Linux應用基礎教程（基于CentOS 7）課件 梁如軍 第9-16章 防火墻- E-mail服務

第9章

防火墻本章內(nèi)容要點防火墻的相關(guān)概念Netfilter/iptables架構(gòu)firewalld守護進程和配置工具firewall-cmdiptables服務和配置工具lokkit使用iptabls命令工具配置包過濾和NAT2024年5月30日2CreativeCommonsLicense（BY-NC-SA）本章學習目標理解防火墻、堡壘主機、DMZ、NAT等概念掌握過濾（狀態(tài)過濾）防火墻的工作原理掌握Netfilter/iptables的功能及用途理解數(shù)據(jù)包在Netfilter多表中的穿越流程掌握配置工具firewall-cmd的使用掌握配置工具lokkit的使用掌握iptables的命令語法學會閱讀和修改iptables的規(guī)則集文件學會編寫bash腳本配置包過濾和NAT2024年5月30日3CreativeCommonsLicense（BY-NC-SA）防火墻概述2024年5月30日4CreativeCommonsLicense（BY-NC-SA）什么是防火墻防火墻是架設在不同信任級別的計算機網(wǎng)絡之間的一種檢測和控制設備是一個控制和監(jiān)測的瓶頸點（chokepoint），不同級別網(wǎng)絡間的所有數(shù)據(jù)都必須經(jīng)過檢查，實現(xiàn)邊界防護（perimeterdefence）根據(jù)安全策略配置為允許、拒絕或代理數(shù)據(jù)的通過必要時，提供NAT、VPN功能防火墻設備的種類硬件防火墻：專用的硬件或軟硬件結(jié)合的實現(xiàn)軟件防火墻：基于普通PC或Server硬件上的通用操作系統(tǒng)加防火墻軟件實現(xiàn)2024年5月30日CreativeCommonsLicense（BY-NC-SA）5防火墻的典型應用架設在一個較低信任級別的互聯(lián)網(wǎng)和一個較高信任級別的內(nèi)部網(wǎng)絡之間，實現(xiàn)對內(nèi)部網(wǎng)絡的保護2024年5月30日CreativeCommonsLicense（BY-NC-SA）6防火墻的功能提供邊界防護控制內(nèi)外網(wǎng)之間網(wǎng)絡系統(tǒng)的訪問提高內(nèi)部網(wǎng)絡的保密性和私有性對網(wǎng)絡服務的限制，保護易受攻擊的服務只有授權(quán)的流量才允許放行審計和監(jiān)控記錄網(wǎng)絡的使用狀態(tài)，可以實現(xiàn)對異常行為的報警集中管理內(nèi)網(wǎng)的安全性，降低管理成本對網(wǎng)絡滲透的自身免疫保證防火墻自身的安全性2024年5月30日CreativeCommonsLicense（BY-NC-SA）7防火墻的局限性不能保護繞過防火墻的攻擊非授權(quán)的網(wǎng)絡連接(Modem,wireless,etc.)執(zhí)行CD/DVD/USB等介質(zhì)上惡意軟件不能保護被防火墻信任的攻擊被防火墻信任的組織的攻擊被防火墻信任的服務（如SSL/SSH）的攻擊不能防止內(nèi)部威脅心懷不滿的雇員的攻擊不能防止所有病毒感染的程序或文件的傳輸由于病毒類型甚多，由防火墻檢測它們將嚴重影響數(shù)據(jù)傳輸速度，應交由專業(yè)的病毒檢測軟件處理2024年5月30日CreativeCommonsLicense（BY-NC-SA）8防火墻的分類傳統(tǒng)的包過濾器Traditionalpacketfilters過濾器通常與路由器相結(jié)合構(gòu)建防火墻狀態(tài)包過濾器StatefulPacketfilters應用層網(wǎng)關(guān)/代理Application-Layergateways/Proxy2024年5月30日CreativeCommonsLicense（BY-NC-SA）9傳統(tǒng)的包過濾防火墻簡介是最簡單，最快的防火墻組件任何防火墻系統(tǒng)的基礎檢查每個IP數(shù)據(jù)包（無上下文），并根據(jù)規(guī)則允許或拒絕可能的默認策略沒有明確允許就禁止沒有明確禁止就允許2024年5月30日CreativeCommonsLicense（BY-NC-SA）10傳統(tǒng)的包過濾防火墻

——工作過程2024年5月30日CreativeCommonsLicense（BY-NC-SA）11傳統(tǒng)的包過濾防火墻

——工作層次2024年5月30日CreativeCommonsLicense（BY-NC-SA）12傳統(tǒng)的包過濾防火墻

——數(shù)據(jù)包的檢測手段數(shù)據(jù)包的流向源IP地址（SA）目標IP地址（DA）傳輸層協(xié)議名稱TCP,UDP,ICMPTCP/UDP端口號源端口（SP）目標端口（DP）ICMP消息類型

(messagetype)TCPflagbits(SYN,ACK,FIN,RST,PSH,etc)SYN:初始連接包ACK:以建立連接的回應包路由接口對不同接口的數(shù)據(jù)包實施放行或阻塞決定2024年5月30日CreativeCommonsLicense（BY-NC-SA）13傳統(tǒng)的包過濾防火墻

——過濾規(guī)則舉例2024年5月30日CreativeCommonsLicense（BY-NC-SA）14傳統(tǒng)的包過濾防火墻

——優(yōu)缺點優(yōu)點一個過濾路由器可以保護整個網(wǎng)絡若過濾規(guī)則簡單，則過濾路由器的效率會很高獲得廣泛應用。幾乎所有的路由器，甚至是Linux主機缺點有可能被攻擊不能執(zhí)行一些政策。例如，允許特定的用戶規(guī)則可以變得非常復雜和難以測試2024年5月30日CreativeCommonsLicense（BY-NC-SA）15傳統(tǒng)的包過濾防火墻

