防火墙规则笔记整理

防火墙机制：
	一种机制是阻拦传输流通行：白名单（比如ssh端口）
	一种机制是允许传输流的通行：黑名单（比如http）
	一些防火墙偏重阻拦传输流的通行，一些防火墙偏重允许传输流的通行
防火墙实现的功能：
	1. 可以保护易受攻击的服务
	2. 控制内外网络之间网络系统访问
	3. 集中管理内网的安全性，降低管理成本
	4. 提高网络的保密性和安全性
	5. 记录网络的使用状态，为安全规划和网络维护提供依据
netfilter：内核态模块和用户态工具，位于linux内核中包过滤体系
iptables：/sbin/iptables是用户空间工具，管理员通过iptables给netfilter变更规则

iptables规则表顺序
```
	raw表-->mangle表-->nat表-->filter表
	raw表：确定是否对该数据进行状态跟踪
	mangle表：为数据包设置标记，可用于办公网络的路由选择，选择备用线路办公
	nat表：修改数据包中的源、目标的IP地址和端口（常用）
	filter表：确定是否放行该数据包（过滤）--常用
	
	规则链的作用：对数据包进行过滤或者处理
	链的作用：容纳各种防火墙规则
	链分类的依据：处理数据包的不通时机
```
规则链：
```
	INPUT 处理入站数据包
	OUTPUT 处理出站数据包
	FORWARD 处理转发数据包
	POSTROUTING 进行路由选择后处理数据包
	PREROUTING 在进行路由选择前处理数据包
```
规则链之间的顺序：
```
	入站 PREROUTING-->INPUT 
	出站 OUTPUT-->POSTROUTING
	转发 PREROUTING-->FORWARD-->POSTROUTING 
```
iptables语法格式
```
	iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
	选项：
		-A 在链的末尾追加
		-I 在链的开头插入
		-D 删除指定序号的规则
		-F 清空所有的规则
	控制类型：
		ACCEPT 允许通过
		DROP 直接丢弃
		REJECT 拒绝，对方会接收到提示
		LOG 记录日志然后继续匹配下一条规则
	iptables -L 列表默认显示filter表的规则条目
	iptables -n 以数字的形式显示规则信息（端口、协议等）
	iptables -v 以更详细的方式显示规则信息
	iptables --line-numbers 查看防火墙的规则时显示序号，删除时可指定该序号
```

「一键投喂软糖/蛋糕/布丁/牛奶/冰阔乐！」