一、防火墻

1、簡(jiǎn)介

所謂“防火墻”是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如Internet）分開(kāi)的方法，它實(shí)際上是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，隔離技術(shù)。越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為最甚。

防火墻技術(shù)是通過(guò)有機(jī)結(jié)合各類用于安全管理與篩選的軟件和硬件設(shè)備，幫助計(jì)算機(jī)網(wǎng)絡(luò)于其內(nèi)、外網(wǎng)之間構(gòu)建一道相對(duì)隔絕的保護(hù)屏障，以保護(hù)用戶資料與信息安全性的一種技術(shù)。

防火墻技術(shù)的功能主要在于及時(shí)發(fā)現(xiàn)并處理計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行時(shí)可能存在的安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)葐?wèn)題，其中處理措施包括隔離與保護(hù)，同時(shí)可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全當(dāng)中的各項(xiàng)操作實(shí)施記錄與檢測(cè)，以確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計(jì)算機(jī)網(wǎng)絡(luò)使用體驗(yàn)。

2、功能

防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

① 網(wǎng)絡(luò)安全的屏障

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

② 強(qiáng)化網(wǎng)絡(luò)安全策略

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

③ 監(jiān)控審計(jì)

如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

④ 防止內(nèi)部信息的外泄

通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。除了安全作用，防火墻還支持具有Internet服務(wù)性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。

⑤ 日志記錄與事件通知

進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過(guò)防火墻，防火墻通過(guò)日志對(duì)其進(jìn)行記錄，能提供網(wǎng)絡(luò)使用的詳細(xì)統(tǒng)計(jì)信息。當(dāng)發(fā)生可疑事件時(shí)，防火墻更能根據(jù)機(jī)制進(jìn)行報(bào)警和通知，提供網(wǎng)絡(luò)是否受到威脅的信息。

3、應(yīng)用

1、內(nèi)網(wǎng)中的防火墻技術(shù)

防火墻在內(nèi)網(wǎng)中的設(shè)定位置是比較固定的，一般將其設(shè)置在服務(wù)器的入口處，通過(guò)對(duì)外部的訪問(wèn)者進(jìn)行控制，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，而處于內(nèi)部網(wǎng)絡(luò)的用戶，可以根據(jù)自己的需求明確權(quán)限規(guī)劃，使用戶可以訪問(wèn)規(guī)劃內(nèi)的路徑。總的來(lái)說(shuō)，內(nèi)網(wǎng)中的防火墻主要起到以下兩個(gè)作用：一是認(rèn)證應(yīng)用，內(nèi)網(wǎng)中的多項(xiàng)行為具有遠(yuǎn)程的特點(diǎn)，只有在約束的情況下，通過(guò)相關(guān)認(rèn)證才能進(jìn)行；二是記錄訪問(wèn)記錄，避免自身的攻擊，形成安全策略。

2、外網(wǎng)中的防火墻技術(shù)

應(yīng)用于外網(wǎng)中的防火墻，主要發(fā)揮其防范作用，外網(wǎng)在防火墻授權(quán)的情況下，才可以進(jìn)入內(nèi)網(wǎng)。針對(duì)外網(wǎng)布設(shè)防火墻時(shí)，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡(luò)活動(dòng)均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動(dòng)拒絕為外網(wǎng)提供服務(wù)。基于防火墻的作用下，內(nèi)網(wǎng)對(duì)于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無(wú)法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進(jìn)入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細(xì)記錄外網(wǎng)活動(dòng)，匯總成日志，防火墻通過(guò)分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。

二、Firewall問(wèn)題被問(wèn)了無(wú)數(shù)次！

1、簡(jiǎn)述

centos 7中防火墻是一個(gè)非常的強(qiáng)大的功能，在CentOS 6.5中在iptables防火墻中進(jìn)行了升級(jí)了。

動(dòng)態(tài)防火墻守護(hù)程序firewalld提供動(dòng)態(tài)管理的防火墻，支持網(wǎng)絡(luò)“區(qū)域”，以便為網(wǎng)絡(luò)及其關(guān)聯(lián)的連接和接口分配信任級(jí)別。它支持IPv4和IPv6防火墻設(shè)置。它支持以太網(wǎng)橋，并具有運(yùn)行時(shí)和永久配置選項(xiàng)的分離。它還有一個(gè)服務(wù)或應(yīng)用程序接口，可以直接添加防火墻規(guī)則。

