系列文章目录
前言
防火墙可以分为硬件防火墙和软件防火墙
硬件防火墙 例如华为E9000 ,有专门的操控界面,按要求操作
软件防火墙 例如
iptables(cCentos 5/6的默认防火墙)
firewalld(Centos 7/8默认防火墙)
Linux系统的防火墙
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成
主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上
netfilter/iptables 关系
netfilter属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。
是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
iptables属于“用户态”(User Space,又称为用户空间)的防火墙管理体系
是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables文件下
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启
■ Linux防火墙基础
● iptables的表、链结构
●数据包控制的匹配流程
■ 编写防火墙规则
● 基本语法、控制类型
● 添加、查看、删除规则
● 规则的匹配条件
提示:以下是本篇文章正文内容,下面案例可供参考
一、iptables防火墙
Linux包过滤防火墙概述
■ netfilter
● 位于Linux内核中的包过滤功能体系
● 称为Linux防火墙的“内核态”
■ iptables
● 位于/sbin/iptables,用来管理防火墙规则的工具
● 称为Linux防火墙的“用户态”
以上2种都可以表示Linux防火墙
四表五链
规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则
总结:表里有链,链里有规则
四表:
raw表:确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING。
mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。
nat表:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。
filter表:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、FORWARD、OUTPUT。
在iptables的四个规则表中,mangle表和raw表的应用相对较少
五链:
INPUT:处理入站数据包,匹配目标IP为本机的数据包。
OUTPUT:处理出站数据包,一般不在此链上做配置。
FORWARD:处理转发数据包,匹配流经本机的数据包。
PREROUTING链:在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。