Linux的防火墙是怎么工作的？

2022-10-09 17:20:55

Netfilter

Netfilter是Linux 2.4内核引入的一个子系统，是位于Linux内核中的包过滤引擎，基于Netfilter可以实现防火墙的相关策略。

Netfilter的架构就是在网络流程中数据包必须经过的位置放置了5个检测点（hook），在每个检测点上登记了一些处理函数进行处理，即钩子函数（hook function）。钩子函数实现了每个hook的检查规则链。

这5个hook就是数据包传输路径中的5个控制关卡，任何一个数据包，必然经过其中的一个或某几个。每个hook都对应了一条规则链。

Netfilter的5个检查点

这5个检查点分别是：

PREROUTING	数据包刚进入网络接口之后，在路由处理之前
INPUT	如果数据包是本机的，则从内核流入用户空间
FORWARD	如果数据包是要转发的，在内核空间中进行路由转发处理，从一个网络接口到另一个网络接口。
OUTPUT	数据包从用户空间流出到内核空间
POSTROUTING	路由处理之后，数据包离开网络接口前

数据包的传输过程是这样的：

当一个数据包进入网卡时，它首先进入PREROUTING检查点，内核根据数据包目的IP判断是否需要转送出去。
如果数据包就是进入本机的，它就会到达INPUT检查点。数据包到了INPUT检查点后，本机上运行的程序可以将数据包发送出去，那么就会经过OUTPUT检查点，最后到达POSTROUTING输出。
如果数据包是要转发出去的，且内核允许转发，数据包就会经过FORWARD检查点，然后到达POSTROUTING输出。

iptables

iptables是用来管理防火墙的的工具，通过 iptables 将过滤规则写入内核，Netfilter 再根据规则对数据包进行过滤。

实际上iptables是通过调用 Netfilter 来实现防火墙管理的，本身并不具备过滤数据包的功能。iptables程序位于 /sbin/iptables，配置文件位于 /etc/sysconfig/iptables 。

除了Netfilter的5种hook规则链，iptables还有4个规则表。规则表的作用就是容纳各种规则，并与netfilter的5个hook规则链形成一定的对应关系。

规则表	作用
raw表	确定是否对该数据包进行状态跟踪 kernel2.6之后加进去的
mangle表	为数据包设置标记
nat表	修改数据包中的源ip、目标ip或端口
filter表	确定是否放行该数据包

规则表与规则链的示意图

iptables的包处理流程如下图所示。

iptables包处理流程

Firewalld

在Linux发行版Rhel7中，默认将防火墙从iptables升级为 firewalld。Firewalld自身并不具备防火墙的功能，和iptables一样，也是通过内核的Netfilter来实现。

Firewalld和iptables的作用都是用于维护规则，真正使用规则干活的是内核的Netfilter，不过Firewalld和iptables的结构以及使用方法不太一样。Firewalld底层仍然基于iptables的命令。

Firewall与iptables的区别

Firewalld 将规则定义为zone，一个zone就是一套过滤规则，数据包必须要经过某个zone才能入站或出站。

Firewalld一共定义了9个zone：

总结

Firewalld相对于iptables的主要优点是更人性化，即使不明白“四张表五条链”，或者对TCP/IP协议也不理解的人，也可以通过配置实现大部分功能。　

在Linux发行版中既有iptables防火墙，又有firewalld防火墙。但是同一时刻只能开一个，所以必须得关闭其中一个，一般都是关闭iptables防火墙，打开Firewalld防火墙。

码农公寓