Linux——Iptables与Firewalld防火墙

防火墙管理工具

防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制，然后防火墙使用预先定制的策略规则监控出入的流量，若流量与某一条策略规则相匹配，则执行相应的处理，反之则丢弃。这样一来，就可以保证仅有有合法的流量在企业
内网和外部公网之间的流动了。

iptables

在早期的Linux系统中，默认使用的是iptables防火墙管理服务来配置防火墙。尽管新型的firewalld防火墙管理服务已经被投入使用多年，但是大量的企业在生产环境中依然出于各种原因而继续使用iptables。
各个防火墙管理工具的配置思路是一致的，在掌握了iptables后再学习其他防火墙管理工具时，也有借鉴意义。

策略与规则链

防火墙会从上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为（即放行或阻止）。如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略。一般而言，防火墙策略规则的设置有两种：一种是“通”（即放行），一种是“堵”（即阻止）。当防火墙的默认策略为拒绝时（堵），就要设置允许规则（通），否则谁都进不来；如果防火墙的默认策略为允许时，就要设置拒绝规则，否则谁都能进来，防火墙也就失去了防范的作用。

iptables服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链则依据数据包处理位置的不同进行分类，具体如下：

在进行路由选择前处理数据包（PREROUTING）；
处理流入的数据包（INPUT）；     *外网-->内网
处理流出的数据包（OUTPUT）；    *外网<--内网
处理转发的数据包（FORWARD）；   *通过第三方
在进行路由选择后处理数据包（POSTROUTING）。

匹配策略规则采取的动作：

ACCEPT（允许）：允许流量通过
LOG（登记）：允许流量通过，但记录日志信息
REJECT（拒绝）：拒绝流量通过且明确给予拒绝的响应（考试时务必用REJECT，让系统  明确知道流量被拒绝）
DROP（丢弃）：拒绝流量通过但不响应

基本的命令参数

iptables是一款基于命令行的防火墙策略管理工具，具有大量参数。

iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配，一旦匹配成功，iptables就会根据策略规则所预设的动作来处理这些流量。另外，再次提醒一下，防火墙策略规则的匹配顺序是从上至下的，因此要把较为严格、优先级较高的策略规则放到前面，以免发生错误。

iptables中常用的参数以及作用

Firewalld

RHEL 7系统中集成了多款防火墙管理工具，其中firewalld（Dynamic Firewall Manager of Linux systems，Linux系统的动态防火墙管理器）服务是默认的防火墙配置管理工具，它拥有基于CLI（命令行界面）和基于GUI（图形用户界面）的两种管理方式。