——過濾器的攻擊及解決方案IP地址欺騙假冒的源地址解決方法：認證源路由攻擊攻擊者設置一個默認以外的路由解決方法：阻塞源路由數(shù)據(jù)包IP碎片攻擊將頭信息分成了幾個微小的數(shù)據(jù)包解決方法：丟棄或在數(shù)據(jù)包重組前檢查2024年5月30日CreativeCommonsLicense（BY-NC-SA）16狀態(tài)包過濾防火墻傳統(tǒng)的包過濾器不檢查更高層上下文必須匹配返回的數(shù)據(jù)包輸出流（通常必須讓SP>1023的包通過）解決這個問題需要使用狀態(tài)包過濾器，它增加了更多的智能過濾器的決策過程狀態(tài)=記得過去的數(shù)據(jù)包在內(nèi)存中使用動態(tài)更新的狀態(tài)表實現(xiàn)檢查每個IP數(shù)據(jù)包的上下文跟蹤客戶端-服務器的會話有效地檢查每一個數(shù)據(jù)包屬于哪個會話能夠更好地檢測斷章取義的假冒包2024年5月30日CreativeCommonsLicense（BY-NC-SA）17應用層網(wǎng)關(guān)（代理服務器）針對特定的應用程序的網(wǎng)關(guān)/代理具有完全訪問協(xié)議用戶從代理服務器提出請求代理服務器根據(jù)訪問策略驗證客戶端的請求然后執(zhí)行請求的動作，并將結(jié)果返回給用戶可以在應用程序級別對通信流量實施日志/審計需要為每種服務單獨設置代理一些服務自然地支持代理另一些服務器對代理的支持則相對困難2024年5月30日CreativeCommonsLicense（BY-NC-SA）18應用層網(wǎng)關(guān)（代理服務器）

——工作層次2024年5月30日CreativeCommonsLicense（BY-NC-SA）19應用層網(wǎng)關(guān)

——代理的工作示意圖2024年5月30日CreativeCommonsLicense（BY-NC-SA）20應用層網(wǎng)關(guān)

——緩存代理的工作示意圖常用于http和ftp協(xié)議2024年5月30日CreativeCommonsLicense（BY-NC-SA）21代理服務器Y數(shù)據(jù)緩存代理進程遠端服務器客戶端?N應用層網(wǎng)關(guān)（代理服務器）

——優(yōu)缺點優(yōu)點代理可以記錄所有的連接代理可以提供緩存代理可以做基于內(nèi)容的智能過濾代理可以執(zhí)行用戶級身份驗證缺點并非所有服務都支持代理可能需要為每種服務配置各自的代理服務器需要修改客戶端性能沒有包過濾器高2024年5月30日CreativeCommonsLicense（BY-NC-SA）22堡壘主機（BastionHost）高度安全的主機系統(tǒng)可能接觸到“敵對”的元素因此是安全的分界點禁用所有非必要的服務;保持簡單運行應用層網(wǎng)關(guān)安裝/修改你想要的服務或提供外部訪問的服務2024年5月30日CreativeCommonsLicense（BY-NC-SA）23部署堡壘主機2024年5月30日CreativeCommonsLicense（BY-NC-SA）24屏蔽主機體系結(jié)構(gòu)（使用一個路由器）部署堡壘主機2024年5月30日CreativeCommonsLicense（BY-NC-SA）25屏蔽子網(wǎng)體系結(jié)構(gòu)（使用兩個路由器）DemilitarizedZone（DMZ）

非軍事區(qū)（DMZ）是位于不可信的互聯(lián)網(wǎng)和可信任的內(nèi)部網(wǎng)絡之間的一個中間級別的區(qū)域2024年5月30日CreativeCommonsLicense（BY-NC-SA）26DMZ的特點

從內(nèi)部和外部網(wǎng)絡到DMZ的連接是允許的允許DMZ的主機為內(nèi)部和外部網(wǎng)絡提供服務通常只允許外部網(wǎng)絡訪問連接到DMZDMZ內(nèi)的主機可能無法連接到內(nèi)部網(wǎng)絡同時保護內(nèi)部網(wǎng)絡內(nèi)的入侵者危及DMZ中的主機2024年5月30日CreativeCommonsLicense（BY-NC-SA）27DMZ的應用通常用于從外界訪問內(nèi)網(wǎng)發(fā)布的公共域服務，如FTP、Email、Web和DNS等2024年5月30日CreativeCommonsLicense（BY-NC-SA）28NAT概述2024年5月30日29CreativeCommonsLicense（BY-NC-SA）解決IPv4地址耗盡問題長遠的解決方案使用IPv6短期解決方案（有效的使用現(xiàn)有的IPv4地址）無類域間路由

（ClasslessInterDomainRouting,CIDR）[RFC1518],[RFC1519]網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation,NAT）

[RFC1631]2024年5月30日CreativeCommonsLicense（BY-NC-SA）30NAT簡介NAT提供了將一個地址域映射到另一個地址域的標準方法（RFC1631）NAT是一種常用的廣域網(wǎng)接入技術(shù)，將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)NAT可以在多重的Internet子網(wǎng)中使用相同的IP（私有地址），用來減少注冊IP地址的使用NAT不僅完美地解決了lPv4地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護內(nèi)部網(wǎng)絡的計算機2024年5月30日CreativeCommonsLicense（BY-NC-SA）31~55/8~55/12~55/16NAT的分類源NAT（SourceNAT，SNAT）SNAT是指修改數(shù)據(jù)包的源IP地址和/或端口號會在包送出之前的最后一刻（出站路由之后）做好SNAT動作IP偽裝（Masquerading）是SNAT的一種特殊形式目的NAT（DestinationNAT，DNAT）DNAT是指修改數(shù)據(jù)包的目標地址和/或端口號會在包進入之后（入站路由之前）立刻進行DNAT動作端口轉(zhuǎn)發(fā)、負載均衡都屬于DNAT2024年5月30日CreativeCommonsLicense（BY-NC-SA）32NAT的地址轉(zhuǎn)換模式

——四種模式對應四種功能靜態(tài)地址轉(zhuǎn)換（StaticTranslation）實現(xiàn)兩個網(wǎng)域內(nèi)相同個數(shù)地址間的一一映射動態(tài)地址轉(zhuǎn)換（DynamicTranslation）大量的內(nèi)部網(wǎng)絡地址共享一個外部地址負載均衡轉(zhuǎn)換（LoadBalancing）將一個外部傳入的地址分發(fā)到內(nèi)部的多個地址之一網(wǎng)絡冗余轉(zhuǎn)換（NetworkRedundancy）多個互聯(lián)網(wǎng)連接同時連接到NAT防火墻防火墻根據(jù)使用帶寬、擁塞度和可用性等選擇連接2024年5月30日CreativeCommonsLicense（BY-NC-SA）33靜態(tài)地址轉(zhuǎn)換實現(xiàn)兩個網(wǎng)域內(nèi)相同個數(shù)地址間的一一映射一系列外部地址映射到相同個數(shù)的內(nèi)部地址也稱一對一NAT（1:1）NAT防火墻只是對每個地址做了簡單的翻譯端口轉(zhuǎn)發(fā)（Portforwarding）允許一個或幾個特定的端口通過防火墻，而不是所有端口用于僅向公共網(wǎng)絡暴露內(nèi)部網(wǎng)絡上的特定服務的情況2024年5月30日CreativeCommonsLicense（BY-NC-SA）34靜態(tài)地址轉(zhuǎn)換示例2024年5月30日CreativeCommonsLicense（BY-NC-SA）35動態(tài)地址轉(zhuǎn)換網(wǎng)絡地址端口轉(zhuǎn)換AddressandPortTranslation，NAPT將多個內(nèi)部地址映射為一個合法公網(wǎng)地址通過轉(zhuǎn)換TCP或UDP協(xié)議端口號以及地址來提供并發(fā)性即：<內(nèi)部地址+內(nèi)部端口>

