Linux 下防火墙的配置及应用说明(NAT & filter)
一、整体介绍
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
二、配置方式以及原理
在linux系统配置防火墙主要的配置方式主要是通过配置两个表,一个是filter表和NAT表,防火墙在应用路邮表的时候是有限从上向下来匹配的,如果上面的匹配成功的话就不会向下再去匹配,所以当我们设置防火墙的时候设置好防火墙表的顺序,当所有的表中都没有的话,会按照默认策略来执行,默认策略是都是允许的
如果我们需要修改默认策略的话我们要执行的命令是
# iptables -P INPUT DROP:
在filter表中有三个支链分别是INPUT、OUTPUT、FORWARD
INPUT:在input链里面的配置信息主要是关于外部对本地访问的限制的设置
OUTPUT:在output链里面的配置信息主要是关本地对外部访问的限制的设置
FORWARD:在forward链里面的配置信息主要是关于本地与外网相互访问的配置
查看当前防火墙列表的方式
# iptables -L -n
配置filter表的语法
# iptables -t filter【指明表,不写默认是指filter表】-A【A:添加规则、D:删除规则、I:插入一条规则】INPUT【作用链还可以为OUTPUT||FORWARD】 n【n表示的是作用在第几条,只有当前面是I或者D的时候我们才真的需要写;当时A的时候默认添加在最后】-p tcp【指明协议tpc||udp||icmp】【!,如果有叹号表示除了后面的网段,如果有叹号则表示除了后买的网段,作用范围只是后面的一段】-s 192.168.0.0/24 -d【-d+网段,表示目的地址,如果不加网段的话表示防火墙自身】 --sport m:n 【表示源端口m:n,表示从m到n端口】 --dport x:y【表示目的端口x:y,表示从x到y端口】-j ACCEPT【指明动作ACCEPT/DROP/REJECT/LOG】
ACCEPT:表示允许
DROP:表示丢弃,无法链接不会接到反馈
REJECT:会收到访问拒绝的提示
LOG:会记录在日志里面
例:
添加端口22
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT限制只允许固定的ip来连接22端口
# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPTNAT表的配置
配置前我们首先要做的就是打开防火墙的转发功能
echo 1> /proc/sys/net/ipv4/ip_forward修改NAT表的案例
# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to- source 192.168.1.1注:这个命令的意思的 添加 nat 表里面的POSTROUTING链,只要是10.0.0.0/24这个网站的源地址统一转换成公有 192.168.1.1
# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE注:如果防火墙的ip地址是动态获得的按上面的命令来设置
# iptables -t nat -A POSTROUTING -p tcp --dropt 80 -j DNAT --to-dest 10.0.0.2注:如果访问着个防火墙地址(没有指明源地址为默认防火墙地址)的80端口的,一律转发至10.0.0.2
其他防火墙的常用配置命令
清空防火墙:#iptables -F
重启防火墙:service iptables restart
保存防火墙设置:service iptables save 【重要,我们通过命令修改完了防火墙的配置,如果我们不保存的话,在我们重启防火墙的时候都是会撤销,】
备份防火墙:iptables -save > xx
回复防火墙:iptables -restore < xx
查看防火墙filter表 :iptables -L -n
查看防火墙NAT表: iptables -t nat -L -n