linux 防火墙在哪里配置 Linux的防火墙是怎么工作的

Netfilter

Netfilter是Linux 2.4内核引入的一个子系统，是位于Linux内核中的包过滤引擎，基于Netfilter可以实现防火墙的相关策略。

Netfilter的架构就是在网络流程中数据包必须经过的位置放置了5个检测点（hook），在每个检测点上登记了一些处理函数进行处理，即钩子函数（hook function）。钩子函数实现了每个hook的检查规则链。

这5个hook就是数据包传输路径中的5个控制关卡，任何一个数据包，必然经过其中的一个或某几个。每个hook都对应了一条规则链。

linux 防火墙在哪里配置 Linux的防火墙是怎么工作的(1)

Netfilter的5个检查点

这5个检查点分别是：

PREROUTING	数据包刚进入网络接口之后，在路由处理之前
INPUT	如果数据包是本机的，则从内核流入用户空间
FORWARD	如果数据包是要转发的，在内核空间中进行路由转发处理，从一个网络接口到另一个网络接口。
OUTPUT	数据包从用户空间流出到内核空间
POSTROUTING	路由处理之后，数据包离开网络接口前

数据包的传输过程是这样的：

当一个数据包进入网卡时，它首先进入PREROUTING检查点，内核根据数据包目的IP判断是否需要转送出去。
如果数据包就是进入本机的，它就会到达INPUT检查点。数据包到了INPUT检查点后，本机上运行的程序可以将数据包发送出去，那么就会经过OUTPUT检查点，最后到达POSTROUTING输出。
如果数据包是要转发出去的，且内核允许转发，数据包就会经过FORWARD检查点，然后到达POSTROUTING输出。

iptables

iptables是用来管理防火墙的的工具，通过 iptables 将过滤规则写入内核，Netfilter 再根据规则对数据包进行过滤。

实际上iptables是通过调用 Netfilter 来实现防火墙管理的，本身并不具备过滤数据包的功能。iptables程序位于 /sbin/iptables，配置文件位于 /etc/sysconfig/iptables 。

除了Netfilter的5种hook规则链，iptables还有4个规则表。规则表的作用就是容纳各种规则，并与netfilter的5个hook规则链形成一定的对应关系。

规则表	作用
raw表	确定是否对该数据包进行状态跟踪 kernel2.6之后加进去的
mangle表	为数据包设置标记
nat表	修改数据包中的源ip、目标ip或端口
filter表	确定是否放行该数据包