目录

一.Linux防火墙基础

1.1 防火墙概述

1.2  四表五链

二. iptables--命令

2.1 iptables的安装

2.2 iptables的配置方法

 三.配置Filter表防火墙

3.1 列出（fliter）表中的所有链  iptables -L

3.2 使用数字形式（fliter）表所有链显示输出结果iptables -nL

 3.3 清空表中所有链iptables -t filter -F

3.4 添加规则 

3.5  插入规则

3.6  删除规则

3.7   设置默认规则

3.8 修改规则：直接修改

 四.规则匹配

4.1 通用匹配

 4.2 隐含匹配

 4.3TCP标记匹配: --tcp- flags TCP标记

 4.4 ICMP类型匹配

 4.5显式匹配

---

一.Linux防火墙基础

   Linux的防火墙体系主要工作在网络层，针对TCP/IP数据包进行过滤和限制，属于典型的包过滤防火墙。它基于内核编码实现，具有非常稳定的性能和高效率，也因此得到了广泛的应用。

1.1 防火墙概述

netfilter：  1.位于Linux内核中的包过滤功能体系

                 2. 称为Linux防火墙的“内核态”（内核空间）
                 3. 是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制数据包过滤处                       理的规则集。
iptables：1. 位于/sbin/iptables
                2.  用来管理防火墙规则的工具称为Linux防火墙的“用户态”
                3. 它使插入、修改和删除数据包过滤表中的规则变得容易

1.2  四表五链

 netfilter/iptables后期简称为iptables。 iptables是基于内核的防火墙，其中内置了raw、mangle、nat和 filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则

总结:表里有链,链里有规则

四表

 五链

 数据包到达防火墙时，规则表之间的优先顺序:raw >mangle > nat > filter

规则链之间的匹配顺序:

主机型防火墙:

1. 入站数据（来自外界的数据包，且目标地址是防火墙本机）:PREROUTING --> TNPIT -->本机         的应用程序
2. 出站数据（从防火墙本机向外部地址发送的数据包）：本机的应用程序---->OUTPUT ----->POSTROUTING;

网络型防火l啬:

1.  转发数据（需要经过防火墙转发的数据包):PREROUTING -->FORWARD -->POSTROUTING

规则链内的匹配顺序:

1. 自上向下按顺序依次进行检查，找到相匹配的规则即停止:(LoG策略例外，表示记录相关日志)
2若在该链内找不到相匹配的规则，则按该链的默认策略处理（未修改的状况下，默认策略为允许)
 

二. iptables--命令

2.1 iptables的安装

centos7默认使用firewalld防火墙，没有安装iptables，若想使用iptables防火墙，必须先关闭firewalld防火墙,再安装iptables

启动iptables

2.2 iptables的配置方法

命令格式：

iptables  [-t  表名]  管理选项  [链名]  [匹配条件]   [-j  控制类型]

 注意事项：

• 不指定表名时，默认指filter表
• 不指定链名时，默认指表内的所有链
• 除非设置链的默认策略，否则必须指定匹配条件
• 选项、链名、控制类型使用大写字母，其余均为小写

常用控制类型：

 常用管理选项

 三.配置Filter表防火墙

3.1 列出（fliter）表中的所有链  iptables -L

3.2 使用数字形式（fliter）表所有链显示输出结果iptables -nL

 3.3 清空表中所有链iptables -t filter -F

3.4 添加规则 ：第一条规则可以用i可以用A来添加

不允许其他主机ping本机,给响应信息 REJECT， ping所使用的协议为icmp

使用别的主机ping不通本机，给出提示信息

  不允许其他主机ping本机,不给响应信息 DROP， ping所使用的协议为icmp

3.5  插入规则

在指定链的末尾追加一条新的规则 -A；在指定链的开头插入一条新的规则，未指定序号时默认作为第一条规则 -I

3.6  删除规则

3.7   设置默认规则

  -P设置了DROP后，使用-F仅仅是清空链中的规则 并不会影响设置的默认规则，如果使用-F，那么所有的规则清除后，则使用默认策略DROP，将会使远程连接断连。使用重启服务器解决 systemctl restart iptables 或者重启服务器

3.8 修改规则：直接修改

先添加一条新的 再将原来需要修改的规则删除

 四.规则匹配

4.1 通用匹配

可直接使用，不依赖于其他条件或扩展，包括网络协议、IP地址、网络接口等条件。

• 协议匹配：-p 协议名
• 地址匹配：-s 源地址、-d 目的地址   可以是IP、网段、域名、空（任何地址)
• 接口匹配：-i 入站网卡、-o出站网卡

另一台主机ping不通本机192.168.52.130

 4.2 隐含匹配

要求以特定的协议匹配作为前提，包括端口、TCP标记、ICMP类 型等条件。 

端口匹配: --sport 源端口、--dport 目的端口，可以是个别端口、端口范围

 --sport和--dport 必须配合 -p <协议类型> 使用

 4.3TCP标记匹配: --tcp- flags TCP标记

 4.4 ICMP类型匹配

格式：--icpm-type  ICPMP类型，可以是字符串，数字代码

“Echo-Request”(代码为8)表示请求
"Echo- -Reply”(代码为0)表示回显
"Dest ination-Unreachable" (代码为3)表示目标不可达
关于其它可用的ICMP 协议类型，可以执行“iptables -P icmp -h”命令，查看帮助信息

 其他主机ping本机192.168.52.30

 4.5显式匹配

要求以“-m扩展模块”的形式明确指出类型，包括多端口、MAC地址、IP范围、数据包状态等条件

多端口匹配：

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表
iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

 IP范围匹配

格式： 

 MAC地址匹配

格式：-m mac --  -mac-  source MAC地址

 常见连接状态

1.   NEW：主机连接目标主机，在目标主机上看到的第一个想要连接的包
2.   ESTABLISHED：主机已与目标主机进行通信，判断标准只要目标主机回应了第一个包，就进        入该状态
3.    RELATED：主机已与目标主机进行通信，目标主机发起新的链接方式，一般ESTABLISHED        配合使用
4.   INVALID ∶ 无效的封包，例如数据破损的封包状态