Iptables和Firewall-selinux

一、Iptables防火墙

----------

**三表五链：**
三表：
filter过滤表
nat转换表
mangle表
五链：
PREROUTING--->在进行路由选择前处理数据包
INPUT--->处理流入的数据包
FORWADR--->处理转发的数据包
OUTPUT--->处理流出的数据包
POSTROUTING--->在进行路由选择后处理数据包
filter：默认使用INPUT FORWARD OUTPUT链
NAT：默认PREROUTING OUTPUT POSTROUTING链
Mangle：五个链
一般：从内网---->外网 可控的
INPUT链使用最多
匹配动作：
允许（ACCEPT）
拒绝（REJECT）--->看到你的信息 拒绝扔掉 --->告诉你
登记（LOG）
不理睬（DROP）--->看到信息不理你（把你的消息扔掉）
**基本的命令参数：**
**iptables命令一般根据源地址 目的地址 协议 服务类型等**
例如设置INPUT默认为DROP拒绝，
iptables -P INPUT DROP
此时远程ssh连接会断开，并且无法Ping通该服务器IP
允许ICMP流量放行和SSH 22
执行：iptables -I INPUT --p icmp -j ACCEPT 则可以Ping通该服务器IP
执行：iptables -I INPUT -p tcp --dport 22 -j ACCEPT 则可以远程SSH连接

二、firewalld
-----------

RHEL7默认的防火墙管理工具
基于CLI 也可以基于GUI
支持动态更新技术 加入区域zone概念
区域---->策略
规则
1.在家中允许所有服务
2.办公室允许文件共享服
3.咖啡厅只能浏览网页规则：常见区域：默认区域public
区域 默认规则策略
**firewalld命令**
Firewalld-cmd 参数都是以长格式
RHEL7中 对参数可以补齐tab
RHEL6中 对命令补齐 对参数无效
**使用firewalld配置的防火墙策略--->默认运行模式 Runtime模式，当前生效模式--系统重启会失效**
**永久模式 Permanent--->需要参数 --permanent**
**设置的策略必须经过重启才生效**
**立刻生效 --reload**
事例：把原本访问本机的888端口的流量转发到 22端口 要求当前和长期都有效

Firewall优先级最高！！！
--------

**SNT--为了解决ip地址缺乏**
服务的访问控制列表
TCP Wrappers 是THEL7 默认启用的流量监控系统
根据主机地址 和本机的目标服务
两个原则
1.编写拒绝规则时 填写的是服务名称 不是协议名称
2.建议先写拒绝

Iptables--firewall--->软件层次 数据层次
-------------------------------

Selinux--->Linux内核
------------------

**Selinux--->Linux内核保护**
**Setenforce 改变运行状态**
**Getenforce 获取selinux状态**
**状态：**
**Enforcing--记录警告 并且阻止**
**Permissive--允许 记录警告但是不阻止**
**Disabled--禁用**
**RHEL、CentOS 、Fedora 默认是Enforcing**
**其余是Permissive**

 

 

 

 

一、Iptables防火墙

三表五链：
三表：
filter过滤表
nat转换表
mangle表
五链：
PREROUTING—>在进行路由选择前处理数据包
INPUT—>处理流入的数据包
FORWADR—>处理转发的数据包
OUTPUT—>处理流出的数据包
POSTROUTING—>在进行路由选择后处理数据包
filter：默认使用INPUT FORWARD OUTPUT链
NAT：默认PREROUTING OUTPUT POSTROUTING链
Mangle：五个链
一般：从内网---->外网 可控的
INPUT链使用最多
匹配动作：
允许（ACCEPT）
拒绝（REJECT）—>看到你的信息 拒绝扔掉 —>告诉你
登记（LOG）
不理睬（DROP）—>看到信息不理你（把你的消息扔掉）
基本的命令参数：
iptables命令一般根据源地址 目的地址 协议 服务类型等

例如设置INPUT默认为DROP拒绝，
iptables -P INPUT DROP
此时远程ssh连接会断开，并且无法Ping通该服务器IP
允许ICMP流量放行和SSH 22
执行：iptables -I INPUT --p icmp -j ACCEPT 则可以Ping通该服务器IP
执行：iptables -I INPUT -p tcp --dport 22 -j ACCEPT 则可以远程SSH连接

二、firewalld

RHEL7默认的防火墙管理工具
基于CLI 也可以基于GUI
支持动态更新技术 加入区域zone概念
区域---->策略
规则
1.在家中允许所有服务
2.办公室允许文件共享服
3.咖啡厅只能浏览网页规则：常见区域：默认区域public
区域 默认规则策略

firewalld命令
Firewalld-cmd 参数都是以长格式
RHEL7中 对参数可以补齐tab
RHEL6中 对命令补齐 对参数无效

使用firewalld配置的防火墙策略—>默认运行模式 Runtime模式，当前生效模式–系统重启会失效
永久模式 Permanent—>需要参数 --permanent
设置的策略必须经过重启才生效
立刻生效 --reload
事例：把原本访问本机的888端口的流量转发到 22端口 要求当前和长期都有效

Firewall优先级最高！！！

SNT–为了解决ip地址缺乏
服务的访问控制列表
TCP Wrappers 是THEL7 默认启用的流量监控系统
根据主机地址 和本机的目标服务
两个原则
1.编写拒绝规则时 填写的是服务名称 不是协议名称
2.建议先写拒绝

Iptables–firewall—>软件层次 数据层次

Selinux—>Linux内核

Selinux—>Linux内核保护
Setenforce 改变运行状态
Getenforce 获取selinux状态
状态：
Enforcing–记录警告 并且阻止
Permissive–允许 记录警告但是不阻止
Disabled–禁用
RHEL、CentOS 、Fedora 默认是Enforcing
其余是Permissive