防火墙规则

目录

一.防火墙及分类

二.防火墙工具

iptables的用法：

---

一.防火墙及分类

防火墙：隔离功能，工作在网络或主机边缘，防止外部信息侵入电脑

网络协议分：

网络层防火墙：通过协议端口号（ip，mac地址）控制流量

应用层防火墙：有真实数据可控制

保护范围分：

主机防火墙：服务范围为一台主机

网络防火墙：服务范围为防火墙一侧的局域网

二.防火墙工具

iptables由四表五链规则组成：

四表：raw追踪机制；mangle标记；nat地址转换；filter过滤数据

五链：input进入主机；output流出主机；forward转发数据；prerouting路由选择前；postrouting路由选择后。

流入本机是由prerouting--->input--->用户空间进程

流出本机是由用户空间进程-->output-->postrouting

转发是由prerouting-->forward-->psotrouting

四表作用：如何控制流量

五链作用：控制流量时机

iptables的用法：

iptables 选项 四表 子命令 指定链 规则

选项：

-F:删除所有规则

-A:在末尾添加规则

-I：在指定序号前添加规则

-D：删除指定规则

-R：替换，修改某规则

子命令：

-p：指定协议

-s：指定源ip地址

-d：指定目的地址

--sport，--dport ：指定端口号

-i：进口网卡，流量从哪进入

-o：出口网卡，流量从哪出去

规则：

-j ACCEPT: 允许

-j DROP:丢弃

-j REJECT:拒绝

显示规则：iptables  -vnL

v:详细

n：数字化

L:防火墙表

显示规则行号：iptables -vnL --line-num

卡死在这边：

1.如何删除规则;

 清空或者：

-p：指定协议

192.168.233.20连接10：

192.168.233.30连接10：

2.如何允许连接成功：

如果在最后一行加入：

连接不通：

3.如何别人不能访问自己的80端口：

4.如何别人不能访问自己的80端口，并且不能远程连接：

先清空：

5.如何指定某段拒绝连接本机:

先清空：

20段：

30段：

40段：

6.如何不允许8点到10点登录：

首先我们要清楚我们的时间是+8的所以要看格林威治时间：

在虚拟机上删除就可以登录了，或者修改格林威治时间：

这样就连接上去了。

7.如何将访问本机网页的数量限制为2个：

8.如何让老用户继续连接，新用户不能连接：

state的连接状态：

NEW:新发出的请求，第一次发出的

ESTABLISHED:NEW状态后，连接的通信状态

RELATED:新发起但与已有连接相关的连接

INVALID:无效的连接

UNTRACKED:未进行追踪的连接

30连接10，第一次连接不允许连接所以失败：

20连接10，在添加规则前已经连接了所以不会断开：

如果将20断开在连接10：

将会变成第一次连接的新用户，然而拒绝连接。

9.启用iptables state模块的故障：

当我启用state模块时，访问有问题，看日志发现table full，drop packet怎么解决？

发现kernel是内核选项，查看一下：

需要将值调高：

在启用state即可。