<外部地址+外部端口>NAT映射表是在內(nèi)部網(wǎng)絡計算機發(fā)起連接時動態(tài)生成的理論上支持216個連接，但實際要少得多NAPT也被稱為多對一NAT（N:1）NAPT也稱地址超載（AddressOverloading）Linux世界里常稱為IP偽裝（IPMasquerading）可以將中小型的內(nèi)部網(wǎng)絡隱藏在一個合法的IP地址后面，防止外部主機直接連接到內(nèi)部主機2024年5月30日CreativeCommonsLicense（BY-NC-SA）36動態(tài)地址轉(zhuǎn)換示例2024年5月30日CreativeCommonsLicense（BY-NC-SA）37InternetWebserverabcNAT0Connectionrequesttoport80from‘c‘to<webserver>source,port1025.,port1025mappedto0,port2000Connectionrequestfrom‘c’forwardedto<webserver>source0,port2000.Requestreceivedandaccepted.內(nèi)部Web客戶通過NAPT

訪問外部Web服務的過程InsideIPInsidePortOutIPOutPort103402005102502000CreativeCommonsLicense（BY-NC-SA）2024年5月30日38InternetWebserverabcNATResponsesentto0,port2000.內(nèi)部Web客戶通過NAPT

訪問外部Web服務的過程（續(xù)）

InsideIPInsidePortOutIPOutPort103402005102502000Translate0,port2000toport1025CreativeCommonsLicense（BY-NC-SA）2024年5月30日39負載均衡轉(zhuǎn)換將一個外部請求動態(tài)映射到本地網(wǎng)絡的一個克隆機（提供相同服務）的地址池實現(xiàn)負載均衡通常用于非常繁忙的Web網(wǎng)站每個克隆機必須有一種方法通知其是防火墻的當前負載，使防火墻可以選擇一個目標服務器或防火墻只使用一種調(diào)度算法，如輪循調(diào)度算法僅適用于無狀態(tài)協(xié)議（如HTTP）2024年5月30日CreativeCommonsLicense（BY-NC-SA）40網(wǎng)絡冗余轉(zhuǎn)換可用于提供自動故障修復服務或負載均衡防火墻被連接到多個ISP防火墻使用偽裝方法連接每個ISP，即：一對多NAT（1:N）選擇使用哪個ISP由客戶端負載決定實現(xiàn)了一種類似于“反向負載平衡”的技術(shù)一個宕機的ISP被視為滿載，客戶端將被路由到另一個ISP2024年5月30日CreativeCommonsLicense（BY-NC-SA）41NAT的攻擊及解決方案靜態(tài)地址轉(zhuǎn)換沒有提供內(nèi)部網(wǎng)絡主機的保護解決方案：同時實施包過濾通過NAT的源路由如果黑客知道內(nèi)部地址，他們可以使用源路由數(shù)據(jù)包連接到該主機解決方案：不允許源路由數(shù)據(jù)包通過防火墻2024年5月30日CreativeCommonsLicense（BY-NC-SA）42內(nèi)部主機的誘惑內(nèi)部主機連接外部黑客通過電子郵件附件種植木馬病毒點對點連接黑客運行色情或賭博網(wǎng)站等解決方案：應用層代理Netfilter/iptables架構(gòu)2024年5月30日43CreativeCommonsLicense（BY-NC-SA）Netfilter/iptables簡介Linux的防火墻系統(tǒng)Linux內(nèi)核2.4版本之后的防火墻解決方案netfilter

是內(nèi)核空間中實現(xiàn)防火墻的內(nèi)部架構(gòu)iptables是用戶空間中配置防火墻的命令工具Netfilter/iptables的主要功能包過濾（Packetfiltering）連接跟蹤（Connectiontracking）網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation）重整包頭（Manglingpacketheaderfields）2024年5月30日CreativeCommonsLicense（BY-NC-SA）44NetfilterNetfilter是一種內(nèi)核中用于擴展各種網(wǎng)絡功能的結(jié)構(gòu)化底層構(gòu)架Netfilter是內(nèi)核的網(wǎng)絡協(xié)議堆棧中的一系列“鉤子（hooks）”數(shù)據(jù)包在流經(jīng)網(wǎng)絡協(xié)議堆棧的任意時刻均可被“鉤?。╤ooked）”所謂鉤住，即允許特定的內(nèi)核模塊調(diào)用函數(shù)通過“查表”方法來處理（拒絕/放行/整型等）數(shù)據(jù)包被鉤子鉤住的時刻稱為“檢查點”2024年5月30日CreativeCommonsLicense（BY-NC-SA）45Netfilter默認的檢查點2024年5月30日CreativeCommonsLicense（BY-NC-SA）46表（table）Netfilter在內(nèi)核運行的內(nèi)存中維護一系列的表內(nèi)核模塊通過查表方法決定包的處理方式表的結(jié)構(gòu)iptables將表抽象為若干鏈（chain），鏈對應Netfilter的檢查點鏈由若干決定特定數(shù)據(jù)包處理方式的規(guī)則（rule）構(gòu)成2024年5月30日CreativeCommonsLicense（BY-NC-SA）47Netfilter/iptables使用的表filter實現(xiàn)包過濾，是默認的表Hooks：LOCAL_IN,LOCAL_OUT,FORWARD內(nèi)置鏈：INPUT、OUTPUT、FORWARDnat實現(xiàn)NATHooks：LOCAL_OUT,PRE_ROUTING,POST_ROUTING內(nèi)置鏈：

