linux就该这么学-第十节课

9月27日开始了第十节课，主要讲了第八章：Iptables与Firewalld防火墙。讲述了 iptables firewalld(分为终端管理工具firewall-cmd 和 图形管理工具) 及服务的访问控制列表。

iptables 在早期的linxu 系统中，默认使用的是iptables 防火墙管理服务来配置防火墙。
iptables 服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下：

在进行路由选择前处理数据包（PREROUTING）；
处理流入的数据包（INPUT）；
处理流出的数据包（OUTPUT）；
处理转发的数据包（FORWARD）；
在进行路由选择后处理数据包（POSTROUTING）。

动作：ACCEPT（允许流量通过）；REJECT（拒绝流量通过）；LOG(记录日志信息)；DROP（拒绝流量通过）。
DROP 直接将流量丢弃而且不响应；
REJECT则会在拒绝流量后再回复一条“您的信息已收到，但被扔掉了”信息，从而让流量发送方清晰地看到数据被拒绝的响应信息。（考试使用reject，拒绝并回复）

iptables 中常用的参数以及作用：

-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址 IP/MASK，加叹号“！” 表示这个IP除外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议，如TCP，UDP，ICMP
–dport num 匹配目标端口号
–sport num 匹配来源端口号

firewalld rhel 7 系统中集成了多款防火墙管理工具，其中firewalld（Dynamic Firewall Manager of Linux systems,linux 系统的动态防火墙管理器）服务是默认的防火墙配置管理工具，它拥有基于CLI（command-line interface 命令行界面）和基于GUI（Graphical user interface 图形用户界面）两种管理方式。

有两种模式，Runtime 当前不生效，重启后会生效。 Permanent 当前暂时不生效，但是永久生效。 可使用 reload 可立即生效。

服务的访问控制列表 TCP Wrappers 是rhel 7 系统中默认启用的一款流量监控程序，它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。在配置TCP Wrappers服务时需要遵循两个原则：

编写拒绝策略规则时，填写的是服务名称，而非协议名称；
建议先编写拒绝策略规则，再编写允许策略规则，以便直观地看到相应的效果。

最后附上几张笔记：