Linux的防火墙是怎么工作的?

Netfilter

Netfilter是Linux 2.4内核引入的一个子系统,是位于Linux内核中的包过滤引擎,基于Netfilter可以实现防火墙的相关策略。

Netfilter的架构就是在网络流程中数据包必须经过的位置放置了5个检测点(hook),在每个检测点上登记了一些处理函数进行处理,即钩子函数(hook function)。钩子函数实现了每个hook的检查规则链。

这5个hook就是数据包传输路径中的5个控制关卡,任何一个数据包,必然经过其中的一个或某几个。每个hook都对应了一条规则链。

Linux的防火墙是怎么工作的?

Netfilter的5个检查点

这5个检查点分别是:

PREROUTING

数据包刚进入网络接口之后,在路由处理之前

INPUT

如果数据包是本机的,则从内核流入用户空间

FORWARD

如果数据包是要转发的,在内核空间中进行路由转发处理,从一个网络接口到另一个网络接口。

OUTPUT

数据包从用户空间流出到内核空间

POSTROUTING

路由处理之后,数据包离开网络接口前

数据包的传输过程是这样的:

  • 当一个数据包进入网卡时,它首先进入PREROUTING检查点,内核根据数据包目的IP判断是否需要转送出去。
  • 如果数据包就是进入本机的,它就会到达INPUT检查点。数据包到了INPUT检查点后,本机上运行的程序可以将数据包发送出去,那么就会经过OUTPUT检查点,最后到达POSTROUTING输出。
  • 如果数据包是要转发出去的,且内核允许转发,数据包就会经过FORWARD检查点,然后到达POSTROUTING输出。
iptables

iptables是用来管理防火墙的的工具,通过 iptables 将过滤规则写入内核,Netfilter 再根据规则对数据包进行过滤。

实际上iptables是通过调用 Netfilter 来实现防火墙管理的,本身并不具备过滤数据包的功能。iptables程序位于 /sbin/iptables, 配置文件位于 /etc/sysconfig/iptables 。

除了Netfilter的5种hook规则链,iptables还有4个规则表。规则表的作用就是容纳各种规则,并与netfilter的5个hook规则链形成一定的对应关系。

规则表

作用

raw表

确定是否对该数据包进行状态跟踪 kernel2.6之后加进去的

mangle表

为数据包设置标记

nat表

修改数据包中的源ip、目标ip或端口

filter表

确定是否放行该数据包

Linux的防火墙是怎么工作的?

规则表与规则链的示意图

iptables的包处理流程如下图所示。

  • 在PREROUTING规则链(检查点)中,依次处理raw、mangle和nat规则;
  • 在INPUT规则链中,依次处理mangle、filter规则;
  • 在FORWARD规则链中,依次处理mangle、filter规则;
  • 在OUTPUT规则链中,依次处理raw、mangle、nat、filter规则;
  • 在POSTROUTING规则链中,依次处理mangle、nat规则。

Linux的防火墙是怎么工作的?

iptables包处理流程

Firewalld

在Linux发行版Rhel7中,默认将防火墙从iptables升级为 firewalld。Firewalld自身并不具备防火墙的功能,和iptables一样,也是通过内核的Netfilter来实现。

Firewalld和iptables的作用都是用于维护规则,真正使用规则干活的是内核的Netfilter,不过Firewalld和iptables的结构以及使用方法不太一样。Firewalld底层仍然基于iptables的命令。

Linux的防火墙是怎么工作的?

Firewall与iptables的区别

Firewalld 将规则定义为zone,一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。

Firewalld一共定义了9个zone:

  • drop:任何流入的包都被丢弃,不做任何响应。只允许流出的数据包。
  • block:任何流入的包都被拒绝,只允许由该系统初始化的网络连接。
  • public:默认的zone。部分公开,不信任网络中其他计算机,只放行特定服务。
  • external:只允许选中的服务通过,认为网络中其他计算机不可信。
  • dmz:允许隔离区(dmz)中的主机有限地被外界网络访问,只允许选中的服务通过。
  • work:用在工作网络。信任网络中的大多数计算机,只允许选中的服务通过。
  • home:用在家庭网络。信任网络中的大多数计算机,只允许选中的服务通过。
  • internal:用在内部网络。信任网络中的大多数计算机,只允许选中的服务通过。
  • trusted:允许所有网络连接,即使没有开放任何服务,那么使用此zone的流量照样通过。
总结

Firewalld相对于iptables的主要优点是更人性化,即使不明白“四张表五条链”,或者对TCP/IP协议也不理解的人,也可以通过配置实现大部分功能。 

在Linux发行版中既有iptables防火墙,又有firewalld防火墙。但是同一时刻只能开一个,所以必须得关闭其中一个,一般都是关闭iptables防火墙,打开Firewalld防火墙。

 

上一篇:jenkins 修改端口后无法启动的解决思路


下一篇:linux系统: centOS 防火墙设置