OUTPUT、PREROUTING、POSTROUTING2024年5月30日CreativeCommonsLicense（BY-NC-SA）48Netfilter/iptables使用的表-續(xù)mangle用于改寫包頭特定字段的內(nèi)容Hooks:LOCAL_IN,LOCAL_OUT,FORWARD,PRE_ROUTING,POST_ROUTING內(nèi)置鏈：INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTINGraw用于使數(shù)據(jù)包繞過連接跟蹤Hooks:LOCAL_OUT,PRE_ROUTING內(nèi)置鏈：

OUTPUT、PREROUTING2024年5月30日CreativeCommonsLicense（BY-NC-SA）49iptables使用的鏈2024年5月30日CreativeCommonsLicense（BY-NC-SA）50專表專用、專鏈專用專表專用filter：專門用于過濾數(shù)據(jù)nat：用于地址轉(zhuǎn)換（只匹配初始連接數(shù)據(jù)，隨后使用連接跟蹤）mangle：用于修改數(shù)據(jù)包頭的內(nèi)容raw：用于在連接追蹤前預處理數(shù)據(jù)專鏈專用PREROUTING：用于匹配最先接觸到的數(shù)據(jù)(raw,mangle,nat)INPUT：用于匹配到達本機的數(shù)據(jù)(mangle,filter)FORWARD：用于匹配穿越本機的數(shù)據(jù)(mangle,filter)OUTPUT：用于匹配從本機發(fā)出的數(shù)據(jù)(raw,mangle,nat,filter)POSTROUTING：用于匹配最后離開的數(shù)據(jù)(mangle,nat)2024年5月30日CreativeCommonsLicense（BY-NC-SA）51iptables命令工具iptables只是一個配置防火墻規(guī)則的用戶管理工具，實際真正執(zhí)行規(guī)則的是內(nèi)核中的Netfilter及其相關(guān)模塊iptables的功能向鏈中追加、插入或刪除規(guī)則設置預定義（默認/內(nèi)置）鏈策略生成自定義鏈查看鏈中的規(guī)則2024年5月30日CreativeCommonsLicense（BY-NC-SA）52使用iptables命令設置規(guī)則設置規(guī)則的iptables命令應該包含5個要素表（table）：可以是filter、nat、mangle或raw。命令（command）：包括添加、刪除、更新規(guī)則；創(chuàng)建自定義鏈和對內(nèi)置鏈設置鏈策略等。鏈（chains）：針對不同用途指定要操作的鏈。匹配器（matcher）：可以指定各種規(guī)則匹配，如IP地址、端口、包類型等。目標（target）：當規(guī)則匹配一個包時執(zhí)行的動作。例如：接受或拒絕。目標是可選的，但是每條規(guī)則最多只能有一個目標，如沒有目標，就默認使用鏈的策略。2024年5月30日CreativeCommonsLicense（BY-NC-SA）53iptables命令語法2024年5月30日CreativeCommonsLicense（BY-NC-SA）54iptables[-ttable]cmd[chain][matches][target]iptables命令的基本匹配規(guī)則2024年5月30日CreativeCommonsLicense（BY-NC-SA）55使用iptables命令設置規(guī)則例向過濾表（filter）的INPUT鏈尾追加（-A）一條規(guī)則，拒絕所有源地址是的包所有的表名使用小寫字母，所有的鏈名使用大寫字母，所有的規(guī)則匹配使用小寫字母，所有的目標動作使用大寫字母2024年5月30日CreativeCommonsLicense（BY-NC-SA）56傳統(tǒng)過濾器的規(guī)則設置方法2024年5月30日57CreativeCommonsLicense（BY-NC-SA）主機過濾防火墻一塊網(wǎng)卡連接網(wǎng)絡2024年5月30日CreativeCommonsLicense（BY-NC-SA）58過濾只涉及兩個鏈下面的例子假定防火墻的默認策略為拒絕一切包舉例1：ssh的入站過濾協(xié)議類型：TCP入站包目的端口為22源端口號為>1023的隨機值入站連接建立的第一個數(shù)據(jù)包沒有ACK標志設置隨后的數(shù)據(jù)包均包含ACK標志設置出站包（回應請求）源端口為22（運行在防火墻上的SSH服務）目的端口是入站包使用的隨機端口所有的出站包均包含ACK標志設置2024年5月30日CreativeCommonsLicense（BY-NC-SA）59防火墻上的sshd對外提供服務舉例1：ssh的入站過濾規(guī)則DirProtoSASPDADPACK？ActionINTCP0>102322*AcceptOUTTCP220>1023YesAccept2024年5月30日CreativeCommonsLicense（BY-NC-SA）60#iptables-IINPUT-ieth0-ptcp\-s0--sport1024:65535\-d--dport22\-jACCEPT#iptables-IOUTPUT-oeth0-ptcp!--syn\-s--sport22\-d0--dport1024:65535\-jACCEPT舉例2：telnet的出站過濾協(xié)議類型：TCP出站包目的端口為23源端口號為>1023的隨機值出站連接建立的第一個數(shù)據(jù)包沒有ACK標志設置隨后的數(shù)據(jù)包均包含ACK標志設置入站包（回應請求）源端口為23（運行在其他主機上的Telnet服務）目的端口是出站包使用的隨機端口所有的入站包均包含ACK標志設置2024年5月30日CreativeCommonsLicense（BY-NC-SA）61防火墻訪問其他主機的telnet服務舉例2:telnet的出站過濾規(guī)則2024年5月30日CreativeCommonsLicense（BY-NC-SA）62DirProtoSASPDADPACK？ActionOUTTCP>1023*23*AcceptINTCP*23>1023YesAccept#iptables-IOUTPUT-oeth0-ptcp\-s--sport1024:65535\--dport23\-jACCEPT#iptables-IINPUT-ieth0-ptcp!--syn\--sport23\-d--dport1024:65535\-jACCEPT舉例3:smtp的入站和出站過濾2024年5月30日CreativeCommonsLicense（BY-NC-SA）63DirProtoSASPDADPACK？ActionINTCP*>102325*AcceptOUTTCP25*>1023YesAcceptOUTTCP>1023*25*AcceptINTCP*25>1023YesAccept防火墻上的smtp對外提供服務，也可訪問其他主機的smtp服務#iptables-IINPUT-ptcp--sport1024:65535\-d--dport25-jACCEPT#iptables-IOUTPUT-ptcp!--syn-s--sport25\--dport1024:65535-jACCEPT#iptables-IOUTPUT-ptcp-s--sport1024:65535\--dport25-jACCEPT#iptables-IINPUT-ptcp!--syn--sport25\-d--dport1024:65535-jACCEPT舉例4:DNS的入站和出站過濾2024年5月30日CreativeCommonsLicense（BY-NC-SA）64DirProtoSASPDADPACK？ActionINUDP*>102353AcceptOUTUDP53*>1023AcceptOUTUDP>1023*53AcceptINUDP*53>1023Accept防火墻上的DNS對外提供服務，也可訪問其他主機的DNS服務#iptables-IINPUT-pudp--sport1024:65535\-d--dport53-jACCEPT#iptables-IOUTPUT-pudp-s--sport53\--dport1024:65535-jACCEPT#iptables-IOUTPUT-pudp-s--sport1024:65535\--dport53-jACCEPT#iptables-IINPUT-pudp--sport53\-d--dport1024:65535-jACCEPT網(wǎng)絡過濾防火墻（1）至少兩塊網(wǎng)卡連接不同網(wǎng)絡2024年5月30日CreativeCommonsLicense（BY-NC-SA）65eth0eth1下面的例子假定防火墻的默認策略為拒絕一切包#echo“1”>/proc/sys/net/ipv4/ip_forward網(wǎng)絡過濾防火墻（2）2024年5月30日CreativeCommonsLicense（BY-NC-SA）66涉及三個鏈（下面重點討論轉(zhuǎn)發(fā)包的過濾）舉例5：內(nèi)網(wǎng)訪問外網(wǎng)

