防火墙的基本知识

防火墙的功能

保护私有网络的安全

保护服务器的安全

开放对服务器对外提供的服务

防火墙的三种工作模式

路由模式

地址变换模式

网桥模式

防火墙的安装位置

防火墙的安装于公共网络与被隔离网络之间，如公司内部网与internat网之间。

internat --- 防火墙 --- 中立区（服务器）

｜

公司内部网

防火墙的三个区

外网区：通常用于连接不安全的网络（如公网）安全性最低

内网区：通常用于连接被保护的网络（如公司内网）安全性最高

中立区：通常用于连接提供服务的网络（如公司WEB服务器）安全性高

地址变换的工作流程

以委托服务为例,

 防火墙地址：202.102.44.40，委托服务器地址：192.168.20.2

客户请求防火墙的外网地址的8002端口

  202.101.1.1:1058  202.102.44.40:8002

防火墙将请求的数据包目的地址和端口更改为内委托服务器的8002端口，并将数据包转发出去

  202.101.1.1:1058  192.168.20.2:80

委托服务器返回数据包经过防火墙

 192.168.20.2:8002   202.101.1.1:1058

防火墙将返回数据包中的原地址改为防火墙的外网地址，并转发给客户机

 202.102.44.40:8002   202.101.1.1:1058

客户收到WEB数据认为是从防火墙返回的

举例（委托服务器的防火墙）

要求：开放对委托服务器8002端口的访问，开放委托服务器对公网的所有访问

公网IP：202.102.10.10/255.255.255.248

委托IP：192.168.20.2/255.255.255.0

1.防火墙连接

公网接防火墙外网，
委托服务器接防火墙中立区

2. 防火墙地址配置

公网配置地址：202.102.10.10/255.255.255.248
中立区配置地址：192.168.20.1/255.255.255.0

3. 委托服务器配置地址

地址：192.168.20.2/255.255.255.0
网关：192.168.20.1(防火墙中立区地址)‏
防火墙规则配置 调用缺省规则，使用较低安全规则 配置IP规则配置中的目的地址变换规则

新增： 变换方向：外到中，
变换前网段：外网接口，端口： 8002
变换后IP：192.168.20.2，端口： 8002
协议： TCP
有效时间：永久
配置IP规则配置中的过滤规则

新增：序号：0
过滤状态：开通
过滤方向：外到中
源网段：任何主机
目的网段：IP：192.168.20.2/255.255.255.255
端口范围: 8002-8002
协议： TCP
有效时间：永久

保存设置并生效 即可

常见问题处理

服务器不能上网 处理方法

1服务器上ping同网段其它服务器IP
不通：服务器与交换机接线有问题，换线或检查交换机接口
2服务器上ping防火墙内（中）网IP
不通：防火墙与交换机连接线有问题，换线或检查交换机接口
3服务器上ping防火墙外网IP
不通：服务器上网关没有设置，防火墙上其它网卡上与设置了网关
检查网关设置，
4服务器上ping防火墙设置的网关
不通： 防火墙外网接线有问题
5服务器上ping www.google.com
不通：服务器上域名服务器配置不对

委托服务不通，端口8002

处理方法

1 检查服务器能不能上网
2 在本机telnet 127.0.0.1 8002 看通不通
不通：委托服务是运行，端口是否为8002
3 在防火墙外网telnet 防火墙外网地址的 8002 端口
不通：防火墙的上配置是否确，地址过滤和变换

四表和五列

4个表:filter,nat,mangle,raw，默认表是filter（没有指定表的时候就是filter表）。表的处理优先级：raw>mangle>nat>filter。

      filter：一般的过滤功能

      nat:用于nat功能（端口映射，地址映射等）

      mangle:用于对特定数据包的修改

      raw:有限级最高，设置raw时一般是为了不再让iptables做数据包的链接跟踪处理，提高性能

 RAW 表只使用在PREROUTING链和OUTPUT链上,因为优先级最高，从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链 上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.

     RAW表可以应用在那些不需要做nat的情况下，以提高性能。如大量访问的web服务器，可以让80端口不再让iptables做数据包的链接跟踪处理，以提高用户的访问速度。

5个链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

       PREROUTING:数据包进入路由表之前

       INPUT:通过路由表后目的地为本机

       FORWARD:通过路由表后，目的地不为本机

       OUTPUT:由本机产生，向外转发

       POSTROUTIONG:发送到网卡接口之前

规则表之间的优先顺序：

Raw——mangle——nat——filter
规则链之间的优先顺序（分三种情况）：

第一种情况：入站数据流向

从外界到达防火墙的数据包，先被PREROUTING规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包的目标主机是防火墙本机（比如说Internet用户访问防火墙主机中的web服务器的数据包），那么内核将其传给INPUT链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（比如Apache服务器）进行响应。

第二冲情况：转发数据流向

来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后会进行路由选择，如果数据包的目标地址是其它外部地址（比如局域网用户通过网关访问QQ站点的数据包），则内核将其传递给FORWARD链进行处理（是否转发或拦截），然后再交给POSTROUTING规则链（是否修改数据包的地址等）进行处理。

第三种情况：出站数据流向

防火墙本机向外部地址发送的数据包（比如在防火墙主机中测试公网DNS服务器时），首先被OUTPUT规则链处理，之后进行路由选择，然后传递给POSTROUTING规则链（是否修改数据包的地址等）进行处理。