目录
文章目录
iptables/netfilter 框架
iptables 是运行在 Userspace 的防火墙配置工具,是 netfilter 项目的防火墙应用部分,通过控制运行在 Kernelspace 的 netfilter 模块,来管理网络数据包的处理和转发。
之所以称 iptables CLI 为配置工具,是因为实际的防火墙过滤功能由内核模块 netfilter 提供,iptables 只是负责提供用户可操作的过滤 rules 配置接口。
简而言之,用户空间的 iptables 制定防火墙规则,内核空间的 netfilter 实现防火墙功能,iptables/netfilter(下文简称为 iptables)组合才是真防火墙。
NOTE:iptables 用于 ipv4,ip6tables 用于 ipv6。最新的 nftables 已经包含在 Linux kernel 3.13 中,以后会取代 iptables 成为主要的 Linux 防火墙配置工具。
iptables-service
大多 Linux 发型版将 iptables 被做成了一个服务,启动,则将防火规则生效。反之,则将防火规则撤销。
# 停止 firewal