ssh服務的過濾規(guī)則DirProtoSASPDADPACK？Action內(nèi)

外TCP/24>1023*22*Accept外

內(nèi)TCP*22/24>1023YesAccept2024年5月30日CreativeCommonsLicense（BY-NC-SA）67#iptables-IFORWARD-ieth0-oeth1-ptcp\-s/24--sport1024:65535\--dport22-jACCEPT#iptables-IFORWARD-ieth1-oeth0-ptcp!--syn\--sport22\-d/24--dport1024:65535\-jACCEPT舉例6：外網(wǎng)訪問內(nèi)網(wǎng)

telnet服務的過濾規(guī)則2024年5月30日CreativeCommonsLicense（BY-NC-SA）68DirProtoSASPDADPACK？Action外

內(nèi)TCP*>1023/2423*Accept內(nèi)

外TCP/2423*>1023YesAccept#iptables-IFORWARD-ieth1-oeth0-ptcp\--sport1024:65535\-d/24--dport23\-jACCEPT#iptables-IFORWARD-ieth0-oeth1-ptcp!--syn\-s/24--sport23\--dport1024:65535\-jACCEPT舉例7:smtp的內(nèi)外轉(zhuǎn)發(fā)過濾2024年5月30日CreativeCommonsLicense（BY-NC-SA）69DirProtoSASPDADPACK？Action內(nèi)

外TCP/24>1023*25*Accept外

內(nèi)TCP*25/24>1023YesAccept外

內(nèi)TCP*>1023/2425*Accept內(nèi)

外TCP/2425*>1023YesAccept防火墻允許內(nèi)網(wǎng)訪問外網(wǎng)的smtp服務，也允許外網(wǎng)訪問內(nèi)網(wǎng)的smtp服務#iptables-IFORWARD-ptcp-s/24--sport1024:65535\--dport25-jACCEPT#iptables-IFORWARD-ptcp!--syn--sport25\-d/24--dport1024:65535-jACCEPT#iptables-IFORWARD-ptcp--sport1024:65535\-d/24--dport25-jACCEPT#iptables-IFORWARD-ptcp!--syn-s/24--sport25\--dport1024:65535-jACCEPT舉例8:DNS的內(nèi)外轉(zhuǎn)發(fā)過濾2024年5月30日CreativeCommonsLicense（BY-NC-SA）70DirProtoSASPDADPACK？Action內(nèi)

外UDP/24>1023*53Accept外

內(nèi)UDP*53/24>1023Accept外

內(nèi)UDP*>1023/2453Accept內(nèi)

外UDP/2453*>1023Accept#iptables-IFORWARD-pudp-s/24--sport1024:65535\--dport53-jACCEPT#iptables-IFORWARD-pudp--sport53\-d/24--dport1024:65535-jACCEPT#iptables-IFORWARD-pudp--sport1024:65535\-d/24--dport53-jACCEPT#iptables-IFORWARD-pudp-s/24--sport53\--dport1024:65535-jACCEPT防火墻允許內(nèi)網(wǎng)訪問外網(wǎng)的DNS服務，也允許外網(wǎng)訪問內(nèi)網(wǎng)的DNS服務傳統(tǒng)包過濾的缺陷規(guī)則復雜，過濾規(guī)則必須成對出現(xiàn)必須為入站請求的回應包打開隨機端口(1024-65535)必須為出站請求的回應包打開隨機端口(1024-65535)必須為轉(zhuǎn)發(fā)請求的回應包打開隨機端口(1024-65535)對于UDP協(xié)議包無法檢查是請求還是回應對于FTP協(xié)議，由于存在主動和被動之分，規(guī)則配置更復雜2024年5月30日CreativeCommonsLicense（BY-NC-SA）71對傳統(tǒng)包過濾的改進

——Netfilter支持狀態(tài)過濾為數(shù)據(jù)包在IP層重建連接保存包的連接狀態(tài)即使UDP沒有ACK標志，也可以通過已經(jīng)記住的UDP包狀態(tài)構(gòu)建相關(guān)聯(lián)的回應連接可以使用一條規(guī)則跟蹤回應包，而不必為每個服務的連接單獨開放回應可以檢查應用層報文可以通過檢查FTP應用層協(xié)議的PASV/PORT命令數(shù)據(jù)流找到FTP數(shù)據(jù)流需要的返回端口2024年5月30日CreativeCommonsLicense（BY-NC-SA）72連接跟蹤和狀態(tài)防火墻2024年5月30日73CreativeCommonsLicense（BY-NC-SA）連接跟蹤和狀態(tài)防火墻概述Netfilter/iptables可以配置有狀態(tài)的防火墻在Netfilter中使用連接跟蹤表跟蹤包狀態(tài)在iptables中使用狀態(tài)實現(xiàn)指定類型的包匹配Netfilter的連接跟蹤檢查每個IP數(shù)據(jù)包的上下文由ip_conntrack.ko

