最近做了一个关于Jenkins的安装，其中有一个问题是ssh 连接被拒绝了，所以我学习了一下关于防火墙的知识。 首先，我们先来介绍iptables使用：

1.iptables的工作机制

从上面的发展我们知道了作者选择了5个位置，来作为控制的地方，但是你有没有发现，其实前三个位置已经基本上能将路径彻底封锁了，但是为什么已经在进出的口设置了关卡之后还要在内部卡呢？ 由于数据包尚未进行路由决策，还不知道数据要走向哪里，所以在进出口是没办法实现数据过滤的。所以要在内核空间里设置转发的关卡，进入用户空间的关卡，从用户空间出去的关卡。那么，既然他们没什么用，那我们为什么还要放置他们呢？因为我们在做NAT和DNAT的时候，目标地址转换必须在路由之前转换。所以我们必须在外网而后内网的接口处进行设置关卡。        

这五个位置也被称为五个钩子函数（hook functions）,也叫五个规则链。 1.PREROUTING (路由前) 2.INPUT (数据包流入口) 3.FORWARD (转发管卡) 4.OUTPUT(数据包出口) 5.POSTROUTING（路由后）         这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。       

2.防火墙的策略

防火墙策略一般分为两种，一种叫“通”策略，一种叫“堵”策略，通策略，默认门是关着的，必须要定义谁能进。堵策略则是，大门是洞开的，但是你必须有身份认证，否则不能进。所以我们要定义，让进来的进来，让出去的出去，所以通，是要全通，而堵，则是要选择。当我们定义的策略的时候，要分别定义多条功能，其中：定义数据包中允许或者不允许的策略，filter过滤的功能，而定义地址转换的功能的则是nat选项。为了让这些功能交替工作，我们制定出了“表”这个定义，来定义、区分各种不同的工作功能和处理方式。

我们现在用的比较多个功能有3个： 1.filter 定义允许或者不允许的 2.nat 定义地址转换的  3.mangle功能:修改报文原数据

我们修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开，在里面做标记/修改内容的。而防火墙标记，其实就是靠mangle来实现的。   小扩展: 对于filter来讲一般只能做在3个链上：INPUT ，FORWARD ，OUTPUT 对于nat来讲一般也只能做在3个链上：PREROUTING ，OUTPUT ，POSTROUTING 而mangle则是5个链都可以做：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING   iptables/netfilter（这款软件）是工作在用户空间的，它可以让规则进行生效的，本身不是一种服务，而且规则是立即生效的。而我们iptables现在被做成了一个服务，可以进行启动，停止的。启动，则将规则直接生效，停止，则将规则撤销。  iptables还支持自己定义链。但是自己定义的链，必须是跟某种特定的链关联起来的。在一个关卡设定，指定当有数据的时候专门去找某个特定的链来处理，当那个链处理完之后，再返回。接着在特定的链中继续检查。

注意：规则的次序非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。 其中IPtables使用的格式：    iptables [-t table] COMMAND chain CRETIRIA -j ACTION -t table ：3个filter nat mangle COMMAND：定义如何对规则进行管理 chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的 CRETIRIA:指定匹配标准 -j ACTION :指定如何进行处理        例子：     iptables -t filter -A INPUT -p tcp --dport 9000 -j ACCEPT       其中：使用注意      详解COMMAND: 1.链管理命令（这都是立即生效的） -P :设置默认策略的（设定默认门是关着的还是开着的） 默认策略一般只有两种 iptables -P INPUT (DROP|ACCEPT)  默认是关的/默认是开的 比如： iptables -P INPUT DROP 这就把默认规则给拒绝了。并且没有定义哪个动作，所以关于外界连接的所有规则包括Xshell连接之类的，远程连接都被拒绝了。         -F: FLASH，清空规则链的(注意每个链的管理权限)     iptables -t nat -F PREROUTING     iptables -t nat -F 清空nat表的所有链         -N:NEW 支持用户新建一个链             iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。         -X: 用于删除用户自定义的空链             使用方法跟-N相同，但是在删除之前必须要将里面的链给清空昂了         -E：用来Rename chain主要是用来给用户自定义的链重命名             -E oldname newname          -Z：清空链，及链中默认规则的计数器的（有两个计数器，被匹配到多少个数据包，多少个字节）             iptables -Z :清空   2.规则管理命令          -A：追加，在当前链的最后新增一个规则          -I num : 插入，把当前规则插入为第几条。             -I 3 :插入为第三条          -R num：Replays替换/修改第几条规则             格式：iptables -R 3 …………          -D num：删除，明确指定删除第几条规则          3.查看管理命令 “-L” 附加子命令 -n：以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。 -v：显示详细信息 -vv -vvv :越多越详细 -x：在计数器上显示精确值，不做单位换算 --line-numbers : 显示规则的行号 -t nat：显示所有的关卡的信息         详解匹配标准

