互联网架构图，iptables

一、画架构图

 二、iptables

　　1、什么是防火墙？

　　　　防止别人恶意访问

　　2、防火墙种类

　　　　硬件防火墙：在硬件级别实现部分防火墙功能，另一部分功能基于软件实现，性能高，成本高

　　　　　　F5

　　　　软件防火墙：应用软件处理逻辑运行于通用硬件平台之上的防火墙，性能低，成本低

　　　　　　iptables

　　　　　　firewalld

　　　　安全组：是一种虚拟防火墙。用于设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，您可以在云端划分安全域

三、iptables基本介绍

 　　用户 ---> 调用iptables ---> 进入ip_tables内核模块 ---> Netfilter（系统安全框架） ---> 过滤请求

四、什么是包过滤防火墙

　　1、什么是包

　　　　在数据传输过程，并不是一次性传输完成的；而是将数据分成若干个数据包，一点一点的传输

　　2、什么是包过滤防火墙

　　　　过滤数据包的防火墙

五、包过滤防火墙如何实现

　　通过系统安全框架Netfilter，过滤数据包

六、iptables链的概念

　　四表五链

　　1、哪四个表，有哪些作用

　　　　具备某种功能的集合叫做表

　　　　filter：负责做过滤功能　　INPUT、FORWARD、OUTPUT

　　　　nat：网络地址转换　　PREROUTING、INPUT、OUTPUT、POSTROUTING

　　　　mangle：负责修改数据包内容　　PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD

　　　　raw：负责数据包跟踪　　PREROUTING、OUTPUT

　　2、哪五条链，运行在哪些地方

　　　　PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING

　　　　1）PREROUTING：主机外报文进入位置，允许的表mangle，nat（目标地址转换，把本机地址转换为真正的目标机地址，通常指响应报文）

　　　　2）INPUT：报文进入本机用户空间位置，允许的表filter，mangle

　　　　3）OUTPUT：报文从本机用户空间出去的位置，允许filter，mangle，nat

　　　　4）FORWARD：报文经过路由并且发觉不是本机决定转发但还不知道从哪个网卡出去，允许filter，mangle

　　　　5）POSTROUTING：报文经过路由被转发出去，允许mangle，nat（源地址转换，把原始地址转换为转发主机出口网卡地址）

　　　　流入本机：PREROUTING ---> INPUT ---> PROCESS（进程）

　　　　经过本机：PREROUTING ---> FORWARD ---> POSTROUTING

　　　　从本机流出：PROCESS（进程） ---> OUTPUT ---> POSTROUTING

 七、iptables流程图

　　流入本机：A ---> PREROUTING ---> INPUT ---> B

　　流出本机：OUTPUT ---> POSTROUTING ---> B

　　经过本机：A ---> OUTPUT ---> POSTROUTING | ---> PREROUTING ---> FORWARD ---> POSTROUTING ---> C ---> PREROUTING ---> INPUT ---> B

　　filter：INPUT、FORWARD、OUTPUT

　　nat：PREROUTING、INPUT、OUTPUT、POSTROUTING

　　raw：PREROUTING、OUTPUT

　　mangle：PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING