREROUTING OUTPUT POSTROUTING链Mangle:五个链一般:从内网---->外网 可控的INPUT链使用最多匹配动作:允许(ACCEPT)拒绝(REJECT)--->看到你的信息 拒绝扔掉 --->告诉你登记(LOG)不理睬(DROP)--->看到信息不理你(把你的消息扔掉)**基本的命令参数:****iptables命令一般根据源地址 目的地址 协议 服务类型等**
例如设置INPUT默认为DROP拒绝,iptables -P INPUT DROP此时远程ssh连接会断开,并且无法Ping通该服务器IP允许ICMP流量放行和SSH 22执行:iptables -I INPUT --p icmp -j ACCEPT 则可以Ping通该服务器IP执行:iptables -I INPUT -p tcp --dport 22 -j ACCEPT 则可以远程SSH连接
例如设置INPUT默认为DROP拒绝,iptables -P INPUT DROP此时远程ssh连接会断开,并且无法Ping通该服务器IP允许ICMP流量放行和SSH 22执行:iptables -I INPUT --p icmp -j ACCEPT 则可以Ping通该服务器IP执行:iptables -I INPUT -p tcp --dport 22 -j ACCEPT 则可以远程SSH连接 二、firewalld-----------
RHEL7默认的防火墙管理工具基于CLI 也可以基于GUI支持动态更新技术 加入区域zone概念区域---->策略规则1.在家中允许所有服务2.办公室允许文件共享服3.咖啡厅只能浏览网页规则:常见区域:默认区域public区域 默认规则策略
**firewalld命令** Firewalld-cmd 参数都是以长格式 RHEL7中 对参数可以补齐tab RHEL6中 对命令补齐 对参数无效
**使用firewalld配置的防火墙策略--->默认运行模式 Runtime模式,当前生效模式--系统重启会失效****永久模式 Permanent--->需要参数 --permanent** **设置的策略必须经过重启才生效** **立刻生效 --reload**事例:把原本访问本机的888端口的流量转发到 22端口 要求当前和长期都有效
**firewalld命令** Firewalld-cmd 参数都是以长格式 RHEL7中 对参数可以补齐tab RHEL6中 对命令补齐 对参数无效**使用firewalld配置的防火墙策略--->默认运行模式 Runtime模式,当前生效模式--系统重启会失效****永久模式 Permanent--->需要参数 --permanent** **设置的策略必须经过重启才生效** **立刻生效 --reload**事例:把原本访问本机的888端口的流量转发到 22端口 要求当前和长期都有效 Firewall优先级最高!!!--------
**SNT--为了解决ip地址缺乏**服务的访问控制列表TCP Wrappers 是THEL7 默认启用的流量监控系统 根据主机地址 和本机的目标服务两个原则1.编写拒绝规则时 填写的是服务名称 不是协议名称2.建议先写拒绝
Iptables--firewall--->软件层次 数据层次-------------------------------
Selinux--->Linux内核------------------
**Selinux--->Linux内核保护****Setenforce 改变运行状态****Getenforce 获取selinux状态****状态:** **Enforcing--记录警告 并且阻止** **Permissive--允许 记录警告但是不阻止** **Disabled--禁用****RHEL、CentOS 、Fedora 默认是Enforcing** **其余是Permissive**