Mangle

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> Linux 防火墙基础 在 linux 里内核带有了防火墙的模块，可以实现安全相关的功能，实现了 防火墙，nat，包管理功能，也实现了网络防火墙的功能。 内核级的功能，需要用的话要配合用户空间的管理软件。 基于主机的防火墙，基于网络的防火墙 硬件防火墙，软件防火墙 网络层防火墙，应用层防火墙 内核是否支持 iptables grep -i iptables /boot/config-3.10.0-862.el7.x86_64 iptables的组成 iptables由五个表和五个链以及一些规则组成 五个表：filter nat mangle raw security filter：过滤规则表，根据预定义的规则过滤符合条件的数据包 nat：network address translation 地址转换规则表 raw：关闭nat表上启用的连接跟踪机制，加快封包穿越防火墙速度 securiry：用于强制访问控制网络规则，由linux安全模块实现 mangle：修改数据标记位规则表 优先级由高到低的顺序为：security-->raw-->mangle-->nat-->filter 五个内置链 chain INPUT OUTPUT FORWARD PREROUTING POSTROUTING

firewall和netfilter 临时关闭防火墙 selinux 使用命令 setenforce 0 如果想永久关闭防火墙，需要修改配置文件 配置文件地址是 /etc/selinux/config 可以使用 vi /etc/selinux/config 进行修改 如图，打开config文件后，可以看到上图内容 这里需要把 SELINUX=enforcing 的值 修改为 disabled 也就是 SELINUX=disabled ，然后保存退出，重启系统就生效了 如图，命令 getenforce 可以查看 selinux 的状态 上图显示为 Enforcing 表示是打开状态 使用 setenforce 0 命令把 selinux 临时关闭 然后再使用 getenforce 查看 selinux 的状态 可以看到变成了 Permissive Permissive的意思是，一些会触发防火墙的操作，系统会提出警告 如果是 Enforcing 状态，系统会直接打断操作 而 Permissive 状态下，系统不会打断操作，但是会在后台记录警告信息 也就是说，可以进行一些会触发 selinux 的操作 除了selinux这个防火墙外，还有另外一个防火墙叫做 netfilter selinux防火墙是对内的，而 netfilter 是对外的 网络过来的包会被netfilter处理

这篇文章会尽量以通俗易懂的方式描述 iptables 的相关概念，请耐心的读完它。 防火墙相关概念 此处先描述一些相关概念。 从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙：针对于单个主机进行防护。 网络防火墙：往往处于网络入口或边缘，针对于网络入口进行防护，服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突，可以理解为，网络防火墙主外（集体）， 主机防火墙主内（个人）。 从物理上讲，防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高。 软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低。 那么在此处，我们就来聊聊Linux的iptables iptables 其实不是真正的防火墙，我们可以把它理解成一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的"安全框架"中，这个"安全框架"才是真正的防火墙，这个框架的名字叫 netfilter netfilter才是防火墙真正的安全框架（framework），netfilter位于内核空间。 iptables其实是一个命令行工具，位于用户空间，我们用这个工具操作真正的框架。 netfilter/iptables（下文中简称为iptables）组成Linux平台下的包过滤防火墙