1、iptables-基础-包过滤防火墙-四层防火墙（只支持4层协议）

1、linux中的iptables主机型防火墙工作在2层（识别MAC地址）、3（识别ip）、4层（识别端口）、对TCP/IP数据包进行过滤和限制、属于包过滤型防火墙（除非编译内核才可以使iptables支持7层）
 
 
缺点：
 - 防火墙可以过滤互联网的数据包、但无法过滤内部网络的数据包
 - 电脑本身的操作系统的漏洞、使入侵者可以利用这些漏洞绕过防火墙
 - 防火墙无法有效的阻挡病毒的攻击、尤其是应隐藏再数据中的病毒（除非硬件防火墙是可以识别的-硬件防火有7层协议可解析应用层的数据）
 - 正常情况下、所有互联网的数据包软件都经过防火墙的过滤、这将造成网络交通的瓶颈、例如在攻击型的数据包出现时、攻击者不寄出数据包、让防火墙疲于过滤数据包、而使一些合法的数据包软件无法正常进出防火墙
 
#PS：没有绝对安全的操作系统、虽然防火墙有这些缺点但还是能阻挡大多数来自于外网的攻击

 

四个表：-- 相当于一个保安小队
 - filter过滤表
 - nat转换表（网络地址转换network address transform） - 内部局域网 
 - mangle碾压表 - 涉及数据包跟踪（少用）
   - 流量整型的表、路由标记用的表、改TOS、TTL、Mark标记策略路由等、内核模块iptables_mangle
 - raw表 - 用作流量跟踪的表、数据包跟踪 iptables_raw
    
    
 
#表的先后顺序：raw -》 mangle -》 nat -》 filter

五个链：-- 相当于小队中的各个保安员
 - PREROUTING 预路由 - 修改目标地址
 - POSTROUTING 已路由 - 修改源地址
 - INPUT 入站  -访问本机数据包进行过滤
 - OUTPUT 出站 - 本机访问互联网的数据包进行过滤
 - FORWARD 转发 - 途径本机的数据包进行过滤
    
    
链的顺序：入站 -》 转发 -》 出站

策略：
 - 192.168.19.12 DROP    #禁止通过
 - 192.168.19.100 ACCEPT    #允许通过
 
 
规则的顺序：ACL逐条匹配、匹配即停止、每一个流量进来都要从上到下逐一匹配