防火墙策略_firewalld##
#1.firewalld的网络区域
trusted ##信任
home ##家庭
internal ##内部
work ##工作
public ##公共
external ##外部
dmz ##非军事区
block ##限制
drop ##丢弃
#2.使用命令行接口配置防火墙
firewall-cmd --state ##查看火墙状态
firewall-cmd --get-active-zones ##查看正在使用的区域
firewall-cmd --get-default-zone ##查看所在的网络区域
firewall-cmd --get-zones ##查看所有网络区域
firewall-cmd --zone=public --list-all ##查看网络区域的详细信息
firewall-cmd --get-services ##查看所有服务
firewall-cmd --list-all-zones ##查看所有网络区域信息
firewall-cmd --set-default-zone=dmz ##切换网络区域
firewall-cmd --zone=trusted --add-source=172.25.254.238 ##指定238的网络区域为trusted
firewall-cmd --zone=trusted --remove-source=172.25.254.238 ##移除238的网络区域为trusted
firewall-cmd --zone=trusted --add-interface=eth1 ##指定eth1的网络区域为trusted
firewall-cmd --zone=trusted --remove-interface=eth1 ##移除eth1的网络区域为trusted
firewall-cmd --reload ##重启但不会断开已连设备
firewall-cmd --complete-reload ##完全重启会断开已连设备
#3.Direct Rules
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 1.1.1.138 -j ACCEPT ##只允许1.1.1.138可以使用ssh连接本机
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 1.1.1.138 -j ACCEPT ##移除只允许1.1.1.138可以使用岁时连接本机
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport ! 22 -s 1.1.1.138 -j ACCEPT ##除1.1.1.138以外的主机都可以使用ssh连接本机
firewall-cmd --direct --get-all-rules ##查询所设定的规则
#4.Rich Rules
firewall-cmd --permanent --add-masquerade ##防火墙伪装
firewall-cmd --permanent --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.200 ##为主机显示真正连接的主机
防火墙策略_iptables##
#1.常用参数
iptables
-t ##指定表名称
-n ##不做解析
-L ##列出指定表中策略
-A ##增加策略
-p ##网络协议
--dport ##端口
-s ##数据来源
-j ##动作
ACCEPT ##允许
REJECT ##拒绝
DROP ##丢弃
-N ##增加链
-E ##修改链名称
-X ##删除链
-D ##删除指定策略
-I ##插入指定策略
-R ##修改策略
-P ##修改默认策略
iptables -nL ##查看所有表策略
iptables -t filter -nL ##查看filter表策略
iptables -F ##刷掉filter表中策略,当没用-t指明表时默认为filter表
service iptables save ##保留当前策略
iptables -t nat -A POSTROUTING -O eth0 -j SNAT --to-source 172.25.254.238 ##防火墙伪装
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT --to-dest 1.1.1.138 ##为主机显示真正连接的主机
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ##允许正在连接设备继续访问
iptables -A INPUT -m state --state NEW -p tcp --dport 445 -j ACCEPT ##允许新连接的用户访问445端口(samba服务)
iptables -A INPUT -m state --state NEW -p tcp --dport 3260 -j ACCEPT ##允许新连接的用户访问3260端口(iscsi服务)
iptables -A INPUT -m state --state NEW -j REJECT ##禁止新用户访问