2、區(qū)域

① 概念

由firewalld提供的區(qū)域按照從不信任到信任的順序排序；網(wǎng)絡(luò)區(qū)域定義了網(wǎng)絡(luò)連接的可信等級(jí)。這是一個(gè)一對(duì)多的關(guān)系，這意味著一次連接可以僅僅是一個(gè)區(qū)域的一部分，而一個(gè)區(qū)域可以用于很多連接。

② 區(qū)域的分類

- public

用于公共場(chǎng)所。您不相信網(wǎng)絡(luò)上的其他計(jì)算機(jī)不會(huì)損害您的計(jì)算機(jī)。僅接受選定的傳入連接。

- trusted

接受所有網(wǎng)絡(luò)連接。

- block

阻止傳入的網(wǎng)絡(luò)連接被拒絕，其中包含用于IPv4的icmp-host-prohibited消息和用于IPv6的icmp6-adm-prohibited。只能從系統(tǒng)內(nèi)啟動(dòng)網(wǎng)絡(luò)連接。

- drop

任何傳入的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄，沒(méi)有回復(fù)。只能進(jìn)行傳出網(wǎng)絡(luò)連接。

- external

對(duì)偽裝的進(jìn)入連接，一般用于路由轉(zhuǎn)發(fā)

3、firewall服務(wù)管理

[root@localhost ~]# systemctl status firewalld // 查看服務(wù)狀態(tài)

[root@localhost ~]# systemctl start firewalld // 啟動(dòng)服務(wù)

[root@localhost ~]# systemctl stop firewalld //關(guān)閉服務(wù)

[root@localhost ~]# systemctl restart firewalld // 重新啟動(dòng)服務(wù)

[root@localhost ~]# systemctl enable firewalld // 永久開(kāi)啟服務(wù)

[root@localhost ~]# systemctl disable firewalld // 永久關(guān)閉服務(wù)

[root@localhost ~]# systemctl is-enabled firewalld // 查看服務(wù)是否開(kāi)機(jī)自啟動(dòng)

4、firewall-cmd

① firewall-cmd基礎(chǔ)命令

[root@localhost ~]# firewall-cmd --version // 查看版本

[root@localhost ~]# firewall-cmd --help // 查看幫助

[root@localhost ~]# firewall-cmd --state // 顯示狀態(tài)

[root@localhost ~]# firewall-cmd --zone=public --list-ports // 查看所有打開(kāi)的端口

[root@localhost ~]# firewall-cmd --reload // 更新防火墻規(guī)則

[root@localhost ~]# firewall-cmd --get-active-zones // 查看區(qū)域信息

[root@localhost ~]# firewall-cmd --get-zone-of-interface=eth0 // 查看指定接口所屬區(qū)域

[root@localhost ~]# firewall-cmd --panic-on // 拒絕所有包

[root@localhost ~]# firewall-cmd --panic-off // 取消拒絕所有包

[root@localhost ~]# firewall-cmd --query-panic // 查看是否拒絕

② firewall-cmd配置管理

--permanent（--permanent永久生效，沒(méi)有此參數(shù)重啟后失效）

[root@localhost ~]# firewall-cmd --zone=block --list-all // 查看block策略

[root@localhost ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent // 永久開(kāi)啟tcp的80端口

[root@localhost ~]# firewall-cmd --zone=public --remove-port=80/tcp --permanent // 永久刪除tcp的80端口

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-source=192.168.4.207/24 // 永久開(kāi)啟此地址訪問(wèn)本機(jī)

[root@localhost ~]# firewall-cmd --permanent --zone=block --add-source=192.168.4.207/24 // 永久拒絕此地址訪問(wèn)本機(jī)

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=http // public區(qū)域中添加允許策略，讓http協(xié)議可以通過(guò)

[root@localhost ~]# firewall-cmd --permanent --zone=public --remove-service=http // public區(qū)域中添加允許策略，拒絕http協(xié)議通過(guò)

