Netfilter模块

Netfilter是Linux 2.4.x引入的一个子系统，它作为一个通用的、抽象的框架，提供一整套的hook函数的管理机制，使得诸如数据包过滤、网络地址转换（NAT）和基于协议类型的连接跟踪成为了可能。

Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点（HOOK），而在每个检测点上登记了一些处理函数进行处理。

查看内核启动的参数（查看Netfilter是否启动）：cat /boot/config-3.10.0-957.e17.x86_64

Netfilter（IP层，网络层）的五个HOOK点的位置

1、NF_IP_PRE_ROUTING：刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验和等检测）， 目的地址转换在此点进行；

2、NF_IP_LOCAL_IN：经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行；

3、NF_IP_FORWARD：要转发的包通过此检测点，FORWARD包过滤在此点进行；

4、NF_IP_POST_ROUTING：所有马上便要通过网络设备出去的包通过此检测点，内置的源地址转换功能（包括地址伪装）在此点进行；

5、NF_IP_LOCAL_OUT：本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行。

CentOS6&CentOS7

CentOS6的防火墙-->iptables

---->4表13链，链表之间的关系。

---->iptables-save

CentOS7的防火墙-->firewall-cmd

---->firewall-cmd命令

包状态：数据能否穿透防火墙取决于包的状态。

---->数据包发不出

---->数据包回不来

---->通过内核管理的8个选项：包状态、包类型、源和目的端口、源和目的IP、源和目的mac。

---->管理7层防火墙，7层防火墙是在应用层工作的防火墙，它实时监控保护系统各个方面的行为。保护系统的安全运行，有效地保证系统的正常运行，网络系统安全中有良好的表现。

查看命令的软件包：yum provides iptables

读取配置文件：/etc/sysconfig/iptables-config

firewall服务和firewall命令以及firewall区域

firewall-cmd:

---->firewall，根据区域来判断规则。

---->firewall-cmd --

---->firewall-cmd --get-zones

区域（9个）：block（阻塞）、dmz（非军事交战区或隔离区）、drop（丢弃）、external、home、internal、public、trusted、work

drop，接收的任何网络数据包都会被丢弃，没有任何回复，仅能有发送出去的网络连接。

block，接收的任何网络数据包都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。

public，在公共区域内使用，不能相信网络内的其他计算机不会对你的计算机造成危害，只能接收经过选取的连接。

external，特别是为路由器启用了伪装功能的外部网，你不能信任来自网络的其他计算机，不能相信他们不会对你的计算机造成危害，只能接收经过选取的连接。

dmz，用于你的非军事区内的电脑，此区域内可公开访问，可以有限地进入你的内部网络，仅仅接收经过选取的连接。

work，用于工作区，你可以基本相信网络内的其他计算机不会危害你的电脑，仅接收经过选取的连接。

home，用于家庭网络，你可以基本相信网络内的其他计算机不会危害你的电脑，仅接收经过选取的连接。

internal，用于内部网络，你可以基本相信网络内的其他计算机不会危害你的电脑，仅接收经过选取的连接。

trusted，可以接收所有的网络连接。

动态管理防火墙：支持zones管理的防火墙，firewall按传入流量划分区域。

逻辑说明：1、如果传入的数据的Saddr，和区域的某个S规则匹配，就把这个包通过这路由；2、接口相同；3、默认区域。

具体操作：

查看所有区域：firewall-cmd --list-all
查看某个区域：firewall-cmd --zone=public--list-all
查看默认区域：firewall-cmd --get-default-zone
查看所有区域（激活的、可用的）：firewall-cmd --get-zones
查看正在所用的区域（启用的）：firewall-cmd --get-active-zones
查看防火墙的状态：firewall-cmd --state
查看防火墙支持的所有协议：firewall-cmd --get-services
查看协议icmp所支持的类型：firewall-cmd --get-icmptypes
查看网卡在哪个区域：firewall-cmd --get-zone-of-interface=ens33
查询当前区域内支持的服务：firewall-cmd --list-services
查询当前区域内支持的端口：firewall-cmd --list-ports

更改当前区域：firewall-cmd --set-default-zone=internal
某个网卡绑定到区域内：firewall-cmd --zone=work --add-interface=eth1
某个网卡更改绑定到区域：firewall-cmd --zone=work --change-interface=eth1
某个网卡更改移除到区域：firewall-cmd --zone=work --remove-interface=eth1
某个网卡查看绑定某个区域：firewall-cmd --zone=work --query-interface=eth1

区域内允许使用http协议：firewall-cmd --zone=work --add-service=http
区域内移除使用http协议：firewall-cmd --zone=work --remove-service=http
区域内查询使用http协议：firewall-cmd --zone=work --query-service=http

区域内允许使用80端口：firewall-cmd --zone=work --add-port=80/tcp
区域内允许使用20到30端口：firewall-cmd --zone=work --add-port=20-30/tcp
区域内拒绝使用20到30端口（本身不允许）：firewall-cmd --zone=work --remove-port=20-30/tcp

上网伪装：
允许work区域访问外网：firewall-cmd --zone=work --add-masquerade
拒绝work区域访问外网：firewall-cmd --zone=work --remove-masquerade
查询work区域访问外网：firewall-cmd --zone=work --query-masquerade
禁止阻塞应答包：firewall-cmd --zone=work --add-icmp-block=ech0-reply
查询阻塞应答包：firewall-cmd --zone=work --query-icmp-block=ech0-reply
移除阻塞应答包：firewall-cmd --zone=work --remove-icmp-block=ech0-reply
禁止阻塞请求包：firewall-cmd --zone=work --add-icmp-block=ech0-request
查询阻塞请求包：firewall-cmd --zone=work --query-icmp-block=ech0-request
移除阻塞请求包：firewall-cmd --zone=work --remove-icmp-block=ech0-request

数据包的转发：
firewall-cmd --zone=work --add-forward-port=<port>[-port]:proto=<protocol>{:toport=port<port>|:toaddr=<address>}
firewall-cmd --reload
端口转发（80端口转到192.168.1.2的8080端口）：firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.2
移除端口转发：firewall-cmd --zone=work --remove-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.2

富策略：策略中的特例
firewall-cmd --zone=public --list-rich-rules
inverse---->取反
语法：
rule family=<ipv4/ipv6> source adddress=<ip/mask> invet=true destination address=<ip/mask> invet=true server name=<服务名> port=<服务端口> protocol=<tcp/udp>  <drop/reject/accept/log/adit>
举例：
从1.1.1.1过来的地址，访问8888端口，转到80端口：
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=1.1.1.1/8 forward-port port=8888 protocol=tcp to-port=80'
阻止可疑的IP地址访问：
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.0.0.0/24 drop'
限制某个协议每分钟允许访问3次（限流的作用）：
firewall-cmd --permanent --add-rich-rule='rule service name=ssh accept limit value=3/m'
伪装IP，允许192.168.0.0/24访问：
firewall-cmd --permanent -zone=dmz ---add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade' 

开放服务器的端口：
firewall-cmd --permanent --zone=public --add-port=22/tcp 
firewall-cmd --permanent --zone=public --add-port=100-500/tcp
firewall-cmd --reload

允许某个IP/IP地址段访问某个端口：
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept"
firewall-cmd --reload

限制某个IP访问某个端口：
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" reject"
firewall-cmd --reload

防火墙的规则文件：
vi /etc/firewalld/zones/public.xml