数据包经过防火墙流程
如果想要Linux主机支持转发 则需要开启内核的IP_FORWARD的功能选项
数据包匹配条件
匹配条件分为基本匹配条件和扩展匹配条件
基本匹配条件
1.源地址Source IP,目标地址 Destination IP
扩展匹配条件
除了上述的条件可以用于匹配,还有很多其他的条件可以用于匹配,这些条件泛称为扩展条件,这些扩展条件其实也是netfilter中的一部分,只是以模块的形式存在,如果想要使用这些条件,则需要依赖对应的扩展模块.
1.源端口Source Port, 目标端口Destination Port
处理动作
处理动作在iptables中被称为target,动作也可以分为基本动作和扩展动作
1.ACCEPT 允许数据包通过
2.DROP 直接丢弃数据包,不给任何回应信息,这时候客户端会过了超时时间才会有反应
3.REJECT 拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息
4.SNAT 源地址转换,解决内网用户用同一个公网地址上网的问题
5.MASQUERADE 是SNAT的一种特殊形式,适用于动态的、临时会变的ip上
6.DNAT 目标地址转换
7.REDIRECT 在本机做端口映射
8.LOG 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配
匹配规则
规则的顺序很重要
如果报文已经被前面的规则匹配到,iptables则会对报文执行对应的动作,即使后面的规则也能匹配到当前报文,很有可能也没有机会再对报文执行相应的动作了
报文先被第一条规则匹配到了 于是当前报文被"放行"了,因为报文已经被放行了.即使第二条规则能够匹配到刚才"放行"的报文.也没有机会再对刚才的报文进行丢弃操作了。这就是iptables的工作机制
iptables和firewalld的区别
firewalld和iptables是两个不同的服务
在RHEL7里有几种防火墙共存:firewalld、iptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等.
systemctl status firewalld
systemctl status iptables
firewalld是iptables的一个封装,可以让你更容易地管理iptables规则。它并不是iptables的替代品,虽然iptables命令仍可用于firewalld,但建议firewalld时仅使用firewalld命令