1.5 KiB
1.5 KiB
隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时有规则定义的行为进行处理的一组功能的组件。
一、netfilter
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在Linux内核中 Netfilter在内核中选取五个位置放了五个hook(钩子)function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables、firewalld、nft)向其写入规则
1、报文流向
数据包沿着链传输,iptables有5个链:PREROUTING, INPUT, FORWORD, OUTPUT, POSTROUTING,可以想象成5个关卡,每个关卡都有很多规则,也可能没有规则。
流入本机:PREROUTING —>INPUT—>用户空间进程
流出本机:用户空间进程 —>OUTPUT—>POSTROUTING
转发:PREROUTING —>FORWARD —> POSTROUTING
二、防火墙工具介绍
1、iptables
2、firewalld
CentOS7使用的防火墙工具,调用底层netfilter
3、nftables
CentOS8及ubuntu22.04使用的防火墙工具,由netfilter项目组开发