③ firewall-cmd地址偽裝與端口轉(zhuǎn)發(fā)

--permanent（--permanent永久生效，沒(méi)有此參數(shù)重啟后失效）

[root@localhost ~]# firewall-cmd --list-all --zone=external // 查看網(wǎng)關(guān)服務(wù)器的external區(qū)域是否開(kāi)啟了地址偽裝

masquerade: yes # 表示地址偽裝已啟用

[root@localhost ~]# firewall-cmd --zone=external --add-masquerade // 打開(kāi)IP地址偽裝（打開(kāi)端口轉(zhuǎn)發(fā)，首先需要打開(kāi)IP地址偽裝）

[root@localhost ~]# firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.100 // 轉(zhuǎn)發(fā)端口數(shù)據(jù)至另一個(gè)IP的相同端口

[root@localhost ~]# firewall-cmd --zone=external --add-forward-port=22:porto=tcp:：toport=4283 :toaddr=192.168.1.100 // 轉(zhuǎn)發(fā)端口數(shù)據(jù)至另一個(gè)IP的 4283 端口

[root@localhost ~]# firewall-cmd --zone=external --add-forward-port=23:porto=tcp:toport=4283 // 轉(zhuǎn)發(fā) tcp 23端口至 4283

三、原來(lái)Iptables應(yīng)該這樣用?。。?/h1>

我們知道iptables是按照規(guī)則來(lái)辦事的，我們就來(lái)說(shuō)說(shuō)規(guī)則（rules），規(guī)則其實(shí)就是網(wǎng)絡(luò)管理員預(yù)定義的條件，規(guī)則一般的定義為”如果數(shù)據(jù)包頭符合這樣的條件，就這樣處理這個(gè)數(shù)據(jù)包”。規(guī)則存儲(chǔ)在內(nèi)核空間的信息包過(guò)濾表中，這些規(guī)則分別指定了源地址、目的地址、傳輸協(xié)議（如TCP、UDP、ICMP）和服務(wù)類型（如HTTP、FTP和SMTP）等。當(dāng)數(shù)據(jù)包與規(guī)則匹配時(shí)，iptables就根據(jù)規(guī)則所定義的方法來(lái)處理這些數(shù)據(jù)包，如放行（accept）、拒絕（reject）和丟棄（drop）等。配置防火墻的主要工作就是添加、修改和刪除這些規(guī)則。

 

1、iptables簡(jiǎn)述

iptables防火墻存在四張表：

① filter表：過(guò)濾表，想要允許或拒絕數(shù)據(jù)包通過(guò)，需要將對(duì)應(yīng)規(guī)則寫入filter表中;

② nat表：地址轉(zhuǎn)換表，想要實(shí)現(xiàn)linux的路由轉(zhuǎn)發(fā)功能，需要在nat表中添加對(duì)應(yīng)規(guī)則；

③ mangle表：包標(biāo)記表，網(wǎng)絡(luò)中傳輸數(shù)據(jù)，發(fā)送的是數(shù)據(jù)包，每個(gè)數(shù)據(jù)包都有包頭信息，想要修改數(shù)

據(jù)包的包頭信息，需要將對(duì)應(yīng)規(guī)則寫入到mangle表中；

④ raw表：狀態(tài)跟蹤表，跟蹤本機(jī)發(fā)送的數(shù)據(jù)包，想要知道哪些人第一次訪問(wèn)本機(jī)，哪些人第二次訪問(wèn)本機(jī)，那些人第三次訪問(wèn)本機(jī)，需要將對(duì)應(yīng)規(guī)則寫入到raw表中；

每張表存在著固定的鏈：

1、filter表：

INPUT // 存放進(jìn)站流量規(guī)則；指入站流量，別人發(fā)給本機(jī)的數(shù)據(jù)包

OUTPUT // 存放出站流量規(guī)則；指出站流量，本機(jī)發(fā)給其他主機(jī)的數(shù)據(jù)包

FORWARD // 存放數(shù)據(jù)包轉(zhuǎn)發(fā)規(guī)則；軟路由，所有經(jīng)過(guò)本機(jī)轉(zhuǎn)發(fā)的數(shù)據(jù)包會(huì)通過(guò)FORWARD

