2021-08-11

1. 前言

　　防火牆其實就是實現 Linux 下訪問控制功能的，分為硬體和軟體的防火牆兩種型別。無論在何網路中，防火牆工作的地方一定是網路的邊緣。防火牆的策略、規則就是去定義防火牆到底如何工作，以達到讓它對出入網路的 IP 、資料進行檢測。
　　目前市面上比較常見的有三四層的防火牆，叫網路層的防火牆，還有七層的防火牆，即代理層的閘道器。
　　對於 TCP/IP 的7層模型來講，第三層是網路層，三層的防火牆會在這層對源地址和目標地址進行檢測；對於七層的防火牆，無論你源埠或者目標埠，源地址或者目標地址是什麼，都將對你的所有資訊進行檢查。根據設計原理來看，七層防火牆會更加的安全，但是這樣也會導致效率的下降，故市面上通用的防火牆方案都是二者相結合的。

2. IPtables 簡介

　　IPtables 可以將規則組成一個列表，實現絕對詳細的訪問控制功能。
　　IPtables 是工作在使用者空間中，定義規則的工具，本身並不算是防火牆。它定義的規則，可以讓在核心空間當中的 NetFilter 讀取，實現讓防火牆工作。放入核心的地方必須是 TCP/IP 的協議棧經過的地方，可以實現讀取規則的地方就叫做 NetFilter (網路過濾器)。
　　作者一共在核心空間中選擇了五個位置，來作為控制的地方
　　1. 核心空間中：從一個網路介面進來，到另一個網路介面去的
　　2. 資料包從核心流入使用者空間的
　　3. 資料包從使用者空間流出的
　　4. 進入/離開本機的外網介面
　　5. 進入/離開本機的內網介面
　　前三個位置已經基本上能將路徑徹底封鎖了，但是為什麼已經在進出的口設定了關卡之後還要在內部卡呢？ 因為資料包尚未進行路由決策，還不知道資料要走向哪裡，所以在進出口是沒辦法實現資料過濾的。所以要在核心空間裡設定轉發的關卡，進入使用者空間的關卡，從使用者空間出去的關卡。那麼，既然他們沒什麼用，那我們為什麼還要放置他們呢？因為我們在做 NAT 和 DNAT 的時候，目標地址轉換必須在路由之前轉換。所以我們必須在外網而後內網的介面處進行設定關卡。
　　這五個位置也被稱為五個鉤子函式（hook functions）,也叫五個規則鏈。
1.PREROUTING (路由前)
2.INPUT (資料包流入口)
3.FORWARD (轉發管卡)
4.OUTPUT (資料包出口)
5.POSTROUTING (路由後)
　　這是 NetFilter 規定的五個規則鏈，任何一個數據包，只要經過本機，必將經過這五個鏈中的其中一個鏈。 CentOS7 預設的防火牆不是 IPtables，而是 firewalle，現在我們來在 CentOS7 環境下安裝配置 IPtables。

3. 下載安裝 iptables iptables-services

# 檢查系統中是否已經安裝了 iptables
service iptables status
# 安裝 iptables
yum install -y iptables
# 升級 iptables
yum update iptables 
# 安裝 iptables-services
yum install iptables-services

本文來自部落格園，作者：元月二一，轉載請註明原文連結：https://www.cnblogs.com/ljq225/p/15127056.html