Iptables

　　1.防火牆

　　　　為了防止他人惡意訪問

　　2.防火牆的種類

　　　　硬體防火牆：FS

　　　　軟體防火牆：iptables 、firewalld

　　　　安全組

Iptables基本介紹

　　使用者  --->  呼叫iptables  --->  ip_tables核心模組  --->  Netfilter（系統安全框架） --->  過濾請求

包過濾防火牆

　包:
    　 　在傳輸過程中，並不是一次性傳輸完成的；而是將資料分成若干分後，依次傳輸
 
  包過濾防火牆：
   　 　 過濾資料包的防火牆

  如何實現過濾：
   　　 　通過系統安全框架，過濾資料包
 

Iptables鏈的概念

四表五鏈

1.四表，作用
    具備某種功能的集合叫表
    
    filter : 負責過濾       (INPUT;OUTPUT;FORWARD)
    nat    : 網路地址轉換    (PREROUTING;INPUT;OUTPUT;POSTROUTING)
    mangle : 更改資料包內容  (PERTOUTING;INPUT;OUTPUT;POSTROUTING;FORWARD)
    raw    : 資料包跟蹤      (PREROUTING;OUTROT)
    
2.五鏈，執行
    PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING
    [1]PREROUTING: 主機外報文進入，允許mangle,nat 
　　    (目標地址轉換，將本機地址轉換為真正的目標地址轉換為真正的目標地址，響應報文)
    [2]INPUT: 報文進入本機使用者空間位置，允許fileter,mangle
    [3]OUTPUT: 報文從本機使用者空間出去的位置，允許filter,mangle,nat
    [4]FORWARD: 報文進過路由並且發覺不是本機決定轉發還不知道從哪個網絡卡出去,允許filter,mangle
    [5]POSTROUTING: 報文進過又有被轉發出去，允許mangle,nat
　　　　　(源地址轉換，把原始地址轉換為轉發主機出口網址地址)
    
    流入本機：PREROUTING --> INPUT --> PROCESS(程序)
    經過本機：PREOUTING --> FORWARD --> POSTROUTING
    從本機流出：PROCESS(程序) --> OUTPUT --> POSTPOUTING
 

Iptables流程圖

流入本機： A  --->  PREROUTING  --->  INPUT ---> B

流出本機：OUTPUT  --->  POSTROUTING  ---> B

經過本機： A ---> OUTPUT ---> POSTROUTING 
　　　　　　---> PREROUTING ---> FORWARD  ---> POSTROUTING ---> C 
　　　　　　---> PREROUTING  ---> INPUT ---> B

filter :  INPUT 、OUTPUT 、FORWARD
nat : PREROUTING 、 OUTPUT、 POSTROUTING
raw : PREROUTING、 OUTPUT
mangle : PREROUTING INPUT FORWARD OUTPUT POSTROUTING