1.防火牆
防火牆技術是通過有機結合各類用於安全管理與篩選的軟件和硬件設備,幫助計算機網絡於其內、外網之間構建一道相對隔絕的保護屏障,以保護用戶資料與信息安全性的一種技術。
防火牆技術的功能主要在於及時發現並處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題,其中處理措施包括隔離與保護,同時可對計算機網絡安全當中的各項操作實施記錄與檢測,以確保計算機網絡運行的安全性,保障用戶資料與信息的完整性,爲用戶提供更好、更安全的計算機網絡使用體驗。
2.firewall一切皆文本
2.1添加一個火牆中沒有的服務
2.2 permanent的文本替代方式
3. firewall相關命令
3.1 火牆端口
3.2 reload與complete reload
3.3 特定用戶的特定服務
5.iptables
5.1 什麼是iptables
IPTABLES 是與最新的 3.5 版本Linux 內核集成的 IP 信息包過濾系統。如果 Linux 系統連接到因特網或 LAN、服務器或連接 LAN 和因特網的代理服務器, 則該系統有利於在 Linux 系統上更好地控制 IP 信息包過濾和防火牆配置。
防火牆在做數據包過濾決定時,有一套遵循和組成的規則,這些規則存儲在專用的數據包過濾表中,而這些表集成在 Linux 內核中。在數據包過濾表中,規則被分組放在我們所謂的鏈(chain)中。而netfilter/iptables IP 數據包過濾系統是一款功能強大的工具,可用於添加、編輯和移除規則。
iptables 組件是一種工具,也稱爲用戶空間(userspace),它使插入、修改和除去信息包過濾表中的規則變得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否則需要下載該工具並安裝使用它。
5.2 iptables的組成
iptables由兩部分組成:
(1) framework: netfilter hooks function鉤子函數,實現網絡過濾器的基本框架。
(2) rule utils: iptables 規則管理工具
5.3 iptables的三鏈五表
總體說來,iptables就是由“三表五鏈”組成。
三表:
filter | 過濾,防火牆,過濾數據包 |
---|---|
Nat | 用於網絡地址轉換(IP、端口) |
Mangle | 拆解報文,作出修改,封裝報文 |
五鏈:
INPUT | 進來的數據包應用此規則鏈中的規則,input匹配目的IP是本機的數據包 |
---|---|
PREROUTING | 對數據包做路由選擇前應用此規則鏈中的規則,prerouting用來修改目的地址用來做DNAT |
FORWARD | 轉發數據包時應用此規則鏈中的規則,forward匹配流經本機的數據包 |
POSTROUTING | 對數據包做路由選擇後應用此規則鏈中的規則,postrouting用來修改源地址用來做SNAT |
OUTPUT | 外出的數據包應用此規則鏈中的規則 |
6.iptables的應用
6.1 iptables使用相關參數
6.2 SNAT&DNAT
7.添加服務默認不存在端口