前言

防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。Linux中真正的防火墙是Netfilter，但由于都是通过应用层程序如iptables或firewalld进行操作，所以我们一般把iptables或firewalld叫做Linux的防火墙，iptables都是针对IPv4的，如果IPv6，则要用ip6tables。

类型

• 硬件防火墙

       拥有经过特别设计的硬件及芯片，性能高、成本高(当然硬件防火墙也是有软件的，只不过有部分功能由硬件实现，所以硬件防火墙其实是硬件+软件的方式)；

• 软件防火墙

       应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能比硬件防火墙低

处理动作

    ACCEPT：允许数据包通过；

    DROP：直接丢弃数据包，不回应任何信息，客户端只有当该链接超时后才会有反应；

    REJECT：拒绝数据包，会给客户端发送一个数据包被丢弃的响应的信息；

    SNAT：S指Source，源NAT(源地址转换)。在进入路由层面的route之后，出本地的网络栈之前，改写源地址，目标地址不变，并在本机建立NAT表项，当数据返回时，根据NAT表将目的地址数据改写为数据发送出去时候的源地址，并发送给主机。解决私网用户用同一个公网IP上网的问题；

    MASQUERADE：是SNAT的一种特殊形式，适用于动态的、临时会变的IP上；

    DNAT：D指Destination，目的NAT，解决私网服务端，接收公网请求的问题。和SNAT相反，IP包经过route之前，重新修改目标地址，源地址不变，在本机建立NAT表项，当数据返回时，根据NAT表将源地址修改为数据发送过来时的目标地址，并发给远程主机。可以隐藏后端服务器的真实地址；

    REDIRECT：在本机做端口映射；

    LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则。 除去最后一个LOG，前3条规则匹配数据包后，该数据包不会再往下继续匹配了，所以编写的规则顺序极其关键。
 

1、对iptables做策略

iptables -t filter -I INPUT -s 192.168.112.130 -p tcp -m tcp --dport 22 --tcp-flags ALL SYN -j REJECT

2、使用nmap扫描

 [email protected]:~# nmap -ss 192.168.112.131
    starting Nmap 7.70 ( https: //nmap.org ) at 2022-07-16 23:48 CST
    Nmap scan report for 192.168.112.131
    Host is up (0.00028s latency ) .
    Not shown : 991 closed ports
    PORT      STATE  SERVICE
    135/tcp   open   msrpc
    139/tcp   open   netbios-ssn
    445/tcp   open   microsoft-ds
    5357/tcp  open   wsdapi
    49152/tcp open   unknown
    49153/tcp open   unknown
    49154/tcp open   unknown
    MAC Address: 00:0C:29:8F:FF:8F (VMware)

参考：

MySQL学习（十）redo log 介绍 - float123 - 博客园

https://www.jianshu.com/p/4bcfffb27ed5