和ip_conntrack_*.ko模塊實現(xiàn)內(nèi)存中維護著連接跟蹤狀態(tài)的表/proc/net/ip_conntrackiptables為用戶空間提供了連接跟蹤的匹配狀態(tài)NEW：初始連接包ESTABLISHED：連接的回應包RELATED：由某個已經(jīng)建立的連接所建立的新連接INVALID：不能被識別屬于哪個連接或沒有任何狀態(tài)2024年5月30日CreativeCommonsLicense（BY-NC-SA）74iptables的狀態(tài)匹配擴展首先使用一條規(guī)則來允許連接應答包然后對每個允許的服務的新連接設置一條規(guī)則最后使用一條規(guī)則來阻止所有其它進入的連接2024年5月30日CreativeCommonsLicense（BY-NC-SA）75-mstate--state[!]<state>[,<state>,<state>,<state>]iptables-AINPUT-mstate–stateESTABLISHED,RELATED-jACCEPTiptables-AINPUT-mstate–stateNEW-ptcp–dport22-jACCEPTiptables-AINPUT-mstate–stateNEW-ptcp–dport80-jACCEPTiptables-AINPUT-mstate–stateNEW-jDROPiptables的狀態(tài)匹配擴展舉例使用狀態(tài)匹配設置轉(zhuǎn)發(fā)規(guī)則2024年5月30日CreativeCommonsLicense（BY-NC-SA）76#iptables-AFORWARD\-i<internalinterface>-o<externalinterface>\-s/24--sport1024:65535\

-mstate--stateNEW,ESTABLISHED,RELATED\-jACCEPT#iptables-AFORWARD\-i<externalinterface>-o<internalinterface>\

-mstate--stateESTABLISHED,RELATED\-jACCEPTNEW狀態(tài)與TCP標志位為了使備份防火墻在接管工作時不丟失數(shù)據(jù)傳輸狀態(tài)NEW會允許幾乎所有的TCP連接進入，而不管是否經(jīng)過了3次握手在不使用備份防火墻的系統(tǒng)中應該同時檢查SYN或?qū)⑺袥]有設置SYN標志位的NEW狀態(tài)的數(shù)據(jù)包視為攻擊包，將其納入系統(tǒng)日志并丟棄2024年5月30日CreativeCommonsLicense（BY-NC-SA）77iptables-AINPUT-ptcp!--syn

-mstate--stateNEW\-jLOG--log-prefix"NewbutnoSYN:"iptables-AINPUT-ptcp!--syn

-mstate--stateNEW-jDROPiptables-AINPUT-ptcp--syn

-mstate–stateNEW-ptcp–dport22-jACCEPTiptables-AINPUT-ptcp--syn

-mstate–stateNEW-ptcp–dport80-jACCEPT連接跟蹤的優(yōu)缺點優(yōu)點提高效率：連接跟蹤加快了已建立連接的后續(xù)數(shù)據(jù)包的放行簡化規(guī)則設計：可以使用一條規(guī)則跟蹤所有連接的回應包提高安全性：可以只開放那些有應答數(shù)據(jù)的端口，無需打開1024以上的所有端口來放行應答數(shù)據(jù)包缺點需要使用更多的物理內(nèi)存/proc/sys/net/ipv4/ip_conntrack_max2024年5月30日CreativeCommonsLicense（BY-NC-SA）78對連接跟蹤進行調(diào)優(yōu)指定連接跟蹤最大連接數(shù)/etc/sysctl.conffilter.nf_conntrack_max=500000指定連接跟蹤模塊加載時使用的cache大小/etc/modprobe.confoptionsip_conntrackhashsize=2000002024年5月30日CreativeCommonsLicense（BY-NC-SA）79繞過連接跟蹤避免遭遇“連接跟蹤表滿丟棄數(shù)據(jù)包”的錯誤數(shù)據(jù)包的非跟蹤處理引入raw表，使用目標NOTRACK標記非跟蹤包PREROUTING鏈：對進入防火墻的數(shù)據(jù)包進行OUTPUT鏈：對防火墻生成的數(shù)據(jù)包進行引入新的狀態(tài)UNTRACKED用于標識被raw表設置了“NOTRACK”的數(shù)據(jù)包Netfilter處理表的順序是最先處理raw表所以在對其他表（如filter）的操作中總能使用狀態(tài)UNTRACKED匹配那些被raw表設置了NOTRACK的數(shù)據(jù)包2024年5月30日CreativeCommonsLicense（BY-NC-SA）80使用非連接跟蹤的情況鑒于連接跟蹤的諸多優(yōu)點，應該盡量使用在使用連接跟蹤的同時，為避免連接跟蹤表滿丟棄數(shù)據(jù)包的情況，通常只對防火墻的部分流量實施非連接跟蹤，例如：對一個重負荷的路由器防火墻，只對防火墻自身的入站包和出站包使用連接跟蹤，而對被路由的轉(zhuǎn)發(fā)流量則不用。對一個大流量的Web服務器，只對Web服務的80端口實施非連接跟蹤，而對其他的服務依舊使用連接跟蹤的方便性。2024年5月30日CreativeCommonsLicense（BY-NC-SA）81非連接跟蹤配置舉例對目標端口為80的數(shù)據(jù)包標記NOTRACK放行訪問本地的所有回應包和關(guān)聯(lián)包，同時放行已經(jīng)被raw表標記為NOTRACK的非跟蹤狀態(tài)包允許連接本地FTP服務和SSH服務拒絕其他所有對本地的連接2024年5月30日CreativeCommonsLicense（BY-NC-SA）82iptables-raw-APREROUTING-ptcp-mtcp--dport80-jNOTRACKiptables-AINPUT-mstate--stateESTABLISHED,RELATED,UNTRACKED-jACCEPTiptables-AINPUT-mstate--stateNEW-ptcp--dport21-jACCEPTiptables-AINPUT-mstate--stateNEW-ptcp--dport22-jACCEPTiptables-AINPUT-jDROPNetfilter的工作流程2024年5月30日83CreativeCommonsLicense（BY-NC-SA）表和鏈的處理順序Netfilter的相關(guān)模塊按順序查詢多個表和鏈在檢查點上，表的查詢順序為：raw

mangle

nat

filter如：如果INPUT鏈上即有mangle表也有filter表，那么先處理mangle表，然后再處理filter表。不同鏈的匹配順序為：入站包（目標地址為防火墻自身）：PREROUTING

