Linux架构之iptables1

架构图

防火墙-- iptables

1. 什么是防火墙
防止别人恶意访问

2. 防火墙的种类
    1. 硬件防火墙
        F5(性能高，贵)

    2. 软件防火墙(免费)
        iptables 更底层一些，vpn要用iptables

        firewalld
        ...

    3. 安全组(云服务器上的防火墙)

1. iptables基本介绍

1.1 什么是iptables

用户 --> 调用iptables --> ip_tables内核模块 -
-> Netfilter(系统安全框架)  --> 过滤请求

1.2 什么是包过滤防火墙

1. 什么是包
数据传输过程中，并不是一次性传输完成的。
而是将数据分成若干个数据包，一点一点的传输。

2. 什么是包过滤防火墙
就是过滤数据包的防火墙

1.3 包过滤防火墙如何实现

通过安全框架(网络层)匹配数据包的内容来实现过滤。
通过系统安全框架过滤数据包

2. iptables链的概念

网络模型有且只有三种
四表五链

# 1. 哪四表，有哪些作用
    具备某些功能的集合叫做表。
   
    "filter：" 负责做过滤功能：INPUT,OUTPUT,FORWARD
    "nat："    网络地址转换：  PREROUTING,INPUT,OUTPUT,POSTROUTING
    "mangle：" 负责修改数据包内容：PREROUTING,INPUT,OUTPUT,POSTROUTING,FORWARD
    "raw："    负责数据包跟踪：PREROUTING,OUTPUT
# 表的优先级： raw > mangle > nat > filter


# 2. 哪五链，运行在哪些地方
    PREROUTING,INPUT,OUTPUT,FORWARD,POSTROUTING
    1. "PREROUTING:"主机外报文进入位置，允许的表mangle，nat
    (目标地址转换，把本机地址转换为真正的目标机地址，通常指响应报文)
    2. "INPUT:"  报文进入本机用户空间位置，允许的表filter，mangle
    3. "OUTPUT:" 报文从本机用户空间出去的位置，允许的表filter，mangle，nat
    4. "FORWARD:"报文经过路由并且发觉不是本机决定转发，但还不知道从哪个网卡出去，
    允许的表filter，mangle
    5. "POSTROUTING:" 报文经过路由被转发出去，允许的表mangle，nat
    (源地址转换，把原始地址转换为转发主机出口网卡地址)

3. iptables流程图

流入本机：A --> PREROUTING --> INPUT --> B

流出本机：OUTPUT --> POSTROUTING --> B

经过本机：A --> OUTPUT --> POSTROUTING | --> PREROUTING -
-> FORWARD --> POSTROUTING --> C --> PREROUTING --> INPUT -->B

filter: INPUT,OUTPUT,FORWARD
nat: PREROUTING,POSTROUTING,INPUT,OUTPUT
raw: PREROUTING,OUTPUT
mangle: PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING