防火墙简单介绍
概念:
是一种能够限制所转发的流量类型的路由器
类型:
1. 代理防火墙
本质上是运行一个或多个应用层网关的主机
1.1 HTTP代理防火墙
只能用于HTTP和HTTPS协议(Web)。
可以提供web缓存功能,加速防火墙内用户加载网页的速度
提供黑名单功能,阻止用户访问某些web网站
1.2 SOCKS防火墙
可以用于web之外的其他服务。
正在使用的SOCKS防火墙有4和5两个版本,第4版本支持基础的代理传输。
第5版支持认证、UDP传输和IPv6寻址。
2. 包过滤防火墙
能够根据一定条件过滤流过的数据包
防火墙管理工具
如iptables、firewalld,这里介绍iptables。
防火墙管理工具用来定义防火墙策略,并不是真正起到防火墙作用的工具,iptables下发的配置由内核层的netfilter网络过滤器来处理。
的规则
用于处理或过滤流量的策略条目称为规则。
PREROUNTING在进行路由选择前处理数据包
INPUT处理流入的数据包
OUTPUT处理流出的数据包
FORWARD处理转发的数据包
POSTROUTING在进行路由选择后处理数据包
策略
ACCEPT允许流量通过
REJECT拒绝流量通过
LOG记录日志信息
DROP丢弃
REJECT和DROP的区别:
REJECT会告知发送方信息已收到,但是被扔掉;DROP则是直接丢弃,不回复。
服务器的防火墙策略设置为REJECT后,客户端ping会出现目标端口不可达
服务器的防火墙策略设置为DROP后,客户端的ping会出现超时
iptables常用参数及命令
参数 | 说明 |
---|---|
-P | 设置默认策略 |
-F | 清空规则链 |
-L | 查看规则链 |
-A | 在规则链的末尾加入新规则 |
-I num | 在规则链的头部加入新规则 |
-D num | 删除某一条规则 |
-s | 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外 |
-d | 匹配目标地址 |
-i 网卡名称 | 匹配从这块网卡流入的数据 |
-o 网卡名称 | 匹配从这块网卡流出的数据 |
-p | 匹配协议,如TCP、UDP、ICMP |
--dport num | 匹配目标端口号 |
--sport num | 匹配来源端口号 |
查看已有的防火墙规则链
iptables -L
清除、添加规则:
清除已有的规则iptables -F
清除某条规则,清除流入的第一条规则iptables -D INPUT 1
在规则链的尾部添加规则iptables -A INPUT -s 192.168.0.0/24 -p tcp -j ACCEPT
在规则链的头部加入规则iptables -I INPUT -p tcp -j REJECT
拒绝某个ip访问本机某个端口
iptables -I INPUT -p tcp -s 192.168.0.33 --dport 33 -j REJECT
匹配协议字段-p不能少
端口可以指定范围,如下所示,禁止访问33到100端口
iptables -I INPUT -p tcp -s 192.168.0.33 --dport 33:100 -j REJECT
永久保存对规则的修改
iptables-save
或者service iptables save