1.防火墙工作机制
- 防火墙就是位于外网和内网之间的一组软硬件部件的组合,是内核的一个插件。
- 其目的主要是想保护内网的安全和内外网之间数据的流通性,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。
防火墙有两种管理方式:
(1)iptables:更接近数据的原始操作,精度更高
(2)firewalld:更易操作
2.四表五链
(1)filter:过滤,防火墙
(2)nat :network address translation 网络地址转换
(3)mangle:拆解报文,作出修改,封装报文
PREROUTING 数据包进入路由之前
INPUT 目的地址为本机
FORWARD 实现转发
OUTPUT 原地址为本机,向外发送
(4)raw: 关闭nat表上启用的链接追踪机制
3.源地址转换
地址伪装(SNAT)
SNAT:源地址转换
内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
4.目的地址转换
端口转发(DNAT)
DNAT:目的地址转换
当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。