18 lines
1.5 KiB
Markdown
18 lines
1.5 KiB
Markdown
隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时有规则定义的行为进行处理的一组功能的组件。
|
||
## 一、netfilter
|
||
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在Linux内核中
|
||
Netfilter在内核中选取五个位置放了五个hook(钩子)function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables、firewalld、nft)向其写入规则
|
||
##### 1、报文流向
|
||
|
||
数据包沿着链传输,iptables有5个链:PREROUTING, INPUT, FORWORD, OUTPUT, POSTROUTING,可以想象成5个关卡,每个关卡都有很多规则,也可能没有规则。
|
||
流入本机:PREROUTING —>INPUT—>用户空间进程
|
||
流出本机:用户空间进程 —>OUTPUT—>POSTROUTING
|
||
转发:PREROUTING —>FORWARD —> POSTROUTING
|
||
## 二、防火墙工具介绍
|
||
##### 1、iptables
|
||
##### 2、firewalld
|
||
CentOS7使用的防火墙工具,调用底层netfilter
|
||
##### 3、nftables
|
||
CentOS8及ubuntu22.04使用的防火墙工具,由netfilter项目组开发
|
||
|