一、认识防火墙
1、什么是防火墙呢?
防火墙就是监控进入到我们网段内主机的信息数据包的一种机制,更广义来说,只要能够分析和过滤进出我们管理网段的数据包数据,就可以称为防火墙。
防火墙又可以分为硬件防火墙与软件防火墙两类。硬件防火墙是由厂商设计好的主机硬件,主要以提过数据包过滤机制为主,并将其他的功能拿掉;而软件防火墙指的是保护系统网络安全的一套软件(或称为机制),例如iptables与TCP Wrappers都可以称为软件防火墙。
2、为何需要防火墙?
防火墙的最重要的任务:
a、切割被信任(如子网段)与不被信任(如internet)的网段;
b、划分出可提供给Internet的服务与必须受保护的服务;
c、分析出可接受与不可接受的数据包状态。
二、linux系统上防火墙的主要类别
除了对防火墙有硬件防火墙和软件防火墙的分类标准之外,我们也可以按防火墙对数据包的获取方式来进行分类,主要可以分为两类:代理服务器(Proxy)以及IP Filter。前者是代理客户机端向Internet请求数据;后者是利用数据包过滤的方式来实现防火墙的功能。
三、防火墙的一般部署方法和过滤技巧
1、单一linux主机兼任防火墙功能
2、单一linux防火墙,但LAN内另设防火墙
3、在防火墙后端的主机设置
四、linux数据包过滤机制(iptables)
iptables至少有3个默认table(filter、nat、mangle),较常用的是本机的filter表格,另一个则是后端主机的nat表格。
五、其它
1、Linux中的防火墙是打在系统内核的,你永远关不掉,但是可以把 防火墙策略给清除掉。等同如防火墙这道门还在,只是把它开着。
若想把防火墙的策略给清除掉,执行下面命令即可:
iptables -F
service iptables save // 防火墙策略写到/etc/sysconfig/iptables,以后计算机重启再 加载这个文件时,防火墙策略就会永久清空.
2、SElinux需要关闭。
sestatus //如果不是disabled
临时:setenforce 0 //临时关闭SELinux防火墙
永久:
编辑vi /etc/selinux/config
将里面的selinux设置为disabled ,然后重启系统。
3、ping的时候会出现“超时”和“目的主机不可达”的提示,前者说明数据已经发出去了,ping了半天(单位时间内)没有收到回应,就会认为超时;后者则是因为不知道数据目的在哪,返回速度很快,说明网关出现了问题。
4、如何设置一个网关?
route add default gw 192.168.20.1
5、如何开启路由?
路由默认为0
cat /proc/sys/net/ipv4/ip_forward
开启路由只需要把值改为1,执行命令:
echo /proc/sys/net/ipv4/ip_forward
6、iptables规则链
Iptables缺省具有5条规则链