1.通用匹配：源地址目标地址的匹配 -s：指定作为源地址匹配，这里不能指定主机名称，必须是IP IP | IP/MASK | 0.0.0.0/0.0.0.0 而且地址可以取反，加一个“!”表示除了哪个IP之外 -d：表示匹配目标地址 -p：用于匹配协议的（这里的协议通常有3种，TCP/UDP/ICMP） -i eth0：从这块网卡流入的数据 流入一般用在INPUT和PREROUTING上 -o eth0：从这块网卡流出的数据 流出一般在OUTPUT和POSTROUTING上          2.扩展匹配 2.1隐含扩展：对协议的扩展     -p tcp :TCP协议的扩展。一般有三种扩展 --dport XX-XX：指定目标端口,不能指定多个非连续端口,只能指定单个端口，比如 --dport 21  或者 --dport 21-23 (此时表示21,22,23) --sport：指定源端口 --tcp-fiags：TCP的标志位（SYN,ACK，FIN,PSH，RST,URG）     对于它，一般要跟两个参数： 1.检查的标志位 2.必须为1的标志位 --tcpflags syn,ack,fin,rst syn   =    --syn 表示检查这4个位，这4个位中syn必须为1，其他的必须为0。所以这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包，还有一种简写方式，叫做--syn     -p udp：UDP协议的扩展         --dport         --sport     -p icmp：icmp数据报文的扩展         --icmp-type： echo-request(请求回显)，一般用8 来表示 所以 --icmp-type 8 匹配请求回显数据包 echo-reply （响应的数据包）一般用0来表示                    2.2显式扩展（-m）      扩展各种模块       -m multiport：表示启用多端口扩展       之后我们就可以启用比如 --dports 21,23,80                                  详解-j ACTION 常用的ACTION： DROP：悄悄丢弃 一般我们多用DROP来隐藏我们的身份，以及隐藏我们的链表 REJECT：明示拒绝 ACCEPT：接受 custom_chain：转向一个自定义的链 DNAT SNAT MASQUERADE：源地址伪装 REDIRECT：重定向：主要用于实现端口重定向 MARK：打防火墙标记的 RETURN：返回 在自定义链执行完毕后使用返回，来返回原规则链。 以上是对iptables命令进行修改。 接着，iptables -L -v -n 命令是列出所有iptables规则。           iptables -F   清除所有规则           iptables -X   清除所有自定义规则

关于ufw使用 iptables可以灵活的定义防火墙规则， 功能非常强大。但是由此产生的副作用便是配置过于复杂。一向以简单易用著称Ubuntu在它的发行版中，附带了一个相对iptables简单很多的防火墙配置工具：ufw。 在Ubuntu中安装UFW： 目前这个包存在于Ubuntu 8.04的库中。 sudo apt-get install ufw 上面这行命令将把软件安装到您系统中。 开启/关闭防火墙 (默认设置是’disable’)

ufw enable|disable

转换日志状态

ufw logging on|off

设置默认策略 (比如 “mostly open” vs “mostly closed”)

ufw default allow|deny

许 可或者屏蔽某些入埠的包 (可以在“status” 中查看到服务列表［见后文］)。可以用“协议：端口”的方式指定一个存在于/etc/services中的服务名称，也可以通过包的meta-data。 ‘allow’ 参数将把条目加入 /etc/ufw/maps ，而 ‘deny’ 则相反。基本语法如下：

ufw allow|deny [service]

显示防火墙和端口的侦听状态，参见 /var/lib/ufw/maps。括号中的数字将不会被显示出来。

ufw status

［注意：上文中虽然没有使用 sudo，但是命令提示符号都是“#”。所以……你知道啥意思了哈。原文如此。──译者注］ UFW 使用范例： 允许 53 端口 $ sudo ufw allow 53 禁用 53 端口 $ sudo ufw delete allow 53 允许 80 端口 $ sudo ufw allow 80/tcp 禁用 80 端口 $ sudo ufw delete allow 80/tcp 允许 smtp 端口 $ sudo ufw allow smtp 删除 smtp 端口的许可 $ sudo ufw delete allow smtp 允许某特定 IP $ sudo ufw allow from IP 删除上面的规则 $ sudo ufw delete allow from IP