iptables构建防火墙应用
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙,这个框架的名字叫netfilter。netfilter才是防火墙真正的安全框架,netfilter位于内核空间。iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。
iptables 有5张表
- filter表:iptables中使用最广泛的表,作用是进行过滤,也是由filter表来决定一个数据包是否继续发往目的地址或者别拒绝。
- nat表:用于网络地址转换,可以改变数据包的源地址或者目的地址
- mangle表:用于修改IP头部信息,如修改TTL\TOS\MARK
- raw表:为iptables提供了一种不经过状态追踪的机制,在大流量对外业务的服务器上使用这个表可以避免状态追踪带来的性能问题。
- security表:提供数据包中加入SELinux特性的功能。一般不用
CentOS7如何安装iptables
CentOS7中默认安装的是firewalle。首先输入
service iptables status
确认是否安装了iptables,如果没有
#停止firewalld服务
systemctl stop firewalld
#禁用firewalld服务
systemctl mask firewalld