Linux 防火墙基础

在 linux 里内核带有了防火墙的模块，可以实现安全相关的功能，实现了防火墙，nat，包管理功能，也实现了网络防火墙的功能。

内核级的功能，需要用的话要配合用户空间的管理软件。

基于主机的防火墙，基于网络的防火墙

硬件防火墙，软件防火墙

网络层防火墙，应用层防火墙

内核是否支持 iptables

grep -i iptables /boot/config-3.10.0-862.el7.x86_64

iptables的组成

iptables由五个表和五个链以及一些规则组成

五个表：filter nat mangle raw security

filter：过滤规则表，根据预定义的规则过滤符合条件的数据包

nat：network address translation 地址转换规则表

raw：关闭nat表上启用的连接跟踪机制，加快封包穿越防火墙速度

securiry：用于强制访问控制网络规则，由linux安全模块实现

mangle：修改数据标记位规则表

优先级由高到低的顺序为：security-->raw-->mangle-->nat-->filter

五个内置链 chain

INPUT

OUTPUT

FORWARD

PREROUTING

POSTROUTING

raw：prerouting output

mangle：prerouting postrouting intput output forward

nat：prerouting postrouting output input

filter：input forward output

来源：oschina

链接：https://my.oschina.net/u/4270793/blog/3155859

标签