架构-防火墙Iptables

内容概要

  • 画架构图
  • Iptables
  • Iptables基本介绍
  • 什么是包过滤防火墙
  • 包过滤防火墙如何实现
  • Iptables链的概念
  • Iptables流程图

架构-防火墙Iptables

架构:
把一个整体(完成人类生存的所有工作)切分成不同的部分(分工),由不同角色来完成这些分工,并通过建立不同部分相互沟通的机制,使得这些部分能够有机的结合为一个整体,并完成这个整体所需要的所有活动,这就是架构

1.用户需求
用户带着域名提交访问请求

2.DNS
通过DNS解析域名找到该域名对应IP返回

3.防火墙(iptables)
也叫:包过滤防火墙
iptables内置4个表,即filter表、nat表、mangle表和raw表 每个表都会有相应的链
filter表 : 实现包过滤
nat表 : 网络地址转换
mangle表 : 包重构(修改)
raw表 : 数据跟踪处理

4.负载均衡
简单来说就是:
其一是将大量的并发处理转发给后端多个节点处理 减少工作响应时间
其二是将单个繁重的工作转发给后端多个节点处理 处理完再返回给负载均衡中心 再返回给用户

5.Web服务
Web服务是一种被访问的服务程序,只有接受到互联网中其他主机发出的请求后才会响应,最终用于提供服务程序的web服务器会通过HTTP(超文本传输协议)或HTTPS(安全超文本传输协议)把请求的内容传送给用户

6.缓存(cache)
作用是:
为了更好的利用局部性原理,减少CPU访问主存的次数,加快处理速度

Iptables

1.什么是防火墙
	防止别人恶意访问

2.防火墙种类
	硬件防火墙
		F5
	软件防火墙
		iptables
		firewalld
	安全组

Iptables基本介绍

用户 ---> 调用iptables ---> ip_tables内核模块 ---> Netfilter
(系统安全框架) ---> 过滤请求

架构-防火墙Iptables

什么是包过滤防火墙

1.什么是包
	在数据传输过程中,并不是一次性传输完成的:而是将数据分成若干个数据包,一点一点传输的
	
2.什么是包过滤防火墙
	过滤数据包的防火墙

包过滤防火墙如何实现

通过系统安全框架,过滤数据包

Iptables链的概念

四表五链

1.哪四个表,有哪些作用
	具备某种功能的集合叫做表
	
	filter:	负责做过滤功能的	:	INPUT、OUTPUT、FORWARD
	nat:	网络地址转换		:	PREROUTING、INPUT、OUTPUT、POSTROUTING
	mangle:	负责修改数据包内容		:	PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD
	raw:	负责数据包跟踪		:	PREROUTING、OUTPUT

2.哪五条链,运行在哪些地方

	PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING
	
	1、PREROUTING: 主机外报文进入位置,允许的表mangle,nat(目标地址转换,吧本机地址转换为真正的目标机地址,通常指向应报文)
	2、INPUT: 报文进入本机用户空间位置,允许的表filter,mangle
	3、OUTPUT: 报文从本机用户空间出去的位置,允许filter,mangle,nat
	4、FOWARD: 报文经过路由并且发觉不是本机决定转发但是还不知道那个网卡出去,允许filter,mangle
	5、POSTROUTING:报文经过路由被转发出去,允许mangle,nat(源地址转换,把原始地址转换为转发主机出口网卡地址)
	
	流入本机: PREROUTING -->  INPUT  --> PROCESS(进程)
	经过本机: PREROUTING -->  FORWARD --> POSTROUTING
	从本机流出: PROCESS(进程) -->  output  --> postrouting

Iptables流程图

流入本机: A -->  PREROUTING  -->  INPUT -->  B
流出本机: OUTPUT  -->  POSTROUTING  -->  B
经过本机:  A  -->  OUTPUT  -->POSTROUTING | -->  PREROUTING  -->FORWARD  -->  POSTROUTING  -->  C  -->  PREROUTING  -->  INPUT  -->B

filter : INPUT、OUTPUT、FORWARD
nat : PREROUTING、OUTPUT、POSTROUTING
raw : PREROUTING、OUTPUT
mangle : PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

架构-防火墙Iptables

上一篇:iptable的概念与底层原理(详解)


下一篇:前端打包工具——build release介绍