防火墙规则

目录

一.防火墙及分类

二.防火墙工具

iptables的用法:


一.防火墙及分类

防火墙:隔离功能,工作在网络或主机边缘,防止外部信息侵入电脑

网络协议分:

网络层防火墙:通过协议端口号(ip,mac地址)控制流量

应用层防火墙:有真实数据可控制

保护范围分:

主机防火墙:服务范围为一台主机

网络防火墙:服务范围为防火墙一侧的局域网

二.防火墙工具

iptables由四表五链规则组成:

四表:raw追踪机制;mangle标记;nat地址转换;filter过滤数据

五链:input进入主机;output流出主机;forward转发数据;prerouting路由选择前;postrouting路由选择后。

流入本机是由prerouting--->input--->用户空间进程

流出本机是由用户空间进程-->output-->postrouting

转发是由prerouting-->forward-->psotrouting

防火墙规则_第1张图片

四表作用:如何控制流量

五链作用:控制流量时机

iptables的用法:

iptables 选项 四表 子命令 指定链 规则

选项:

-F:删除所有规则

-A:在末尾添加规则

-I:在指定序号前添加规则

-D:删除指定规则

-R:替换,修改某规则

子命令:

-p:指定协议

-s:指定源ip地址

-d:指定目的地址

--sport,--dport :指定端口号

-i:进口网卡,流量从哪进入

-o:出口网卡,流量从哪出去

规则:

-j ACCEPT: 允许

-j DROP:丢弃

-j REJECT:拒绝

显示规则:iptables  -vnL

v:详细

n:数字化

L:防火墙表

显示规则行号:iptables -vnL --line-num

防火墙规则_第2张图片

防火墙规则_第3张图片

卡死在这边:

防火墙规则_第4张图片

1.如何删除规则;

防火墙规则_第5张图片

 清空或者:

防火墙规则_第6张图片

-p:指定协议

防火墙规则_第7张图片

192.168.233.20连接10:

192.168.233.30连接10:

2.如何允许连接成功:

防火墙规则_第8张图片

防火墙规则_第9张图片

如果在最后一行加入:

防火墙规则_第10张图片

连接不通:

3.如何别人不能访问自己的80端口:

防火墙规则_第11张图片

4.如何别人不能访问自己的80端口,并且不能远程连接:

先清空:

防火墙规则_第12张图片

防火墙规则_第13张图片

5.如何指定某段拒绝连接本机:

先清空:

防火墙规则_第14张图片

20段:

30段:

40段:

6.如何不允许8点到10点登录:

首先我们要清楚我们的时间是+8的所以要看格林威治时间:

防火墙规则_第15张图片

在虚拟机上删除就可以登录了,或者修改格林威治时间:

这样就连接上去了。

7.如何将访问本机网页的数量限制为2个:

8.如何让老用户继续连接,新用户不能连接:

state的连接状态:

NEW:新发出的请求,第一次发出的

ESTABLISHED:NEW状态后,连接的通信状态

RELATED:新发起但与已有连接相关的连接

INVALID:无效的连接

UNTRACKED:未进行追踪的连接

防火墙规则_第16张图片

30连接10,第一次连接不允许连接所以失败:

20连接10,在添加规则前已经连接了所以不会断开:

防火墙规则_第17张图片

如果将20断开在连接10:

防火墙规则_第18张图片

将会变成第一次连接的新用户,然而拒绝连接。

9.启用iptables state模块的故障:

当我启用state模块时,访问有问题,看日志发现table full,drop packet怎么解决?

防火墙规则_第19张图片

发现kernel是内核选项,查看一下:

需要将值调高:

在启用state即可。

你可能感兴趣的:(linux)