Linux 第十一天学习

一、iptables 防火墙

参数：
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-I 在头部插入新规则
-A 在尾部插入新规则
-s 源地址
-d 目的地址
-p 匹配协议 ，tcp 、udp
–dport num 匹配目标端口
–sport num 匹配源地端口
-j 动作：accept 、drop 、reject 、log ，
drop ： 直接将数据丢弃，不返回任何信息。
reject ：将数据包拒绝，同时返回信息。

案例：
iptables -L 查看规则链
iptables -P INPUT DROP

iptables -I INPUT -s 192.168.1.0/24 --sport=30 -p udp -d 10.10.10.1 --dport=22 -j accept
server iptables save

拒绝一段端口: --dport 1000:1200 -j reject 表示拒绝1000至1200 的端口号
拒绝某几个端口： --dport 100,200,300 -j reject 表示拒绝 100 ，200 ，300 三个端口的数据包

二、firewalld （协议）

firewall-cmd 命令号界面
firewall-config 图形化界面
firewall-cmd --reload 重启服务进程

默认的区域：public ，默认的规则是拒绝流入的流量

有两种模式： runtime 运行模式 ，permanent 永久生效模式

案例：

firewall-cmd --get-default-zone 查看当前默认的配置区域
firewall-cmd --set-default-zone=dmz 将当前区域设置为DMZ
firewall-cmd --zone=public --query-service=http 查看http 协议是否允许通过
firewall-cmd --zone=public --add-service=https 将https 协议添加为允许通过
firewall-cmd --zone=public --remove-service=https 将https协议移除允许通过。

端口转发：

firewall-cmd --permanent --zone=public --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

案例：

firewall-cmd --permanent --zone=public --add-forward-port=888:proto=tcp:toport22:toaddr=192.168.1.1
firewall-cmd --reload