防火墙按照实现方法可以分为软件防火墙和硬件防火墙
纯硬件防火墙是很少的,一般见到的防火墙设备都是依靠软件搭配实现
按照功能可以将防火墙分为包过滤防火墙和网关代理型防火墙
包过滤防火墙
工作在网络层和传输层。特点:效率高,安全性不及网关型防火墙
包过滤防火墙又可以分为“状态检测型”和“简单包过滤型”
网关代理型
工作于应用层,位于OSI的最高层。特点:效率低,安全性好
而在linux中,iptables是一款自带的防火墙软件,基于内核实现网络流量的过滤
针对数据包的IP地址,端口,标志位,连接状态定义相应的防火墙规则,匹配规则后用指定的处理机制进行处理,可以是允许,可以是丢弃
首先简单介绍一下一个数据包进入linux后是如何处理的
数据包从网卡1进入linux主机后,首先进入内核维护的网络内存空间队列。内核接手数据包后,会进行一系列的流水线处理
内核的TCP/IP协议栈解封IP头部后,先是检测数据包的目的IP,然后对比路由表
如果目标IP是指向自己,于是检测TCP首部,将数据包递交给处于内核空间和用户空间的套接字(即端口),让用户空间的程序进行处理。用户程序从套接字取出数据后,进行处理后,改写目标IP和源IP,从新递交给对应的套接字。然后TCP/I协议栈进行数据包的封装,原路返回
如果目标IP不是自己,对比路由表,如果是将要从网卡2发送出去的。TCP/IP协议栈就直接将数据从内存中取出,交由网卡2发送出去,这一切将都在内核空间完成,无需进入用户空间
IPtables分为2部分,一部分位于内核中,用来存放规则,称为NetFilter。还有一段在用户空间中,用来定义规则,并将规则传递到内核中,这段在用户空间中的程序就叫做iptables。
其中存放规则有5个地方,分别位于 1、2、3、4、5 这5个点
1是由内部主动发往外部的规则,2是由外部发往内部的规则,3是不进入用户空间,进行路由转发的规则,4是数据进来,还未查询路由表之前的规则,5是查询完路由表,将要出去的规则
在这5个点都可以定义不同的规则,用以实现处理不同流向的数据包
这5个过滤点,在内核中也叫做hook function(钩子函数)
而这5个钩子,也有着个自的名字
1:input 2:output 3:forward 4:prerouting 5:postrouting
对于4和5,主要是为了实现NAT功能
真正做数据过滤的地方在123这3个点
具体数据的流向
![{DE)U]NAAFD})YPBTE[PB_C](http://lustlost.blog.51cto.com/attachment/201207/21/2600869_1342864320Vjh0.jpg "{DE)U]NAAFD})YPBTE[PB_C")
在这张图中,raw用的比较少不多做介绍,而mangle主要用以数据包的的修改。在处理数据包时,优先级依次以mangle、nat、filter排序
在iptables中,以链为单位定义一组规则,对于不同功能的链又组成不同的表
链也可以自定义创建,但不会直接生效,需要在默认的链中建立规则跳转,可以将数据包的匹配检查跳转到自定义创建的链中。如果在自定义创建的链中匹配到,就直接进行处理,如果匹配不到,就跳转会默认的链中
由于这一切都是在内核中完成的,所以在用户空间中的iptables传递规则给netfliter后,并不会永久有效,在重启后规则就会丢失,于是可以将规则写成脚本,在每次启动系统时将规则传递给内核
而redhat则使用另外一种机制来应用规则和取消规则,具体的实现方法,下篇博文再细细介绍
本文转自lustlost 51CTO博客,原文链接:http://blog.51cto.com/lustlost/937471,如需转载请自行联系原作者
