firewalld防火墙
简介:防火墙是一个隔离工具,作用于主机或者网络的边缘;对进出于本主机或网络的报文根据实现定义好的网络规则做匹配检测;对于能够对规则所匹配的报文能够做出相应处理的组件(可以是硬件也可以是软件)。
firewalld不是服务,没有进程,因为他跑在内核里;ping的协议是icmp
SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。一、四表(功能)五链
四表:filter,nat,mangle,raw
五链:INPUT,OUTPUT,PREROUTING(DNAT),POSTROUTING(SNAT),FORWARD
二、数据报文的流向
流入:PREROUTING ---->INPUT
流出:OUTPUT ---->POSTROUTING
转发:PREROUTING ---->FORWARD ----->POSTROUTING
三、各功能在哪条链上实现
filter:INPUT,OUTPUT,FORWARD
nat:POSTROUTING,PREROUTING,INPUT,OUTPUT
mangle:INPUT,OUTPUT,PREROUTING,POSTROUTING,FORWARD
raw:PREROUTING,OUTPUT
四、路由发生的时刻(PREROUTING,POSTROUTING)
报文进入本机后,判断目标主机
报文发出之前,判断经由那个接口送往下一跳
五、添加规则是考量点
1.要实现什么功能:判断要添加到哪张表上
2.报文流经的路径:判断添加哪条链上
六、优先级
1.策略应用优先级(如果raw和nat上的规则相违背,先应用raw) raw,mangle,nat,filter
2.策略常用优先级 filter,nat,mangle,raw
七、iptables选项
①链管理:
-F 清空规则链,省略链,表示清空指定表上所有链
-N 创建新的自定义规则链
-X 删除用户自定义的空的规则链
-P 为指定链这是默认策略,对filter表中的链而言,默认策略通常有ACCEPT,DROP,REJECT
②规则管理
-A 将新规则添加到指定的链后面
-I 将新规则插入到指定位置
-D 删除制定链上的指定规则
③查看防火墙策略
-L 列出指定链上的所有规则
-n 以数字格式显示地址和端口号
-v 显示详细信息
--line-number 显示规则编号
④匹配条件
-s 检查源ip地址是否符合此处指定的地址范围
-d 检查目标地址
-p 检查报文中的协议(tcp|udp|icmp)
-j jump至指定的target
-i 只用与PREROUTING,INPUT,FORWARD链上(报文流入接口)
-o 仅能用于POSTROUTING,OUTPUT,FORWARD链上(报文流出接口)
八、实例
iptables -t filter -L -n #查看filter上的所有规则(-t是指定表,默认指定filter)
[root@localhost webserver]# iptables -F #清空所有规则
[root@localhost webserver]# iptables -X #删除自定义的链
[root@localhost webserver]# iptables -A INPUT -d 192.168.254.74 -p icmp -j REJECT
[root@localhost webserver]# iptables -A INPUT -d 192.168.254.74 -p icmp -j DROP #凡是平192.168.254.74的都拒绝
[root@localhost webserver]# iptables -L -n --line-number #以行数字来显示
[root@localhost webserver]# iptables -D INPUT 1 #删除filter表上INPUT链上的第一条规则
