firewalld火墙策略（一）

1.什么是防火墙

防火墙是指设置在不同网络,或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。
防火墙（Firewall），是一种硬体设备或软体系统，主要架设在内部网路和外部网路间，为了防止外界恶意程式对内部系统的破坏，或是阻止内部重要资讯向外流出，有双向监督的功能。藉由防火墙管理员的设定，可以弹性的调整安全性的等级。

2.防火墙的介绍

防火墙有netfilter,iptables;

netfilter是内核上的一个插件，当有数据包到达内核时，内核首先查看netfilter表格中的信息，来确定是否接受此数据包。

netfilter火墙策略的更新来源于iptables策略，更改iptables策略的工具有:iptables和fillwalld

3.火墙管理工具的切换

【注】：在rhel8中默认使用的是firewalld

1) firewalld - - - - - >iptables的切换

dnf install iptables ##首先安装iptables
systemctl stop firewalld ##关闭firewalld
systemctl disable firewalld  ##设置开机不启动
systemctl mask firewalld ##封锁firewalld
systemctl enable --now iptables ##开启iptables并设置为开机启动
systemctl status iptables ##查看iptables状态

2）iptables- - - - ->firewalld的切换

systemctl stop iptables
systemctl disable iptables
systemctl mask iptables
systemctl enable --now firewalld
systemctl status firewalld

4.iptables的使用

vim /etc/sysconfig/iptables  ##iptables策略记录文件

永久保存策略：

方法一：service iptables save
方法二：iptables-save > /etc/sysconfig/iptables

查看默认的火墙策略

用 -F 刷新火墙策略后，重启服务后查看火墙策略还是默认的

用方法一或二来永久保存策略

5.火墙默认策略

默认策略中的五条链：

input	输入
output	输出
forward	转发
postrouting	路由之后
prerouting	路由之前

默认的三张表

filter	经过本机内核的数据（包含的链有：input、output、forward
net	不经过本机内核的数据（postrouting、prerouting、input、output
mangle	当filter和net表不够用时使用（input、output、forward、postrouting、prerouting)

iptables的命令

-t	指定表名称
-n	不做解析
-L	查看
-A	添加策略
-p	协议
- -dport	目的地端口
-s	来源
-j	动作
ACCEPT	允许
DROP	丢弃
REJECT	拒绝
SNAT	源地址转换
DNAT	目的地地址转换
-N	新建链
-E	更改链名称
-X	删除链
-D	删除规则\
-I	插入规则
-R	更改规则
-P	更改默认规则

-t   ##指定表名
-L   ##查看
-n   ##不做解析

此时其他主机还能和这台主机通信：

-A   ##添加策略
-j   ##动作
REJECT ##拒绝

此时此主机拒绝任何其他主机的所有端口

-D ##删除策略

此时其他主机又能和此台主机通信！！

DROP ##丢弃

此时其他主机和这台主机通信时，不会被此台主机拒绝，但也收不到信息

-s ##数据来源
ACCEPT ##允许

上面命令在INPUT链中添加192.168.43.117用户被允许，但其还是被阻止了，因为在火墙策略中，是从上往下依次读取，当只有读到和他匹配的策略他就直接走掉了，不会从上往下依次读完。

-i ##插入

此时192.168.43.117用户可以和此主机通信

-p ##协议
- -dport ##目的地端口

此时其他主机的22端口才能和此台主机连接

-R ##更改

上面将端口该为80，现在其他主机的22端口不能访问，80端口可以访问这台主机

-P ##更改默认规则
默认是ACCEPT

上面的策略允许所有主机的所有端口通过

此时所有主机的所有端口访问都成DROP状态。

-N ##新建链
-E ##更改链
-X 删除链

数据包状态
为了解决数据包因为策略检测，而发生巨大的延迟问题，我们需要将数据包的状态记录下来

上述当已经访问过的或者正在访问的，可以直接让他通过，如果是新的访问回环接口，80，443，53端口，也让他通过。倒数第二条命令是除了192.168.43.117用户访问22端口不能通过，其他用户都可以通过。
【综上】：当在设定火墙时要将火墙的状态加上去，不然会大大影响数据传输的性能

nat表中的dnat、snat

snat(源地址转换）:
数据传送，首先准备一台双网卡主机

nmcli connection add westos1 ifname ens224 type ethernet ip4 172.25.254.20/24 ##设定IP地址

设定客户主机ip为172.25.254.10，网关为172.25.254.1

现在客户主机能连接172.25.254.20这个ip,但是不能连接192.168.43.63这个ip
检查192网络的内核路由是否打开：

发现是开着的，现在编写火墙策略文件

在客户端测试发现，此时能够Ping通192.168.43网段的外网

dnat（目的地址转换）:

iptables -t nat -A PREROUTEING -i ens160 -j DNAT --to-dest 172.25.254.30
##从ens160进入的数据均将他仍给172.25.258.30 ，这就是目的地址转换