在线课： 防火墙配置 讲师： 沈超 说明： 兄弟连最正直的老师！ 微博： weibo.com/lampsc 邮箱： HYPERLINK"mailto:shenchao@lampbrother.net"shenchao@lampbrother.net 一 简介 1 功能： 分割内网和外网 划分要被保护的服务器 通过源端口，源ip，源mac，包中特定标记和目录端口，IP，mac来确定数据包是否可以通过防火墙 2 分类 1）数据包过滤 分析ip和端口，mac是否符合规则，如果符合，接受 2）代理服务器 3 防火墙限制 1）防火墙不能有效防止病毒和木马 2）防火墙一般不设定对内部访问规则，所以对内部攻击无效 4 防火墙配置原则 拒绝所有，逐个允许 允许所有，逐个拒绝 5 linux常见防火墙 2.4---- iptables 2.2 ipchains 二 iptables防火墙 1 结构 表-------链--------规则 2 表 filter表 数据过滤表 NAT表 网络地址转换 Mangle 特殊数据包标记 3 链 filter表中： INPUTOUTPUT FORWARD 三 iptables基础语法 1 规则的查看和清楚 iptables[-t表名][选项]-n 选项： -L 查看 -F 清除所有规则 -X 清除自定义链 -Z 清除所有链统计 -n 以端口和ip显示 iptables-tnat-L 查看nat表中规则 iptables-L 查看filter表中规则 2 定义默认策略 iptables-t表名-P链名ACCEPT|DROP -P（大）定义默认策略 iptables-tfilter-PINPUTDROP 注意：不要把自己踢出服务器，应该最后设定。 3 ip和网卡接口设置 iptables[-AI链][-io网卡接口][-p协议][-s源IP][-d目标ip]-j动作 -A 追加链规则 在链规则最后加入此规则 -IINPUT2 把此规则插入到INPUT链，变成第二条规则 -D链条数 删除指定链的指定条数防火墙 iptables-DINPUT2 产出input链第二条规则 -ieth0 指定进入接口 要在INPUT链上定义 -oeth0 指定传出接口 要在OUTPUT链上定义 -p协议 tcpudpicmpall -j动作 ACCEPT DROP iptables-AINPUT-ilo-jACCEPT 允许本机回环网卡通信，在INPUT链 iptables-AINPUT-ieth0-s192.168.140.254-jACCEPT 允许254进入eth0 iptables-AINPUT-ieth0-s192.168.140.0/24-jDROP 拒绝140网段访问 4 设定端口访问 iptables-AINPUT-ieth0-pall-s源ip--sport源端口-d目标ip--dport目标端口-j动作 iptables-AINPUT-ieth0-ptcp-s192.168.140.0/24--dport22-jDROP iptables-AINPUT-ieth0-ptcp-s192.168.140.0/24--dport137:139-jACCEPT 指定端口时，协议不能用all，要指定确切协议 5 模块调用 1） -m模块名模块选项 加载iptables功能模块 -mstate--stateESTABLISHED,RELATED iptables-AINPUT-ieth0-mstate--stateESTABLISHED,RELATED-jACCEPT state状态模块 常见状态ESTABLISHED联机成功的状态RELATED返回包状态 2） -mmac--mac-source 按照mac地址限制访问 iptables-AINPUT-mmac--mac-sourceaa:bb:cc:dd:ee:ff-jDROP 拒绝某mac访问 3） -mstring--string"想要匹配的数据包中字串