iptables firewalld 防火墙相关知识

七层模型 
应用层 http ssh ftp https
表示层 
会话层
传输层 tcp udp ip+prot
网络层 icmp
数据链路层 mac
物理层
iptables 是基于包过滤（对osi模型的四层或者四层以下进行过滤）的防火墙工具 可以对流入和流出服务器的数据包进行精细的控制 主要针对网络访问
iptables 可以把他理解为客户端的代理 用户通过iptables这个代理 将用户的安全设定执行到对应的安全框架中 这个安全框架才是防火墙 框架叫做netfilter
netfiter 内核空间 真正实现防护墙功能
iptables 用户空间 在/sbin/iptables存在的防火墙 通过iptables提供管理 修改 删除 插入规则
用户和内核交互的工具就是iptables
大并发的情况下iptables消耗cpu 可以利用硬件防火墙提升架构安全
iptables工作原理
    主机防火墙 防范单台主机进出的报文 filter表
    网路防火墙 防范进出本网络所有主机的报文 nat表
    四表 raw mangle nat filter 
    iptables缺点 无法过滤内部网络数据包 从内网攻击 防火墙基本没有作用
            黑客可以通过电脑系统操作漏洞绕过防护墙入侵电脑
            防火墙无法有效阻挡病毒攻击 尤其是隐藏在数据中的病毒
iptables工作流程
 四表五链
    防火墙是一层一层过滤 安装配置规则的顺序从上到下 从前到后进行过滤
    如果匹配上了规则 即表名是阻止还是通过 此时数据包就不在向下匹配新规则了
    如果所有规则都没有匹配到 则匹配默认规则
    防火墙的默认规则是对应链的所有规则执行完之后才会执行
什么是表 表是链的容器 链属于对应的表
什么是链 匹配规则的容器
什么是规则 过滤信息的规范和具体方法条例
四表 （必须小写）    raw 追踪数据包
        mangle 给数据包打标记
        nat 网络地址转换即来源与目的地ip地址和port的转换
        filter 过滤用的
表的应用顺序 按照上面从上到下的流程
五链 （必须大写）
    PREROUTING 进路由之前数据包
    INPUT 过滤进来的数据包 输入
    FORWARD 转发
    OUTPUT 发出去的数据包
    POSTROUTING 路由之后的数据包
    所有访问都是按顺序
yum install -y iptables iptables-services 下载iptables
配置文件 /etc/sysconfig/iptables-config
记录规则文件 /etc/sysconfig/iptables
参数详解
    -L 查看一个链或所有链的规则信息
    -n 以数字形式显示地址 端口信息
    -v 以更详细的方式显示规则信息
    --line-numbers 查看规则时 显示规则序号
    -F 清空所有规则
    -D 删除链内指定序号 或 指定的一条规则
    -P 为指定的链设置默认规则
    -A 在链的末尾追加一条规则
    -I 在链开头插入一条规则
    -t 指定表名
    -i 指定网卡
    -s 指定ip
如果不写 -t 指定表名 则默认使用filter表
    -n 搭配-L使用 以数字形式下次按时ip和端口与协议
例句 iptables -t 表名 -F 链名 清空单独表里的某个链
iptables-save > /etc/sysconfig/iptables 保存规则
iptables语法 iptables -t 表名 动作 [链名][-p 匹配条件][-j 控制类型]
-j 控制类型 通过前面匹配到之后是丢弃还是保留数据包的处理方式
ACCEPT 允许 REJECT拒绝 DROP丢弃 不会返回给用户任何消息
动作 ： 添加规则还是删除规则
-p ： 匹配条件：数据包特征ip 端口 等
动作 修改默认规则 -P
    删除规则 -D
    修改规则 -R
    追加规则 -A
    插入规则 -I 在链开头 可以指定序列号
规则匹配条件
    协议 -p（小p）
    tcp    udp    icmp （ping的时候使用）
使用协议的时候可以不指定端口 使用端口的时候必须指定协议
通过端口规则匹配
    --sport 源端口
    --dport 目标端口
端口之间加，为或 端口之间加：为从什么端口到什么端口
扩展规则 -m iprange --src-range 指定ip范围
    -m multiport --sports 源端口
    -m multiport --dports 目的端口
mac地址匹配 -m mac --mac-source
企业级firewalld防火墙
firewall-cmd工具 
firewalld将网卡对应到不同的区域（zone）通过不同的zone定义了不同的安全等级
    trusted 允许所有流量通过
    home/internal 仅允许ssh数据通过
    work 仅允许 ssh ipp-client，dhcpv6-client数据通过
    public：默认区域，仅允许ssh,dhcpv6-client数据通过
    external：仅允许ssh数据通过，通过该区域的数据将会伪装（SNAT/DNAT）
    dmz：仅允许ssh数据通过
    block：任何传入的网络数据包都将被阻止。拒绝所有流量
    drop：丢弃所有流量，没有返回回应消息
firewall-cmd --permanent 设置永久生效的配置
域zone相关的命令
--get-default-zone 查询默认的区域名称
--set-default-zone=<区域名称> 设置默认的区域
--get-active-zones 显示当前正在使用的区域与网卡名称
--get-zones 显示总共可用的区域
services管理的命令
--add-service=<服务名> --zone=<区域> 设置指定区域允许该服务的流量
--remove-service=<服务名> --zone=<区域> 指定区域不再允许该服务的流量
port相关命令
--add-port=<端口/协议号> --zone=区域 指定区域允许该端口的流量
--remove-port=端口号/协议号 --zone=区域 指定该区域不再允许使用该端口流量
查看所有规则的命令
--list-all --zone=区域 显示指定区域的网卡配置参数 资源 端口 以及服务等信息
--reload 让永久生效的配置立即生效 覆盖当前配置规则