1. Iptables构建防火墙应用
#a. iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过 iptables这个代理,将用户的安全设定执行到对应的“安全框架中,这个安全框架”才是真正的防火墙,这个框架的名字叫 netfilter。 netfilter才是防火墙真正的安全框架( framework), netfilter位于内核空间。 iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。 netfilter/ iptables(下文中简称为 iptables)组成 Linux平台下的包过滤防火墙,与大多数的 Linux软件一样,这个包过滤防火墙是免费的,它可以代替品贵的商业防火墙解决方案完成封包过滤、封包重定向和网络地址转换(NAT)等功能
b. iptables中有5张表filter表: iptables中使用最穴泛的表,作用是进行过滤,也是由 filter表来决定一个数据包是否继续发往目的地址或者被拒绝nat表:用于网络地址转换,可以改变数据包的源地址或者目的地址mangle表:用于修改IP的头部信息,如修改TTLraw表:为 iptables提供了一种不经过状态追踪的机制,在大流量对外业务的服务器上使用这个表可以避免状态追踪带来的性能问题security表:提供在数据包中加入 SELINUX特性的功能。在实际应用中, security一般不常用
c. Centos7默认的防火墙不是 iptables,而是 firewall。通过如下命令检查是否安装 iptables,和安装 iptables
输入:service iptables status
上述命令的执行后能看到提示 iptables.service could not found,说明并没有安装,通过如下命令来停用并禁用 firewal