INPUT出站包（源地址為防火墻自身）：OUTPUT

POSTROUTING轉(zhuǎn)發(fā)包（目標地址和源地址均不是防火墻自身）：PREROUTING

FORWARD

POSTROUTING2024年5月30日CreativeCommonsLicense（BY-NC-SA）84鏈內(nèi)規(guī)則的匹配順序自上而下按規(guī)則的出現(xiàn)順序依次進行匹配檢查檢測到完全匹配的規(guī)則就按規(guī)則目標行事（或允許或拒絕或改寫包頭）并忽略鏈中后續(xù)規(guī)則的匹配（LOG目標除外）若包與本條規(guī)則不匹配，則依次與鏈中的下一條規(guī)則進行比較最后，如果包與鏈中的任何規(guī)則都不匹配，那么內(nèi)核將參考該鏈的默認策略來決定如何處理該包2024年5月30日CreativeCommonsLicense（BY-NC-SA）85規(guī)則的順序相當重要filter表和包過濾流程2024年5月30日CreativeCommonsLicense（BY-NC-SA）86本地進程本地進程入站出站轉(zhuǎn)發(fā)nat表和網(wǎng)絡地址轉(zhuǎn)換2024年5月30日CreativeCommonsLicense（BY-NC-SA）87DNATSNAT本地進程DNATmangle表和包頭處理2024年5月30日CreativeCommonsLicense（BY-NC-SA）88在DNAT前處理在SNAT前處理在nat

和filter表處理前處理在filter表處理前處理在filter表處理前處理本地進程本地進程raw表和非跟蹤處理2024年5月30日CreativeCommonsLicense（BY-NC-SA）89對入站包標記非跟蹤狀態(tài)對出站包標記非跟蹤狀態(tài)本地進程數(shù)據(jù)流向2024年5月30日CreativeCommonsLicense（BY-NC-SA）902024年5月30日CreativeCommonsLicense（BY-NC-SA）91RHEL/CentOS7的防火墻2024年5月30日92CreativeCommonsLicense（BY-NC-SA）CentOS7的防火墻系統(tǒng)組成2024年5月30日CreativeCommonsLicense（BY-NC-SA）93兩種互斥的防火墻系統(tǒng)CentOS7的動態(tài)防火墻系統(tǒng)引入了與netfilter交互的firewalld系統(tǒng)firewalld：配置和監(jiān)控系統(tǒng)防火墻規(guī)則的守護進程與守護進程交互的管理程序可以通過DBus消息系統(tǒng)與firewalld通信，從而動態(tài)管理防火墻規(guī)則Firewall-cmd：與firewalld交互的管理程序向下兼容的靜態(tài)防火墻系統(tǒng)iptables服務：負責防火墻規(guī)則的持久性管理工具：lokkit/system-config-firewall-tui2024年5月30日CreativeCommonsLicense（BY-NC-SA）94firewalld的區(qū)域firewalld將所有網(wǎng)絡流量分為多個區(qū)域，從而簡化防火墻管理。根據(jù)數(shù)據(jù)包的源IP地址或傳入網(wǎng)絡接口等條件，流量將轉(zhuǎn)入相應區(qū)域的防火墻規(guī)則，對于流入系統(tǒng)的每個數(shù)據(jù)包，將首先檢查其源地址。若此源地址關(guān)聯(lián)到特定的區(qū)域，則會執(zhí)行該區(qū)域的規(guī)則。若此源地址未關(guān)聯(lián)到某區(qū)域，則使用傳入網(wǎng)絡接口的區(qū)域并執(zhí)行區(qū)域規(guī)則。若網(wǎng)絡接口未與某區(qū)域關(guān)聯(lián)，則使用默認區(qū)域并執(zhí)行區(qū)域規(guī)則。2024年5月30日CreativeCommonsLicense（BY-NC-SA）95firewalld的預定義區(qū)域publicinternelexternaldmztrustedworkhomeblockdrop2024年5月30日CreativeCommonsLicense（BY-NC-SA）96firewall-cmd

——獲取預定義信息顯示預定義的區(qū)域#firewall-cmd--get-zones顯示預定義的服務#firewall-cmd--get-services顯示預定義的ICMP阻塞類型#firewall-cmd--get-icmptypes2024年5月30日CreativeCommonsLicense（BY-NC-SA）97firewall-cmd——區(qū)域管理顯示默認區(qū)域#firewall-cmd--get-default-zone顯示已激活的所有區(qū)域#firewall-cmd--get-active-zones顯示默認區(qū)域的所有規(guī)則#firewall-cmd--list-all顯示網(wǎng)絡接口eno33554960對應的區(qū)域#firewall-cmd--get-zone-of-interface=eno33554960更改網(wǎng)絡接口eno33554960對應的區(qū)域#firewall-cmd--zone=internal--change-interface=eno335549602024年5月30日CreativeCommonsLicense（BY-NC-SA）98firewall-cmd

——管理區(qū)域中的服務為默認區(qū)域設置允許訪問的服務或端口號#firewall-cmd--add-service=http#firewall-cmd--list-services#firewall-cmd--add-port=8888/tcp#firewall-cmd--list-ports為指定區(qū)域設置允許訪問的服務或端口號#firewall-cmd--zone=internal--add-service=mysql#firewall-cmd--zone=internal--remove-service=samba-client#firewall-cmd--zone=internal--list-services#firewall-cmd--zone=internal--add-port=8080/tcp#firewall-cmd--zone=internal--list-ports2024年5月30日CreativeCommonsLicense（BY-NC-SA）99firewall-cmd

——IP偽裝和端口轉(zhuǎn)發(fā)為默認區(qū)域開啟IP偽裝#firewall-cmd--add-masquerade#firewall-cmd--query-masquerade為默認區(qū)域設置端口轉(zhuǎn)發(fā)#firewall-cmd--add-forward-port=port=80:proto=tcp:toport=3128#firewall-cmd--add-forward-port=port=22166:proto=tcp:toport=22:toaddr=66#firewall-cmd--list-forward-ports2024年5月30日CreativeCommonsLicense（BY-NC-SA）100firewall-cmd

——兩種配置模式運行時模式（Runtimemode）表示當前內(nèi)存中運行的防火墻配置持久性模式（Permanentmode）表示重啟防火墻或重新加載防火墻規(guī)則時的配置與配置模式相關(guān)的選項--reload--permanent--runtime-to-permanent2024年5月30日CreativeCommonsLicense（BY-NC-SA）101firewall-cmd

——同時配置運行時規(guī)則和持久性規(guī)則方法1：獨立設置運行時規(guī)則和持久性規(guī)則#firewall-cmd--add-service=https#firewall-cmd--add-service=https--permanent方法2：設置持久性規(guī)則，而后重新加載配置使之成為運行時規(guī)則#firewall-cmd--add-service=https--permanent#firewall-cmd--reload方法3：設置運行時規(guī)則，而后將其寫入配置文件使之成為持久化規(guī)則#firewall-cmd--add-service=https#firewall-cmd--runtime-to-permanent2024年5月30日CreativeCommonsLicense（BY-NC-SA）102firewall-cmd

