firewall和netfilter

临时关闭防火墙 selinux 使用命令 setenforce 0
如果想永久关闭防火墙，需要修改配置文件
配置文件地址是 /etc/selinux/config
可以使用 vi /etc/selinux/config 进行修改
如图，打开config文件后，可以看到上图内容
这里需要把 SELINUX=enforcing 的值修改为 disabled
也就是 SELINUX=disabled ，然后保存退出，重启系统就生效了
如图，命令 getenforce 可以查看 selinux 的状态
上图显示为 Enforcing 表示是打开状态
使用 setenforce 0 命令把 selinux 临时关闭
然后再使用 getenforce 查看 selinux 的状态
可以看到变成了 Permissive
Permissive的意思是，一些会触发防火墙的操作，系统会提出警告
如果是 Enforcing 状态，系统会直接打断操作
而 Permissive 状态下，系统不会打断操作，但是会在后台记录警告信息
也就是说，可以进行一些会触发 selinux 的操作

除了selinux这个防火墙外，还有另外一个防火墙叫做 netfilter
selinux防火墙是对内的，而 netfilter 是对外的
网络过来的包会被netfilter处理，如果通过了netfilter
进入到系统内部，则会受到 selinux 的限制
想要控制 netfilter 工作
可以使用 iptables 和 firewalld 这两个工具来操作netfilter
centOS7 之前的版本，都是使用 iptables 来操作 netfilter
从centOS7开始，新增了 firewalld 工具也可以操作 netfilter
firewalld 本质上是 iptables 的封装
firewalld 的命令实际上也是由 iptables 来实现的
等于是把复杂的iptables命令封装起来，变成一条简单的firewalld命令
与iptables相比，firewalld操作简单一些，也有更强大的功能
centOS7 的默认防火墙工具是 firewalld 而不是 iptables
在firewalld里面也可以使用iptables的命令
但是不推荐使用，在firewalld工具里面最好还是使用firewalld命令为佳
因为firewalld也是用iptables来实现的，很多公司也在用centOS6，不支持firewalld
所以 iptables 也是要了解清楚的

centOS7 默认使用的是 firewalld
如果想使用 iptables 需要先关闭 firewalld
如图，systemctl disable firewalld 关闭firewalld，这样重启后就不会启动firewalld
下面的命令 systenctl stop firewalld 是停止正在运行的firewalld服务
这样就把 firewalld 设置为关闭，并且停止了正在运行的firewalld
要使用 iptables 要先安装一个包，如上图
关闭了 firewalld 服务后，需要开启 iptables 服务
如图，systemctl enable ipptables 命令将iptables 设置为可开启状态
然后 systemctl start iptables 打开 iptables 服务
如图，使用命令 iptables -nvL 可以查看 iptables 的默认规则信息

netfilter5表5链介绍

使用命令 man iptables
往下翻页，可以看到上图中的信息
filter,nat,mangle,raw,security 代表5张表
默认的表是 filter
如图，filter 解释里面有三个链的信息
filter内置了3个链，分别是 input,output,forward 三个链
input 可以对进入本机系统内核的数据包进行处理
forward 是指进入机器的数据包，但是不进入系统内核
因为有些数据包经过本机，但是目标地址并不是本机
如果数据包的目标地址不是本机，只是路过本机就会进入 forward 链
forward链就可以对这些数据包进行操作，比如修改目标地址
output链可以对本机内核出去的数据包进行一些操作
举例说明，本机要发一个数据包到一个ip地址去
但是管理员不希望本机有任何数据包被发送到这个ip地址
这时就可以在output链设置规则，所有目标地址是这个ip地址的包都不能出去
前提是这些数据包是本机产生的，因为output只对本机产生的包有效

如图所示，外面发送数据包到本机
数据包会从 in 的位置进入，首先经过 prerouting 链
在 prerouting 链里面，会经过三张表的策略进行判断数据包的去向
每个链里面，都有显示表的名称
就说明，经过这个链的时候，这些表里面写好的规则会起作用
比如说，prerouting 里面有三个表，nat,mangle,raw
这说明，在这三个表里面，可以写一些针对经过 prerouting 链的数据包的规则
每一个经过 prerouting 链的数据包，都会被这些规则处理一遍

从链的流向来看，数据包到达 prerouting链，这里会判断数据包的目的地
目的地是本机，数据包会进入 input 链，然后到达本机内核
经过内核处理，本机发出的数据包会进入 output 链，然后到达postrouting链

如果数据包的目的地不是本机，而是由本机进行转发
prerouting链就会判断将数据包发向 forward链
数据包经过 forward链进入 postrouting链，然后从网卡出去

每经过一条链的时候，如果在相应的表里面写了规则
那么数据包经过这条链的时候，就会按照这些规则进行处理
如果没写规则，就直接放行了
每条链有不同的表可以设置规则，每条链并不可以使用所有表的规则
只有对应的表的规则可以使用

filter,nat,mangle,raw,security 这5个表里面
常用的就是 filter 和 nat
剩下的三个都不怎么常用，主要了解 filter 和 nat
filter 主要是用来过滤数据包的，可以设置怎样的数据包不能通过之类的
nat 则是处理网络地址转换，也就是跟ip有关的规则

