目录
一、防火墙概述
防火墙分两种:
- 硬件防⽕墙:通过硬件和软件的组合,基于硬件的防⽕墙保护整个内部网络安全。(例如 华为E9000)
- 软件防⽕墙:通过纯软件,单独使⽤软件系统来完成防⽕墙功能,保护安装它的系统。
大型公司都是以硬件防火墙为主,软件防火墙为辅。软件防火墙根据情况来决定是否开启,如果服务器性能不够,可能会关闭软件防火墙。
Linux中自带的防火墙:
- iptables:Centos 5/6 系统默认防火墙
- firewalld:Centos 7/8 系统默认防火墙
iptables是Linux系统的防火墙, IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。
主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。属于典型的包过滤防火墙(或称为网络层防火墙)。
netfilter
- 属于的“内核态”(Kernel Space, 又称为内核空间)的防火墙功能体系。
- 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
iptables
- 属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
- 是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。
二、四表五链
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。
表中所有规则配置后,立即生效,不需要重启服务。
规则表的作用:容纳各种规则链。
规则链的作用:容纳各种防火墙规则。
即表里有链,链里有规则。
四表:
表名 | 作用 |
raw | 确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING |
mangle | 修改数据包内容,用来做流量整形,给数据包设置标记。包含五个规则链,INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING |
nat | 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、 PREROUTING、 POSTROUTING |
filter | 负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、 FORWARD、 OUTPUT |
在iptables的四个规则表中, mangle表和raw表的应用相对较少。
filter表是防火墙的默认表。
五链:
链名 | 作用 |
INPUT | 处理入站数据包,匹配目标IP为本机的数据包。 |
OUTPUT | 处理出站数据包,一般不在此链上做配置。 |
FORWARD | 处理转发数据包,匹配流经本机的数据包。 |
PREROUTING | 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。 |
POSTROUTING | 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。 |
三、数据包控制的匹配流程
1.规则表顺序
数据包到达防火墙时,规则表之间的优先顺序:raw >mangle > nat > filter
2.规则链顺序
主机型防火墙:
- 入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING --> INPUT -->本机的应用程序
- 出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序---->OUTPUT ----->POSTROUTING
网络型防火墙:
- 转发数据