Netfilter

Netfilter是Linux 2.4内核引入的一个子系统,是位于Linux内核中的包过滤引擎,基于Netfilter可以实现防火墙的相关策略。

Netfilter的架构就是在网络流程中数据包必须经过的位置放置了5个检测点(hook),在每个检测点上登记了一些处理函数进行处理,即钩子函数(hook function)。钩子函数实现了每个hook的检查规则链。

这5个hook就是数据包传输路径中的5个控制关卡,任何一个数据包,必然经过其中的一个或某几个。每个hook都对应了一条规则链。

linux 防火墙在哪里配置 Linux的防火墙是怎么工作的(1)

Netfilter的5个检查点

这5个检查点分别是:

PREROUTING

数据包刚进入网络接口之后,在路由处理之前

INPUT

如果数据包是本机的,则从内核流入用户空间

FORWARD

如果数据包是要转发的,在内核空间中进行路由转发处理,从一个网络接口到另一个网络接口。

OUTPUT

数据包从用户空间流出到内核空间

POSTROUTING

路由处理之后,数据包离开网络接口前

数据包的传输过程是这样的:

iptables

iptables是用来管理防火墙的的工具,通过 iptables 将过滤规则写入内核,Netfilter 再根据规则对数据包进行过滤。

实际上iptables是通过调用 Netfilter 来实现防火墙管理的,本身并不具备过滤数据包的功能。iptables程序位于 /sbin/iptables, 配置文件位于 /etc/sysconfig/iptables 。

除了Netfilter的5种hook规则链,iptables还有4个规则表。规则表的作用就是容纳各种规则,并与netfilter的5个hook规则链形成一定的对应关系。

规则表

作用

raw表

确定是否对该数据包进行状态跟踪 kernel2.6之后加进去的

mangle表

为数据包设置标记

nat表

修改数据包中的源ip、目标ip或端口

filter表

确定是否放行该数据包

linux 防火墙在哪里配置 Linux的防火墙是怎么工作的(2)

规则表与规则链的示意图

iptables的包处理流程如下图所示。

linux 防火墙在哪里配置 Linux的防火墙是怎么工作的(3)

iptables包处理流程

Firewalld

在Linux发行版Rhel7中,默认将防火墙从iptables升级为 firewalld。Firewalld自身并不具备防火墙的功能,和iptables一样,也是通过内核的Netfilter来实现。

Firewalld和iptables的作用都是用于维护规则,真正使用规则干活的是内核的Netfilter,不过Firewalld和iptables的结构以及使用方法不太一样。Firewalld底层仍然基于iptables的命令。

linux 防火墙在哪里配置 Linux的防火墙是怎么工作的(4)

Firewall与iptables的区别

Firewalld 将规则定义为zone,一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。

Firewalld一共定义了9个zone:

总结

Firewalld相对于iptables的主要优点是更人性化,即使不明白“四张表五条链”,或者对TCP/IP协议也不理解的人,也可以通过配置实现大部分功能。 

在Linux发行版中既有iptables防火墙,又有firewalld防火墙。但是同一时刻只能开一个,所以必须得关闭其中一个,一般都是关闭iptables防火墙,打开Firewalld防火墙。

我会持续更新关于物联网、云原生、数字化技术方面的文章,用简单的语言描述复杂的技术,也会偶尔发表一下对IT产业的看法,请大家多多关注,欢迎留言和转发,希望与大家互动交流,谢谢。

,