Linux的防火墙是怎么工作的?
2021/5/20 7:28:33
本文主要是介绍Linux的防火墙是怎么工作的?,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
NetfilterNetfilter是Linux 2.4内核引入的一个子系统,是位于Linux内核中的包过滤引擎,基于Netfilter可以实现防火墙的相关策略。
Netfilter的架构就是在网络流程中数据包必须经过的位置放置了5个检测点(hook),在每个检测点上登记了一些处理函数进行处理,即钩子函数(hook function)。钩子函数实现了每个hook的检查规则链。
这5个hook就是数据包传输路径中的5个控制关卡,任何一个数据包,必然经过其中的一个或某几个。每个hook都对应了一条规则链。
Netfilter的5个检查点
这5个检查点分别是:
PREROUTING | 数据包刚进入网络接口之后,在路由处理之前 |
INPUT | 如果数据包是本机的,则从内核流入用户空间 |
FORWARD | 如果数据包是要转发的,在内核空间中进行路由转发处理,从一个网络接口到另一个网络接口。 |
OUTPUT | 数据包从用户空间流出到内核空间 |
POSTROUTING | 路由处理之后,数据包离开网络接口前 |
数据包的传输过程是这样的:
- 当一个数据包进入网卡时,它首先进入PREROUTING检查点,内核根据数据包目的IP判断是否需要转送出去。
- 如果数据包就是进入本机的,它就会到达INPUT检查点。数据包到了INPUT检查点后,本机上运行的程序可以将数据包发送出去,那么就会经过OUTPUT检查点,最后到达POSTROUTING输出。
- 如果数据包是要转发出去的,且内核允许转发,数据包就会经过FORWARD检查点,然后到达POSTROUTING输出。
iptables是用来管理防火墙的的工具,通过 iptables 将过滤规则写入内核,Netfilter 再根据规则对数据包进行过滤。
实际上iptables是通过调用 Netfilter 来实现防火墙管理的,本身并不具备过滤数据包的功能。iptables程序位于 /sbin/iptables, 配置文件位于 /etc/sysconfig/iptables 。
除了Netfilter的5种hook规则链,iptables还有4个规则表。规则表的作用就是容纳各种规则,并与netfilter的5个hook规则链形成一定的对应关系。
规则表 | 作用 |
raw表 | 确定是否对该数据包进行状态跟踪 kernel2.6之后加进去的 |
mangle表 | 为数据包设置标记 |
nat表 | 修改数据包中的源ip、目标ip或端口 |
filter表 | 确定是否放行该数据包 |
规则表与规则链的示意图
iptables的包处理流程如下图所示。
- 在PREROUTING规则链(检查点)中,依次处理raw、mangle和nat规则;
- 在INPUT规则链中,依次处理mangle、filter规则;
- 在FORWARD规则链中,依次处理mangle、filter规则;
- 在OUTPUT规则链中,依次处理raw、mangle、nat、filter规则;
- 在POSTROUTING规则链中,依次处理mangle、nat规则。
iptables包处理流程
Firewalld在Linux发行版Rhel7中,默认将防火墙从iptables升级为 firewalld。Firewalld自身并不具备防火墙的功能,和iptables一样,也是通过内核的Netfilter来实现。
Firewalld和iptables的作用都是用于维护规则,真正使用规则干活的是内核的Netfilter,不过Firewalld和iptables的结构以及使用方法不太一样。Firewalld底层仍然基于iptables的命令。
Firewall与iptables的区别
Firewalld 将规则定义为zone,一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。
Firewalld一共定义了9个zone:
- drop:任何流入的包都被丢弃,不做任何响应。只允许流出的数据包。
- block:任何流入的包都被拒绝,只允许由该系统初始化的网络连接。
- public:默认的zone。部分公开,不信任网络中其他计算机,只放行特定服务。
- external:只允许选中的服务通过,认为网络中其他计算机不可信。
- dmz:允许隔离区(dmz)中的主机有限地被外界网络访问,只允许选中的服务通过。
- work:用在工作网络。信任网络中的大多数计算机,只允许选中的服务通过。
- home:用在家庭网络。信任网络中的大多数计算机,只允许选中的服务通过。
- internal:用在内部网络。信任网络中的大多数计算机,只允许选中的服务通过。
- trusted:允许所有网络连接,即使没有开放任何服务,那么使用此zone的流量照样通过。
Firewalld相对于iptables的主要优点是更人性化,即使不明白“四张表五条链”,或者对TCP/IP协议也不理解的人,也可以通过配置实现大部分功能。
在Linux发行版中既有iptables防火墙,又有firewalld防火墙。但是同一时刻只能开一个,所以必须得关闭其中一个,一般都是关闭iptables防火墙,打开Firewalld防火墙。
这篇关于Linux的防火墙是怎么工作的?的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-23linux 系统宝塔查看网站访问的命令是什么?-icode9专业技术文章分享
- 2024-11-12如何创建可引导的 ESXi USB 安装介质 (macOS, Linux, Windows)
- 2024-11-08linux的 vi编辑器中搜索关键字有哪些常用的命令和技巧?-icode9专业技术文章分享
- 2024-11-08在 Linux 的 vi 或 vim 编辑器中什么命令可以直接跳到文件的结尾?-icode9专业技术文章分享
- 2024-10-22原生鸿蒙操作系统HarmonyOS NEXT(HarmonyOS 5)正式发布
- 2024-10-18操作系统入门教程:新手必看的基本操作指南
- 2024-10-18初学者必看:操作系统入门全攻略
- 2024-10-17操作系统入门教程:轻松掌握操作系统基础知识
- 2024-09-11Linux部署Scrapy学习:入门级指南
- 2024-09-11Linux部署Scrapy:入门级指南