iptables语法

使用 iptables -nvL 查看规则信息
如图，可以看到 input,forward,output三条链上的规则
iptables 如果不指定表的话，默认就是显示 filter 的规则信息
所以图中显示的链是 filter 可以操作的链
上图命令可以重启 iptables
上图是 cat 默认规则的配置文件，/etc/sysconfig/iptables 就是规则的配置文件
每次重启iptables后，都会从这个配置文件里面导入规则
所以如果不把自己修改的规则保存到这个配置文件里面的话
每次重启，之前自己修改的规则就会消失，因为会重新加载这个配置文件的规则
如图， iptables -F 命令可以把目前正在运行的规则清空
执行上面命令后，再使用 iptables -nvL 查看规则
可以看到，下面的规则表已经清空了，没有任何规则信息了
但是 -F 参数只能清空正在运行的规则列表
这时打开 iptables配置文件查看的话，就会发现
iptables配置文件里面还是有规则，并没有清空
如果重启 iptables 的话，配置文件里面的规则会被重新加载
如果想把当前运行状态的规则保存到配置文件里面
可以使用上图命令
例如，当前状态是空规则，如果使用 service iptables save
那么配置文件里面的规则就会被空规则覆盖掉，也就是说没有任何规则
不过一般不这样做，因为可以在需要的时候重新加载配置文件
把清空的规则加载回来
因为不指定表的话，默认表就是 filter
所以上面的操作都是针对 filter表的，包括清空规则
如果想指定修改的表
如图，可以使用 -t 参数
上图中，-t nat 就是指定显示 nat 表的规则
如上图所示，规则信息，第一列是包的数量
第二列是数据包总的大小，单位是字节
这两列数据是可以清空的
使用命令 iptables -Z 就可以清空这两列数据
参数 -Z 可以把计数器清零

上图命令是添加规则的命令
iptables 后面的参数里面，没有 -t 说明没有指定表
在没有指定表的情况下，就是对默认表 filter 进行操作
参数 -A 是 add 增加规则的意思
后面接 INPUT 是指增加的规则是针对 input链的
也就是说，这条规则会对 input链的数据包进行操作
后面的 -s 参数是指定数据包来源的 ip，后面接来源 ip地址
参数 -p 是指定数据包传输协议的，后面接协议名称，这里是 tcp
参数 --sport 是指定数据包来源端口的，后面是端口号 1234
参数 -d 是指定数据包目标ip的，后面接目标ip地址
参数 --dport 是指定数据包目标ip端口的，后面接端口号，这里是80
参数 -j 是指定操作规则的，后面接规则名称，这里是 DROP
DROP 是指符合以上设置的数据包会被直接扔掉，不能通过
也可以使用 REJECT 规则，这个规则也是不让数据包通过
与 DROP的区别是，drop会直接扔掉，reject会通知对方自己扔掉了数据包
一般都是使用 DROP
执行完增加规则的命令后，使用 -nvL 查看filter规则信息
如上图，input链所有规则，最下面增加了一条规则
第三列是 DROP 表示这是 drop 规则
后面是他 tcp 表示协议，然后是来源ip 和目标ip
最后是来源端口和目标端口
一般来说，增加规则后，新规则都会出现在原来规则的最下面，优先级是靠后的
上图命令也可以增加规则
参数 -I 是插入一条规则的意思， INPUT 是规则插入input链
后面指定了 -p tcp 协议，还有 --dport 80
指定端口，前面必须先指定协议，不然会报错
最后是规则 -j DROP
这条命令是把目标地址端口号为 80 的数据包 drop掉
如上图，插入的规则出现在所有规则的最上面
如果是使用 -A 增加规则，新规则会出现在所有规则的最下面
插入 -I 的意义就是可以把新规则插入到所有规则最上面，提高优先级
一条链里面规则的执行顺序是从上到下的，会先执行上面的，一条一条往下执行
所以 I 参数可以让新规则插入到最高优先级
上图是删除命令，如果想删除刚才插入的规则
把 -I 参数换成 -D 参数后面跟插入命令一模一样，就可以删除刚才插入的命令
但是有一个问题，如果忘记了后面的命令怎么写，应该怎样删除旧的命令
上图是显示规则编号的命令
iptables -nvL --line-number 可以多显示一列，num列
参数 --line-number 可以显示规则的编号
然后使用命令 iptables -D INPUT + 规则编号就可以删除相应编号的规则
如图，参数 -D表示删除，INPUT表示规则是input链的，7表示编号7的规则
执行这条命令后，如图，编号7的规则就已经删除了

如图所示，policy 是指默认的策略，后面接 ACCEPT
说明，默认的规则就是 ACCEPT
如果一条链上面没有设置任何规则
那么通过这条链的数据包就会按照默认策略进行处理
比如这里，默认策略是 ACCEPT ，如果没有设置规则的话，数据包都是直接通过的
默认策略是可以更改的，上图命令 iptables -P OUTPUT DROP
就可以把 OUTPUT链上的默认策略改为DROP
参数 -P 就是设置 policy的意思，OUTPUT是指output链，DROP就是具体策略
所以上面命令就是，设置 OUTPUT链的policy为 DROP
如果是通过xshell远程连接，执行上面命令的话就会直接断线
因为远程连接需要跟主机有数据包的往返操作
这条命令把主机出来的数据包drop掉了，主机就没办法跟外界有交流
如果执行了这条命令断线后，需要在主机的终端
重新把默认策略修改为 ACCEPT 才能恢复远程连接
所以，默认策略一般不用修改，都是保持 ACCEPT 状态
需要拦截数据包就添加规则

iptables filter表小案例

这个案例是把 80端口，21端口，22端口的数据放行
22端口指定一个ip段，只有这个ip段才可以访问
如上图，编辑一个iptables.sh文件
在iptables.sh内输入上图内容

#!/bin/bash
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A INPUT -s 192.168.133.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT