第十四课预习

第十四课预习任务

10.12 firewalld和netfilter
10.13 netfilter5表5链介绍
10.14 iptables语法
10.15 iptables filter表案例
10.16/10.17/10.18 iptables nat表应用
扩展（selinux了解即可）
selinux教程 http://os.51cto.com/art/201209/355490.htm
selinux pdf电子书 http://pan.baidu.com/s/1jGGdExK
iptables应用在一个网段 http://www.aminglinux.com/bbs/thread-177-1-1.html
sant,dnat,masquerade http://www.aminglinux.com/bbs/thread-7255-1-1.html
iptables限制syn速率 http://www.aminglinux.com/bbs/thread-985-1-1.html http://jamyy.us.to/blog/2006/03/206.html

---

查看防火墙状态

permissive表示虽然开启，但是遇到问题，不真正进行阻断，只是进行提醒。屏幕上看不到，会记录到某个地方。

临时关闭

永久关闭

7之前用netfilter

7开始使用firewalld

他们内置的工具都是iptables

首先关闭firewalld

然后安装一个包

再开启iptables服务

iptables自带规则

iptables仅仅是防火墙的一个工具，不是防火墙的名字。

3条链 input forward output

查看规则所在文件

iptables -F 清除当前规则

重启服务以后，重新加载规则。

默认是filter表

写完规则只是在当前内存生效，若想重启后依然生效，使用命令

清零计数器

增加一个规则：从192.168.188.1来源的tcp协议，端口1234的数据，到192.168.188.128的80端口的数据丢弃

DROP也可以用REJECT，REJECT会给个回应，DROP直接丢弃。一般用DROP比较多

查看规则

-I参数是插入的意思，insert。会在最前面，-A是增加的意思，会到最后面。最前面的优先执行。

删除一条规则-D

打印规则编号

规则太长，可以使用序号来删除

小案例

首先写个脚本

运行脚本，查看规则

加一条禁ping规则前，可以正常ping

加规则后

无法ping通，达到禁ping效果。

给zsylinux-01添加一块网卡

禁用zsylinux-02原来的网卡，再添加一块网卡，新网卡的LAN区段和zsylinux-01一致。

使用命令给zsylinux-01上的新网卡ens37添加一个ip地址

保险起见，关闭zsylinux-02上的老网卡ens33

给zsylinux-02上的新网卡ens37设置ip

01机器成功ping不通02机器

02机器也成功ping通01机器

在windows机器上，无法ping通100.1和100.100

02机器无法上网，也无法ping通01机器的老网卡

01机器上打开路由转发

增加一条规则

首先查看02机器的网管 route -n

把02机器设置网关为192.168.100.1,再ping01机器的老网卡，成功ping通。

在01机器的两个网卡做一个NAT地址转发。

iptables -t nat -A POSTROUTING -s 192.168.100.1/24 -o ens33 -j MASQUERADE

02机器ping外网，成功。

但是从宿主机ping02机器，就ping不通

此时01机器就相当于一个路由器。

首先在01机器上执行如下操作

虽然宿主机192.168.19.1无法ping通02机器，但是可以通过在A上做端口映射，从而达到间接ssh 02机器的目的。