Windows系统，CentOS6.5, 7操作系统防火墙规则

Windows系统

windows7：

https://jingyan.baidu.com/article/ea24bc39a757d1da62b33128.html

Windows10：

http://www.win10zhijia.net/xtjc/windows10/2016/0331/2473.html

Windows防火墙——穿透与防御：

https://bbs.kafan.cn/thread-1456448-1-1.html

配置Windows Server 2008防火墙 - 允许被Ping：

netsh firewall set icmpsetting 8

netsh firewall set icmpsetting 8 disable

高级安全Windows防火墙：

http://blog.csdn.net/ab601026460/article/details/61924238

CentOS系统

linux6.5:

iptables规则

[网络封包的过滤]

(https://img-blog.csdn.net/20171023153129411?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvc2lnZWVyZGFpZHVpd2FuZw==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)

规则–顾名思义就是规矩和原则，规则就是决定如何处理一个包的语句。如果一个包符合所有的条件，我们就用相应的处理动作来处理。

Linux下的封包机制：iptables

iptables利用封包过滤的机制，分析封包的表头数据，根据表头数据与定义的规则去对比，从而决定这个封包能否进入该主机还是应该被丢弃的一个过程，如果相同则动作，否则进入下一条。

三个表：filter/nat/mangle

filter:INPUT 与封包想进入主机有关

OUTPUT 与主机送出的封包有关

FORWARD 与主机转发传递到其他主机上有关

nat:PREROUTING 在进行路由判断之前所要进行的规则 （DNAT/REDIRECT）

POSTROUTING 在进行路由判断之后所要进行的规则 （SNAT/MASQUERADE）

OUTPUT 与发送出去的封包有关系

mangle:较少用

书写规则的语法格式为：

iptables 的命令参数

-L 列出防火墙当前的规则

-t 后面接tables，没使用时，默认使用filter表格

-n 不进行IP和hostname的反查，加快查询速度

-v 显示更多信息，包括封包总位数和相关网络接口

-P 定义策略

-A 定义规则，接最后

-I 定义规则，放最前

-F 清除所有已制定的规则

-X 清除所有使用者自定义的tables

-Z 清除tables里的计数和流量

书写规则的语法格式为：

iptables [-t table] command chains [creteria] -j action

-t table就是表名，filter/nat/mangle三个表中的一个，默认是filter表

command告诉程序如何做，比如：插入一个规则，还是删除等

chains 链，有五个，PREROUTING POSTROUTING INPUT OUTPUT FORWARD

action 处理动作，有ACCEPT DENY DROP REJECT SNAT DNAT

iptables的策略建立参数

iptables –P INPUT DROP # 该封包直接被丢弃且客户端不知道为什么会被丢弃

iptables –P OUTPUT ACCEPT #该封包会被发送出去

iptables -P FORWARD ACCEPT #该封包会被转发走

iptables 的规则建立参数

-i 封包所进入的网络接口，后接eth0，lo等接口

-o 封包所传出的网络接口

-p 指定协议，主要封包的格式有TCP、UDP、ICMP、ALL

-s 来源IP/网段，192.168.6.76 192.168.6.0/24 !192.168.6.0/24

-d 目标IP/网段

-j 后接动作，例如ACCEPT/DROP/LOG

iptables 的规则建立参数

-sport 限制来源的端口

-dport 限制目标的端口

在使用这两个参数时，需要制定封包格式

例如：iptables –A INPUT –I eth0 –p tcp –sport 22–j ACCEPT

-m 根据指定状态做出对应反应

–state 和-m参数配合使用 ，一些状态的指定，有INVALID(无效封包)、ESTABLISHED(联机成功)、NEW（新建立的连接）、RELATED(表示对发出去的封包做出回应)

例如：iptables –A INPUT -m state –state RELATED,ESTABLISHED –j ACCEPT

使用场景：用本机访问远程主机的SSH或只允许被动响应的连接来源

ICMP的封包规则

-p icmp 当需要对ICMP封包格式过滤时

–icmp-type 后接ICMP的类型

例如:iptables –A INPUT –p icmp –icmp-type 8 –j drop

iptables –A INPUT –p icmp –icmp-type echo-request –j drop

iptales 的记录、恢复与测试

iptables-save > filename

iptables-restore < filename

CentOS7：

防火墙

systemctl stop firewalld 关闭firewall

systemctl distable firewalld 禁止开机启动

firewall-cmd –zone=public –add-port=80/tcp –permanent

firewall-cmd –zone=public –add-service=http –permanent

–zone #作用域

–add-port=80/tcp #添加端口，格式为：端口/通讯协议

–permanent #永久生效，没有此参数重启后失效

重启防火墙

firewall-cmd –reload

常用命令介绍

firewall-cmd –state ##查看防火墙状态，是否是running

firewall-cmd –reload ##重新载入配置，比如添加规则之后，需要执行此命令

firewall-cmd –get-zones ##列出支持的zone

firewall-cmd –get-services ##列出支持的服务，在列表中的服务是放行的

firewall-cmd –query-service ftp ##查看ftp服务是否支持，返回yes或者no

firewall-cmd –add-service=ftp ##临时开放ftp服务

firewall-cmd –add-service=ftp –permanent ##永久开放ftp服务

firewall-cmd –remove-service=ftp –permanent ##永久移除ftp服务

firewall-cmd –add-port=80/tcp –permanent ##永久添加80端口

iptables -L -n ##查看规则，这个命令是和iptables的相同的

man firewall-cmd ##查看帮助