火牆

一、 火牆的基本命令

  iptables 

         -t      ##指定表名稱

         -n      ##不做解析

         -L      ##列出指定表中的策略

         -A      ##增加策略

         -p      ##網絡協議

         --dport   ##端口

         -s      ##數據來源

         -j      ##動作

         -N      ##增加鏈

         -E      ##改變鏈名稱

         -X      ##刪除鏈

         -D      ##刪除指定策略

         -I      ##插入策略

         -R      ##修改策略

         -P      ##修改默認策略

         ACCEPT   ##允許

         REJECT   ##拒絕

         DROP    ##丟棄

二、

   *）iptables    -nL      #查看火牆中的策略

    *）iptables  -F    ##刷掉火牆中的所有策略

   

 *）service  iptables save   ##保存當前策略

  

 *）iptables -A INPUT -i lo -j ACCEPT  ##允許lo迴環接口

  

  *）iptables -A INPUT -p tcp --dport 22 -j ACCEPT   ##允許22端口訪問

 *）iptables -A INPUT -s 172.25.254.28 -j ACCEPT  ##允許28主機訪問本機所有端口

 

 *）iptables -A INPUT -j  REJECT            ##拒絕所有主機訪問

  *）iptables -N  redhat    ##增加鏈redhat

 

 *）iptables -E  redhat  soo  ##改變鏈名稱

 

 *）iptables  -X  soo    ##刪除鏈

  

 *）iptables -D INPUT  2  ##刪除INPUT鏈中的第二條策略

 

 *）iptables  -I  INPUT 2  -p  tcp --dport 80 -j  REJECT  ##插入策略到INPUT中的第二行

 

 *）iptables -R INPUT 2 -p tcp --dport  80 -j ACCEPT  ##修改第二行策略

 

 *）iptables -P INPUT DROP  ##把INPUT表中的默認策略改爲DROP

 

三、防火牆路由設置

  sysctl   -a   |  grep  forward 

  echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.conf

  sysctl -p

  iptables -t nat -A PREROUTING -i eth1 -j  DNAT --to-dest 172.25.0.228

  iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.128

 

 測試： 利用172.25.0.228主機ping 172.25.254.151主機

  

 

四、使用命令行接口配置防火牆

 systemctl status firewalld

 systemctl stop iptables              ##關閉iptables

 systemctl mask iptables              ##禁用iptables

 systemctl start firewalld             ##開啓firewalld

 systemctl enable firewalld            ##開機自動開啓firewalld

 

 firewall-cmd --state    ##查看firewalld的狀態

 

 firewall-cmd --get-active-zone    ##查看當前活動的區域，並附帶一個目前分配給他們的接口列表

 

 firewall-cmd --get-default-zone  ##查看默認區域

 

 firewall-cmd --get-zone     ##查看所有可用區域

 

 firewall-cmd --zone=public --list-all     ##列出指定域的所有設置

 

 firewall-cmd --get-services      ##列出所有預設服務

 

 firewall-cmd --permanent --zone=internal --add-source=172.25.254.151

  ##設定網絡地址到指定區域  （--permanent永久生效 ，如果沒有 --zone=internal就會將172.25.254.151加到默認的區域）

  firewall-cmd --permanent --remove-source=172.25.254.151

 ##刪除所指定的網絡地址

  firewall-cmd --set-default-zone=trusted     ##設定默認區域爲trusted

firewall-cmd --get-default-zone     ##查看默認區域

firewall-cmd --permanent --remove-service=ssh

 ##將public默認策略裏的ssh服務刪除

firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.151 -p tcp --dport 22 -j ACCEPT

  ##設置除了151主機以外的所有主機都可以通過22端口

  ****）防火牆僞裝

 

 

 

 *****）端口轉發