CentOS教程之CentOS体系iptables防火墙设置

欢迎大家来到仓酷云论坛！1、防火墙简介
1、功效：
1）经由过程源端口，源IP地点，源MAC地点，包中特定标志和方针端口，IP，MAC来断定数据包是不是能够经由过程防火墙
2）支解内网和外网【附带的路由器的功效】
3）分别要被回护的办事器
假如Linux办事器启用了防火墙，SELinux等的防护办法，那末，他的宁静级别能够到达B2[本来是C2]

2、防火墙分类
1）数据包过滤【尽年夜多半的防火墙】
剖析IP地点，端口和MAC是不是切合划定规矩，假如切合，承受
2）代办署理办事器

3、防火墙的限定
1）防火墙不克不及无效避免病毒，以是防火墙对病毒打击基础有效，可是对木马仍是有必定的限定感化的。
2）防火墙一样平常不设定对外部[办事器本机]会见划定规矩，以是对外部打击有效
【附】现现今的杀毒软件对病毒的辨认率约莫在30%摆布。也就是说，年夜局部的病毒是杀毒软件其实不熟悉的！

4、防火墙设置准绳【交织利用】
回绝一切，逐一同意
同意一切，逐一回绝
【附：】防火墙划定规矩：谁先设置，谁先请求！

5、Linux罕见防火墙
2.4/2.6内核iptables#如今经常使用的
2.2内核ipchains

二、iptables防火墙
1、布局：表-------链--------划定规矩

登录/注册后可看大图

2、表：在iptables中默许有以下三个表

filter表数据过滤表#filter过滤，浸透
NAT表内网与外网地点转换
Mangle特别数据包标志

3、链
filter表中：INPUTOUTPUTFORWARD

3、iptables基本语法
1、划定规矩的检察和分明
iptables[-t表名][选项]
选项：
-L检察
-F扫除一切划定规矩
-X扫除自界说链
-Z扫除一切链统计
-n以端口和ip显现
示例：
iptables-tnat-L#检察nat表中划定规矩
iptables-L#检察filter表中划定规矩，不写表名默许检察的是filter表！

2、界说默许战略
iptables-t表名-P链名ACCEPT|DROP#-P（年夜）界说默许战略

实例：
iptables-tfilter-PINPUTDROP
注重：不要把本人踢出办事器，以是这条划定规矩应当最初设定。

3、限制IP和网卡接口设置
iptables[-AI链][-io网卡接口][-p协定][-s源IP][-d方针ip]-j举措

申明：
-A追加链划定规矩#在链划定规矩最初到场此划定规矩
-IINPUT2#把此划定规矩拔出到INPUT链，酿成第二条划定规矩
-D链条数#删除指定链的指定条数防火墙
示例：
iptables-DINPUT2#删除input链上的第二条划定规矩

-ieth0#指定进进接口，要在INPUT链上界说
-oeth0#指定传出接口，要在OUTPUT链上界说
-p协定#[tcp/udp/icmp/all]
-j举措#[ACCEPT|DROP]

实例：
iptables-AINPUT-ilo-jACCEPT
同意本机回环网***信，在INPUT链
iptables-AINPUT-ieth0-s192.168.140.254-jACCEPT
同意254进进eth0
iptables-AINPUT-ieth0-s192.168.140.0/24-jDROP
回绝140网段会见

4、设定端口会见
iptables-AINPUT-ieth0-pall-s源ip--sport源端口-d方针IP--dport方针端口-j举措
#一样平常必要指定的是方针端口，并且必定要设置协定范例！

实例：
iptables-AINPUT-ieth0-ptcp-s192.168.140.0/24--dport22-jDROP

iptables-AINPUT-ieth0-ptcp-s192.168.140.0/24--dport137:139-jACCEPT#同意会见137到139端口
注重：指定端口时，协定不克不及用all，要指定切实协定，如TCP

5、模块挪用
-m模块名模块选项加载iptables功效模块

1）-mstate--stateESTABLISHED,RELATED
iptables-AINPUT-ieth0-mstate--stateESTABLISHED,RELATED-jACCEPT
#state形态模块罕见形态ESTABLISHED【联机乐成的形态】RELATED【前往包形态】

2）-mmac--mac-source依照mac地点限定会见
iptables-AINPUT-mmac--mac-sourceaa:bb:cc:dd:ee:ff-jDROP
#回绝某mac会见

3）-mstring--string"想要婚配的数据包中字串"
iptables-AFORWARD-pudp--dport53-mstring--string"tencent"--algokmp-jDROP
#经由过程dns回绝QQ登录
#--algo指定字符串形式婚配战略，撑持KMP和BM两种字符串搜刮算法，恣意指定一个便可

6、浅易防火墙实例
iptables-F
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
iptables-AINPUT-ptcp--dport80-jACCEPT
iptables-AINPUT-ptcp--dport22-jACCEPT
#iptables-AINPUT-ptcp--dport22-s<IP地点>-jACCEPT
iptables-AINPUT-ptcp--dport873-jACCEPT
iptables-AINPUT-ptcp--dport139-jACCEPT
iptables-AINPUT-ptcp--dport21-jACCEPT
iptables-PINPUTDROP


7、防火墙办事开机自启动
chkconfigiptableson

8、防火墙划定规矩开启自启动
1）serviceiptablessave
会把划定规矩保留到/etc/sysconfig/iptables文件中，重启会主动读取

2）a.手工写防火墙剧本
如vi/root/iptables.rule
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT
iptables-AINPUT-ptcp--dport80-jACCEPT
iptables-AINPUT-ptcp--dport22-jACCEPT
iptables-AINPUT-ptcp--dport873-jACCEPT
iptables-AINPUT-ptcp--dport139-jACCEPT
iptables-AINPUT-ptcp--dport21-jACCEPT
iptables-PINPUTDROP

b.付与实行权限chmod755/root/iptables.rule
c.开机运转vi/etc/rc.local
d.写进/root/iptables.rule
如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的好朋友们！

随着IT从业人员越来越多，理论上会有更多的人使用Linux，可以肯定，Linux在以后这多时间不会消失。

Linux的成功就在于用最少的资源最短的时间实现了所有功能，这也是符合人类进化的，相信以后节能问题会日益突出。

其次，Linux简单易学，因为我们初学者只是学的基础部分，Linux的结构体系非常清晰，再加上老师循序渐进的教学以及耐心的讲解，使我们理解起来很快，短期内就基本掌握了操作和运行模式。

任何一个叫做操作系统的东西都是这样子构成的：内核+用户界面+一般应用程序。

就这样，我们一边上OS理论课，一边上这个实验，这样挺互补的，老师讲课，一步一步地布置任务

熟读Linux系统有关知识，如系统目录树，有关内容可购书阅读或搜索论坛。

永中office 2004增强版安装只需要默认安装即可使用并操作大多与win系统雷同，打印机的配置和管理，记录光盘等。

为了更好的学习这门课程，我不仅课上认真听讲，课下也努力学习，为此还在自己的电脑上安装了Ubuntu系统。