——高級配置使用復雜規(guī)則（RichRule）使用--add-rich-rule='rule'選項指定復雜規(guī)則'rule'需要使用特定的語法man5firewalld.richlanguage使用直接接口（DirectInterface）firewalld提供了直接接口使用--direct選項可以直接使用iptables、ip6tables和ebtables的命令語法使用firewall-cmd--permanent--direct命令配置的規(guī)則將寫入單獨的配置文件/etc/firewalld/direct.xml2024年5月30日CreativeCommonsLicense（BY-NC-SA）103iptables服務安裝iptables服務#yum-yinstalliptables-services#yum-yinstallsystem-config-firewall-{base,tui}屏蔽firewalld服務并開啟iptables服務#systemctlstopfirewalld#systemctlmaskfirewalld#systemctlstartiptables#systemctlenableiptables2024年5月30日CreativeCommonsLicense（BY-NC-SA）104管理iptables服務CentOS7中iptables服務已由Systemd管理#systemctlstartiptables#systemctlstopiptables#systemctlrestartiptables#systemctlenableiptables#systemctldisableiptables執(zhí)行systemctl命令管理iptables服務時會調(diào)用iptables服務的INIT腳本/usr/libexec/iptables/iptables.init2024年5月30日CreativeCommonsLicense（BY-NC-SA）105iptables的INIT腳本的任務腳本實現(xiàn)如下任務加載防火墻配置文件/etc/sysconfig/iptables-config在啟用/停用時加載/卸載相關(guān)的內(nèi)核模塊使用iptables-restore命令通過規(guī)則集文件/etc/sysconfig/iptables加載防火墻規(guī)則使用iptables-save命令存儲當前的防火墻規(guī)則到規(guī)則集文件/etc/sysconfig/iptables清除防火墻規(guī)則；設置最嚴格的防火墻規(guī)則等2024年5月30日CreativeCommonsLicense（BY-NC-SA）106iptables無需運行守護進程，因為Netfilter是Linux內(nèi)核提供的功能防火墻配置文件/etc/sysconfig/iptables-config用于控制Netfilter/iptables的行為加載額外的iptables內(nèi)核模塊，多個模塊以空格間隔IPTABLES_MODULES="ip_conntrack_netbios_nsip_conntrack_ftp"在執(zhí)行serviceiptablesrestart|stop時是否卸載已加載的內(nèi)核模塊IPTABLES_MODULES_UNLOAD="yes“…………2024年5月30日CreativeCommonsLicense（BY-NC-SA）107防火墻規(guī)則持續(xù)性iptables-save將規(guī)則集文件保存到指定的文件#/sbin/iptables-save-c>/root/iptables-20150211參數(shù)-c的用于是保存包和字節(jié)計數(shù)器的值，使重啟防火墻后不丟失對包和字節(jié)的統(tǒng)計。若希望將當前規(guī)則存入iptablesINIT管理腳本調(diào)用的默認規(guī)則集文件，執(zhí)行如下命令即可#/usr/libexec/iptables/iptables.initsaveiptables-restore將指定文件中的規(guī)則裝載到內(nèi)存

#/sbin/iptables-restore-c</root/iptables-201502112024年5月30日CreativeCommonsLicense（BY-NC-SA）108默認規(guī)則集文件

/etc/sysconfig/iptables規(guī)則集文件具有特殊的格式以“#”開始的行為注釋。以“*”開始的行指定某表中的鏈和規(guī)則的開始（*<filter|nat|mangle|raw>）。以“:”開始的行指定表中的鏈策略（:<鏈名><鏈策略>[<包計數(shù)器>:<字節(jié)計數(shù)器>]）。這兩個計數(shù)器和“iptables-L-v”命令輸出中用到的計數(shù)器是一樣的。以“-”開始的行指定表中的規(guī)則。關(guān)鍵字為“COMMIT”的行表示一個表的結(jié)束，說明此時就要將此表的規(guī)則裝入內(nèi)核了。管理員可以直接修改規(guī)則集文件來配置防火墻2024年5月30日CreativeCommonsLicense（BY-NC-SA）109規(guī)則集文件舉例2024年5月30日CreativeCommonsLicense（BY-NC-SA）110*filter:INPUTACCEPT[0:0]:FORWARDACCEPT[0:0]:OUTPUTACCEPT[0:0]:RH-Firewall-1-INPUT-[0:0]-AINPUT-jRH-Firewall-1-INPUT-AFORWARD-jRH-Firewall-1-INPUT-ARH-Firewall-1-INPUT-ilo-jACCEPT-ARH-Firewall-1-INPUT-picmp--icmp-typeany-jACCEPT-ARH-Firewall-1-INPUT-mstate--stateESTABLISHED,RELATED-jACCEPT-ARH-Firewall-1-INPUT-mstate--stateNEW-mudp-pudp--dport67-jACCEPT-ARH-Firewall-1-INPUT-mstate--stateNEW-mudp-pudp--dport69-jACCEPT-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport22-jACCEPT-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport80-jACCEPT-ARH-Firewall-1-INPUT-mstate--stateNEW-mtcp-ptcp--dport21-jACCEPT-ARH-Firewall-1-INPUT-jREJECT--reject-withicmp-host-prohibitedCOMMIT使用lokkit命令工具

配置基于iptables服務的防火墻啟用防火墻#lokkit--enabled設置防火墻缺省類型#lokkit--default=server為某個服務或端口打開防火墻#lokkit-shttp-shttps-sftp-sdns#lokkit-p67:udp-p69:udp-p8080:tcp2024年5月30日CreativeCommonsLicense（BY-NC-SA）111Iptables命令使用進階2024年5月30日112CreativeCommonsLicense（BY-NC-SA）使用iptables命令

構(gòu)建防火墻的步驟清除所有規(guī)則為了避免新建的防火墻與系統(tǒng)中已經(jīng)運行的防火墻相互干擾，一般應該先清除所有規(guī)則。設置防火墻策略設置當數(shù)據(jù)包沒有匹配到鏈中的規(guī)則時應該如何對待（是拒絕還是放行）。設置防火墻規(guī)則設置數(shù)據(jù)包的匹配規(guī)則以及匹配后的處理動作（指定目標）。2024年5月30日CreativeCommonsLicense（BY-NC-SA）113清除防火墻規(guī)則

-F或--flush清除指定鏈和表中