第十四课预习任务
10.12 firewalld和netfilter
10.13 netfilter5表5链介绍
10.14 iptables语法
10.15 iptables filter表案例
10.16/10.17/10.18 iptables nat表应用
扩展(selinux了解即可)
selinux教程 http://os.51cto.com/art/201209/355490.htm
selinux pdf电子书 http://pan.baidu.com/s/1jGGdExK
iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html
查看防火墙状态
permissive表示虽然开启,但是遇到问题,不真正进行阻断,只是进行提醒。屏幕上看不到,会记录到某个地方。
临时关闭
永久关闭
7之前用netfilter
7开始使用firewalld
他们内置的工具都是iptables
首先关闭firewalld
然后安装一个包
再开启iptables服务
iptables自带规则
iptables仅仅是防火墙的一个工具,不是防火墙的名字。
3条链 input forward output
查看规则所在文件
iptables -F 清除当前规则
重启服务以后,重新加载规则。
默认是filter表
写完规则只是在当前内存生效,若想重启后依然生效,使用命令
清零计数器
增加一个规则:从192.168.188.1来源的tcp协议,端口1234的数据,到192.168.188.128的80端口的数据丢弃
DROP也可以用REJECT,REJECT会给个回应,DROP直接丢弃。一般用DROP比较多
查看规则
-I参数是插入的意思,insert。会在最前面,-A是增加的意思,会到最后面。最前面的优先执行。
删除一条规则-D
打印规则编号
规则太长,可以使用序号来删除
小案例
首先写个脚本
运行脚本,查看规则
加一条禁ping规则前,可以正常ping
加规则后
无法ping通,达到禁ping效果。
给zsylinux-01添加一块网卡
禁用zsylinux-02原来的网卡,再添加一块网卡,新网卡的LAN区段和zsylinux-01一致。
使用命令给zsylinux-01上的新网卡ens37添加一个ip地址
保险起见,关闭zsylinux-02上的老网卡ens33
给zsylinux-02上的新网卡ens37设置ip
01机器成功ping不通02机器
02机器也成功ping通01机器
在windows机器上,无法ping通100.1和100.100
02机器无法上网,也无法ping通01机器的老网卡
01机器上打开路由转发
增加一条规则
首先查看02机器的网管 route -n
把02机器设置网关为192.168.100.1,再ping01机器的老网卡,成功ping通。
在01机器的两个网卡做一个NAT地址转发。
iptables -t nat -A POSTROUTING -s 192.168.100.1/24 -o ens33 -j MASQUERADE
02机器ping外网,成功。
但是从宿主机ping02机器,就ping不通
此时01机器就相当于一个路由器。
虽然宿主机192.168.19.1无法ping通02机器,但是可以通过在A上做端口映射,从而达到间接ssh 02机器的目的。