2、nat表：

PREROUTING // 路由前

POSTROUTING // 路由后

OUTPUT // 出站

3、mangle表：

PREROUTING // 路由前

POSTROUTING // 路由后

INPUT // 存放進(jìn)站流量規(guī)則

OUTPUT // 存放出站流量規(guī)則

FORWARD // 存放數(shù)據(jù)包轉(zhuǎn)發(fā)規(guī)則

4、raw表：

PREROUTING // 路由前

OUTPUT // 出站

 

包過(guò)濾匹配流程

順序比對(duì)，匹配即停止（LOG除外）；若無(wú)任何匹配，則按該鏈的默認(rèn)策略處理

一個(gè)規(guī)則鏈中可以寫很多規(guī)則，防火墻匹配規(guī)則時(shí)：

1> 從上到下，順序匹配，匹配到規(guī)則就停止，不再匹配下面的規(guī)則；

2> LOG 屬于特殊操作，數(shù)據(jù)包進(jìn)入防火墻，只會(huì)記錄到日志中，不做其他任何操作；

3> 防火墻在所有的規(guī)則中都沒(méi)有找到匹配的規(guī)則，則按照每張表的默認(rèn)規(guī)則處理；

 

2、iptbales基礎(chǔ)

☆☆☆ 注意事項(xiàng)/整體規(guī)律：

① 可以不指定表，默認(rèn)為?lter表

② 可以不指定鏈，默認(rèn)為對(duì)應(yīng)表的所有鏈

③ 如果沒(méi)有匹配的規(guī)則，則使用防火墻默認(rèn)規(guī)則

④ 選項(xiàng)/鏈名/目標(biāo)操作用大寫字母，其余都小寫

管理程序位置： /sbin/iptables

命令組成結(jié)構(gòu)： iptables [-t 表名] 選項(xiàng) [鏈名] [條件] [-j 目標(biāo)操作]

基本的目標(biāo)操作：

- ACCEPT：允許通過(guò)/放行

- DROP：直接丟棄，不給出任何回應(yīng)

- REJECT：拒絕通過(guò)，必要時(shí)會(huì)給出提示

 

? 插入規(guī)則時(shí)，默認(rèn)會(huì)將規(guī)則插入到鏈的最頂端

[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j DROP // 插入防火墻規(guī)則，拒絕其他主機(jī)通過(guò)icmp協(xié)議ping本機(jī)，丟棄數(shù)據(jù)包

 

3、iptbales進(jìn)階

-A： 在鏈的末尾追加一條規(guī)矩

-I：在鏈的開(kāi)頭（或指定序號(hào)）插入一條規(guī)則

-L：列出所有的規(guī)則條目

-n：以數(shù)字形式顯示地址、端口等信息

--line-numbers：查看規(guī)則時(shí)，顯示規(guī)則的序號(hào)

-D：刪除鏈內(nèi)指定序號(hào)（或內(nèi)容）的一條規(guī)則

-F：清空所有的規(guī)則

-P：為指定的鏈設(shè)置默認(rèn)規(guī)則

 

不指定表，則默認(rèn)向filter表中插入規(guī)則

[root@localhost ~]# iptables -nL // #查看iptables防火墻規(guī)則，不會(huì)顯示每條規(guī)則的行號(hào)，不指定表默認(rèn)查看的表是filter表

[root@node1 ~]# iptables -nL --line-numbers # 查看防火墻規(guī)則，顯示每條規(guī)則的行號(hào)

 

# -t 指定filter表；-A 指向INPUT鏈的最后一行追加一條規(guī)則；

# -p 指進(jìn)入本機(jī)的數(shù)據(jù)包，是通過(guò)tcp協(xié)議進(jìn)入的；-j 指對(duì)數(shù)據(jù)包的操作，ACCEPT 允許通過(guò)

[root@localhost ~]# iptables -t filter -A INPUT -p tcp -j ACCEPT

 

# -I 將規(guī)則插入到INPUT鏈的最前面；

# -p 指定數(shù)據(jù)包通過(guò)的協(xié)議為udp協(xié)議；

# -j ACCEPT允許滿足條件的數(shù)據(jù)包通過(guò)

[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT

 

