IPSec故障处理

• 引言

获取所有可用区域：

firewall-cmd --get-zones

block–拒绝所有传入的网络连接。仅从系统内部启动的网络连接是可能的。

dmz –经典非军事区（DMZ）区域，它提供对LAN的有限访问，并且仅允许选定的传入端口。

drop –丢弃所有传入网络连接，并且仅允许传出网络连接。

external-对于路由器连接类型很有用。您还需要LAN和WAN接口，以使伪装（NAT）正常工作。

home –适用于您信任其他计算机的局域网内的家用计算机，例如笔记本电脑和台式机。仅允许选择的TCP / IP端口。

第1章  防火墙的介绍

  在Linux 2.4内核中，包过滤模块发生了根本性的变化，完全由内核控制，效率得到了很大的提高。控制内核包过滤的工具，也用iptables取代了 ipchains。在iptables的标准发布中，就带有MAC地址匹配的模块。我们可以通过iptables -m mac 命令来装载它。

iptables是一个命令行工具，通过它可以设置linux防火墙，查看过滤规则等信息，本文将说明如何通过iptable控制mac地址，允许或者丢弃指定的mac地址。