Linux防火墙

Linux防火墙

• 服务器架构图
• 防火墙

 

一、服务器架构图

二、Iptables防火墙

　　1.防火墙的作用

　　　　防止别人恶意访问

　　2.防火墙种类

　　　　1）硬件防火墙

　　　　　　F5

　　　　2）软件防火墙

　　　　　　iptables

　　　　　　firewalld

　　　　3）安全组

　　3.Iptables基本介绍

用户 ---> 调用iptables ---> ip_tables内核模块 ---> Netfilter（系统安全框架） ---> 过滤请求

　　4.包过滤防火墙

　　　　1）什么是包

　　　　　　在数据传输过程，并不是一次性传输完成的；而是将数据分成若干个数据包，一点一点的传输。

　　　　2）什么是包过滤防火墙

　　　　　　过滤数据包的防火墙。

　　　　3）包过滤防火墙的实现

　　　　　　通过系统安全框架，过滤数据包。

三、Iptables链的概念

　　四表五链

　　1.四个表

　　　　具备某种功能的集合叫做表

　　　　filter：负责做过滤功能 INPUT、OUTPUT、FORWARD

　　　　nat：网络地址转换 PREROUTING、INPUT、OUTPUT、POSTROUTING

　　　　mangle：负责修改数据包内容 PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD

　　　　raw：负责数据包跟踪 PREROUTING、OUTPUT

　　2.五条链

　　　　PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING

　　　　1）PREROUTING: 主机外报文进入位置，允许的表mangle, nat（目标地址转换，把本机地址转换为真正的目标机地址，通常指响应报文）

　　　　2）INPUT：报文进入本机用户空间位置，允许的表filter, mangle

　　　　3）OUTPUT：报文从本机用户空间出去的位置，允许filter, mangle, nat

　　　　4） FOWARD：报文经过路由并且发觉不是本机决定转发但还不知道从哪个网卡出去，允许filter, mangle

　　　　5）POSTROUTING：报文经过路由被转发出去，允许mangle，nat（源地址转换，把原始地址转换为转发主机出口网卡地址）

　　　　流入本机：PREROUTING  -->  INPUT  --> PROCESS(进程)

　　　　经过本机：PREROUTING  --> FORWARD --> POSTROUTING

　　　　从本机流出：PROCESS(进程) -->  OUTPUT --> POSTROUTING

 

四、Iptables流程图

流入本机： A  --->  PREROUTING  --->  INPUT ---> B
流出本机：OUTPUT  --->  POSTROUTING  ---> B
经过本机： A ---> OUTPUT ---> POSTROUTING | ---> PREROUTING ---> FORWARD  ---> POSTROUTING ---> C ---> PREROUTING  ---> INPUT ---> B

​filter :  INPUT 、FORWARD、 OUTPUT
nat : PREROUTING 、INPUT、 OUTPUT、 POSTROUTING
raw : PREROUTING、 OUTPUT
mangle : PREROUTING INPUT FORWARD OUTPUT POSTROUTING