一、認識防火牆
1、什麼是防火牆呢?
防火牆就是監控進入到我們網段內主機的信息數據包的一種機制,更廣義來說,只要能夠分析和過濾進出我們管理網段的數據包數據,就可以稱爲防火牆。
防火牆又可以分爲硬件防火牆與軟件防火牆兩類。硬件防火牆是由廠商設計好的主機硬件,主要以提過數據包過濾機制爲主,並將其他的功能拿掉;而軟件防火牆指的是保護系統網絡安全的一套軟件(或稱爲機制),例如iptables與TCP Wrappers都可以稱爲軟件防火牆。
2、爲何需要防火牆?
防火牆的最重要的任務:
a、切割被信任(如子網段)與不被信任(如internet)的網段;
b、劃分出可提供給Internet的服務與必須受保護的服務;
c、分析出可接受與不可接受的數據包狀態。
二、linux系統上防火牆的主要類別
除了對防火牆有硬件防火牆和軟件防火牆的分類標準之外,我們也可以按防火牆對數據包的獲取方式來進行分類,主要可以分爲兩類:代理服務器(Proxy)以及IP Filter。前者是代理客戶機端向Internet請求數據;後者是利用數據包過濾的方式來實現防火牆的功能。
三、防火牆的一般部署方法和過濾技巧
1、單一linux主機兼任防火牆功能
2、單一linux防火牆,但LAN內另設防火牆
3、在防火牆後端的主機設置
四、linux數據包過濾機制(iptables)
iptables至少有3個默認table(filter、nat、mangle),較常用的是本機的filter表格,另一個則是後端主機的nat表格。
五、其它
1、Linux中的防火牆是打在系統內核的,你永遠關不掉,但是可以把 防火牆策略給清除掉。等同如防火牆這道門還在,只是把它開着。
若想把防火牆的策略給清除掉,執行下面命令即可:
iptables -F
service iptables save // 防火牆策略寫到/etc/sysconfig/iptables,以後計算機重啓再 加載這個文件時,防火牆策略就會永久清空.
2、SElinux需要關閉。
sestatus //如果不是disabled
臨時:setenforce 0 //臨時關閉SELinux防火牆
永久:
編輯vi /etc/selinux/config
將裏面的selinux設置爲disabled ,然後重啓系統。
3、ping的時候會出現“超時”和“目的主機不可達”的提示,前者說明數據已經發出去了,ping了半天(單位時間內)沒有收到迴應,就會認爲超時;後者則是因爲不知道數據目的在哪,返回速度很快,說明網關出現了問題。
4、如何設置一個網關?
route add default gw 192.168.20.1
5、如何開啓路由?
路由默認爲0
cat /proc/sys/net/ipv4/ip_forward
開啓路由只需要把值改爲1,執行命令:
echo /proc/sys/net/ipv4/ip_forward
6、iptables規則鏈
Iptables缺省具有5條規則鏈