防火墙简介:
要防止遭受网络攻击,掌握一种网络访问控制工具的使用是至关重要的,而netfilter/iptables是集成在Linux2.4.X版本内核中的包过滤防火墙系统。
netfilter/iptables框架可以实现数据包过滤、网络地址转换以及数据包管理功能。Linux中的防火墙系统包括两部分:netfilter和iptables。netfilter位于内核空间,目前是Linux内核的组成部分。具体地说,netfilter是Linux内核内部的一系列钩子,这些钩子允许数据表过滤函数挂载到系统内核中。而iptables是用户工具,由于netfilter在内核空间中,用户通常无法接触内核和修改内核,此时就需要一个香iptables这样的命令行工具,使用iptables可以添加、删除具体的过滤规则,iptables默认维护着四个表和五个链,所有的防火墙策略规则都将被分别写入这些表与链中。Linux防火墙因为已经集成在内核中,所以相对于应用层防火墙产品而言,基于内核的Linux防火墙更加快捷、高效。
默认的iptables规则表有:
filter表 :过滤规则表
nat表 :地址转换规则表
mangle表: 修改数据标记位规则表
raw表: 跟踪数据表规则表
每个规则表中包含多个数据链:
INPUT(入站数据过滤)
OUTPUT(出站数据过滤)
FORWARD(转发数据过滤)
PREROUTING(路由前数据过滤)
POSTROUTING(路由后数据过滤)
防火墙规则需要写入到这些具体的数据链中。
下图展示了Linux防火墙的过滤框架,从图中可以看出,如果是外部主机发送数据包给防火墙本机,数据将经过PREROUTING链与INPUT链;
如果是防火墙本机发送数据包到外部主机,数据将会经过OUTPUT链与POSTROUTING链
如果是防火墙作为路由负责转发数据,则数据将经过PREROUTING链、FORWARD链以及POSTROUTING链
