iptables与firewalld

iptable

经常使用参数

-P     #设置默认策略
-F     #清空规则链
-L     #查看规则链
-I <num>     #在规则链头部插入新规则
-A     #在规则链尾部加入新规则
-D <num>     #删除某一条规则
-s     #匹配来源地址 IP/MASK , 加叹号 “！”表示排除这个ip
-d     #匹配目标地址
-i <网卡名称>     #匹配从这块网卡流入的流量
-o <网卡名称>     #匹配从这块网卡流出的流量
-p     #匹配协议，如TCP,UDP,ICMP
--dport <num>    #匹配目标端口号
--sport <num>    #匹配来源端口号

• 查看已有规则链

iptables -L
iptable --list

• 设置默认规则链

iptables -P INPUT DROP #把INPUT规则链默认策略设置为拒绝（其余参数有ACCEPT,REJECT,LOG）
#REJECT和DROP不一样的是，REJECT会在拒绝流量后回复拒绝信息，DROP是直接丢弃流量

• 自定义规则

#向INPUT规则链添加容许icmp流量进入的策略规则
iptables -I INPUT -p icmp -j ACCEPT


#只容许指定网段的主机访问本机22端口，拒绝其余主机的访问
iptables -I INPUT -p tcp -s 10.0.0.1/24 --dport 22 -j ACCEPT #容许指定主机访问
iptables -A INPUT -p tcp --dport 22 -j REJECT #拒绝其余主机访问
#！！！须要注意的是iptables是根据配置的规则从下到上匹配，在头部的规则优先级更高。


#向INPUT链添加拒绝全部主机访问本机1000——2000端口的策略规则
iptables -A INPUT -p tcp --dport 1000:2000 -j REJECT

firewalld

默认区域及规则

firewalld引入了区域的概念，相似于window的家庭网络，工做网络，公共网络，不一样区域之间能够切换，且有其相应的默认规则。