# 在filter表的INPUT鏈中的，第二條規(guī)則的前面插入一條規(guī)則

# 允許icmp協(xié)議的數(shù)據(jù)包進(jìn)入本機(jī)

[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT

 

# 清除防火墻的filter表中，INPUT鏈中的第三條規(guī)則（清除其他特定的規(guī)則，修改鏈后的數(shù)字即可）

[root@localhost ~]# iptables -D INPUT 3

[root@localhost ~]# iptables -F // 清空f(shuō)ilter過(guò)濾表中的防火墻規(guī)則，filter是默認(rèn)表

[root@localhost ~]# iptables -t nat -F // 清空nat表中的所有規(guī)則，【地址轉(zhuǎn)換表】

[root@localhost ~]# iptables -t mangle -F // 清空mangle表中的所有規(guī)則,【包標(biāo)記表】

[root@localhost ~]# iptables -t raw-F // 清空raw表中的所有規(guī)則，【狀態(tài)跟蹤表】

 

4、iptables高匹配條件

設(shè)置默認(rèn)規(guī)則

- 所有鏈的初始默認(rèn)規(guī)則均為ACCEPT

- 通過(guò)-P可以重置默認(rèn)規(guī)則

 

匹配條件（需要取反條件時(shí)，用嘆號(hào)！）

通用匹配

- 可直接使用，不依賴于其他條件或擴(kuò)展

- 包括網(wǎng)絡(luò)協(xié)議、IP地址、網(wǎng)絡(luò)接口等條件

協(xié)議匹配：-p 協(xié)議名

地址匹配：-s 源地址、-d 目的地址

接口地址：-i 收數(shù)據(jù)的網(wǎng)卡、-o 發(fā)數(shù)據(jù)的網(wǎng)卡

隱含匹配

- 要求以特定的協(xié)議匹配作為前提

- 包括端口、TCP標(biāo)記、ICMP類型等條件

端口匹配：--sport 源端口、--dport 目標(biāo)端口

ICMP類型匹配：--icmp-type ICMP類型

 

[root@localhost ~]# iptables -P FORWARD DROP // 將FORWARD的默認(rèn)規(guī)則設(shè)置為DROP，丟棄所有數(shù)據(jù)包

#-s 當(dāng)192.168.2.254的真機(jī); -p 通過(guò)tcp協(xié)議；--dport 訪問(wèn)本機(jī)的22端口；

#-j 防火墻允許訪問(wèn)

#--dport 端口必須和協(xié)議組合起來(lái)使用，單獨(dú)使用報(bào)錯(cuò)

#-p 協(xié)議可以單獨(dú)使用，也可以和端口組合起來(lái)使用

[root@localhost ~]# iptables -A INPUT -s 192.168.2.254 -p tcp --dport 22 -j ACCEPT

 

*********從進(jìn)站的角度，設(shè)置規(guī)則，本機(jī)可以ping其他主機(jī)，其他主機(jī)不可以ping本機(jī)********

#插入一條規(guī)則：想要實(shí)現(xiàn)禁止其他所有主機(jī)通過(guò)icmp協(xié)議ping本機(jī)，但本機(jī)可以ping通其他主機(jī)

[root@localhost ~]# iptables -I INPUT -p icmp -j REJECT

#其他主機(jī)ping本機(jī)時(shí)，通過(guò)icmp協(xié)議，發(fā)送過(guò)來(lái)的請(qǐng)求 echo-request,直接丟棄

[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

 

#本機(jī)ping其他主機(jī)時(shí)，其他主機(jī)返回的數(shù)據(jù)包類型不是echo-request的，都接受

[root@localhost ~]# iptables -A INPUT -p icmp ! --icmp-type echo-request -j ACCEPT

 

#本機(jī)ping其他主機(jī)時(shí)，發(fā)送數(shù)據(jù)包的類型為 echo-request，防火墻通過(guò)，可以發(fā)送出去

[root@localhost ~]# iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

[root@localhost ~]# iptables -A OUTPUT -p icmp ! --icmp-type echo-request -j DROP