所谓防火墙也称之为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统 。一项信息安全的防护系统 。按照给定的规则,允许或者限制网络报文通过 。
- 硬件防?墙:通过硬件和软件的组合,基于硬件的防?墙保护整个内部网络安全 。(例如 华为E9000)
- 软件防?墙:通过纯软件,单独使?软件系统来完成防?墙功能,保护安装它的系统 。
1 iptables防火墙概述linux系统自带的软件防火墙:
- iptables:centos 5/6 系统默认防火墙
- firewalld:Centos 7/8 系统默认防火墙
主要工作在网络层,针对IP数据包 。体现在对包内的IP地址、端口、协议等信息的处理上 。属于典型的包过滤防火墙(或称为网络层防火墙) 。
netfilter和iptables的关系:netfilter
- 属于的“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系 。
- 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 。
- 属于“用户态”(User Space,又称为用户空间)的防火墙管理体系 。
- 是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下 。
文章插图
1.2 iptables的四表五链netfilter/iptables后期简称为iptables 。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表 。
表中所有规则配置后,立即生效,不需要重启服务 。
四表五链:规则表的作用:容纳各种规则链 。
规则链的作用:容纳各种防火墙规则 。
即表里有链,链里有规则 。
四表:
作用
raw
确定是否对该数据包进行状态跟踪 。包含两个规则链,OUTPUT、PREROUTING
mangle
修改数据包内容,用来做流量整形,给数据包设置标记 。包含五个规则链,INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING
nat
负责网络地址转换,用来修改数据包中的源、目标IP地址或端口 。包含三个规则链,OUTPUT、 PREROUTING、 POSTROUTING
filter
负责过滤数据包,确定是否放行该数据包(过滤) 。包含三个规则链,INPUT、 FORWARD、 OUTPUT
在iptables的四个规则表中,mangle表和raw表的应用相对较少 。
filter表是防火墙的默认表 。
五链:
作用
INPUT
处理入站数据包,匹配目标IP为本机的数据包 。
OUTPUT
处理出站数据包,一般不在此链上做配置 。
FORWARD
处理转发数据包,匹配流经本机的数据包 。
PREROUTING
在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT 。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上 。
POSTROUTING
在进行路由选择后处理数据包,用来修改源地址,用来做SNAT 。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网 。
1.3 数据包控制的匹配流程1.3.1 规则表之间的优先顺序:数据包到达防火墙时,规则表之间的优先顺序:raw >mangle > nat > filter
文章插图
1.3.2 规则链之间的匹配顺序:主机型防火墙:
- 入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING --> INPUT -->本机的应用程序
- 出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序---->OUTPUT ----->POSTROUTING
- 转发数据(需要经过防火墙转发的数据包):PREROUTING -->FORWARD -->POSTROUTING
文章插图
注:标红的表示该链的规则通常在这个表上配置 。
1.3.3 规则链内部的匹配顺序:
- 自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)
推荐阅读
- Ajax 之战:XMLHttpRequest 与 Fetch API
- IPSec配置实例
- 秋田犬为什么禁养?
- 运动之后真的能喝水吗?
- 瑜伽真的可以减肥么
- 泡红茶之前要洗茶吗,红茶需要洗茶吗
- 苦丁茶属于什么茶?
- 日产|配5.6升V8发动机 日产途乐已通过国六b排放标准:“沙漠之王”来了
- Redmi|中端机性能之王!卢伟冰预热Redmi Note 11T Pro:米粉最期待价格
- 唐武宗|历史的职场智慧:深度解读职场阳谋,崇以虚名而实夺之权(之三)
