Iptables

架構圖

1.什麼是防火牆

防止别人惡意通路
           

2.防火牆種類

硬體防火牆
	F5
軟體防火牆
	iptables
	firewalld
雲防火牆
	安全組
           

iptables基本介紹

實作原理

使用者 --- 調用iptables指令 --- ip_tables核心子產品 -- Netfilter（系統安全架構） --- 請求過濾
           

包過濾防火牆

什麼是包

傳輸資料過程中，并不是一次性傳輸完成，而是将資料分成若幹個資料包，一點一點傳輸的

好處：
	對本地網絡沒有壓力，對伺服器沒有高帶寬要求
           

什麼是包過濾防火牆

過濾包的防火牆
           

包過濾防火牆如何實作

通過系統的安全架構，過濾資料包
           

iptables鍊的概念

四表

具備某種功能的集合叫做表

filter		：負責過濾
nat		：網絡位址轉換
mangle		：負責修改資料包的内容
raw		：負責資料包跟蹤
           

五鍊

PREROUTING
	主機外封包的進入位置
INPUT
	封包進入本機使用者空間位置
OUTPUT
	封包從本機使用者空間出去的位置
FOWARD
	封包經過路由并且發覺不是本機決定轉發但不知道從哪個網卡發出
POSTROUTING
	封包經過路由被轉發出去
           

四表五鍊用處

流入本機：
	PREROUTING  -->  INPUT  --> PROCESS(程序)
經過本機：
	PREROUTING  --> FORWARD --> POSTROUTING
從本機流出：
	PROCESS(程序) -->  OUTPUT --> POSTROUTING
           

iptables流程

流入本機：
	A  --->  PREROUTING  --->  INPUT ---> B
流出本機：
	OUTPUT  --->  POSTROUTING  ---> B
經過本機：
	 A ---> OUTPUT ---> POSTROUTING | ---> PREROUTING ---> FORWARD  ---> POSTROUTING ---> C ---> PREROUTING  ---> INPUT ---> B
           

四表包含的鍊

filter：
	INPUT 、OUTPUT 、FORWARD
nat：
	PREROUTING 、 OUTPUT、 POSTROUTING
raw：
	PREROUTING、 OUTPUT
mangle：
	PREROUTING INPUT FORWARD OUTPUT POSTROUTING