liunx-防火墙技术基础配置讲解

防火墙（firewall）技术
   什么是防火墙呢？就是工作在网络边缘，按照管理员定义的规则，对于进出的报文进行规制匹配动作检测这一的组件。
   防火墙分为硬件与软件防火墙，防火墙工作在网络的边缘，防火墙自身是不会发生作用的，它只是一个组件。
防火墙策略
rules （规则） policy
防火墙的类型
市面主要有二种 工作的三四层的网络层防火墙  工作在七层的 代理网关
   工作在三层的: 工作在网络层 所有进出ip首部 进行规检测
   工作在七层的：防火墙比较安全，但是效率比较低   只要发现目标 传输报文规则 就做出处理的匹配处理
三层的防火墙只拆开三层发现没有问题后封装后发送。 七层的拆开所有的数据包再封装发送。
 
inux系统上自带的防火墙
iptables  前身ipfwiptables ->写成规则放在内核中才能生效
tcp/IP stack协议栈放在内核中， 在 kernel（rules）中 才生效
能给内核打交道的文件  /proc   /sys 防火墙想要生效 必须放在内核空间中
iptables/netfilter 网络过滤器  五个关卡 过滤数据    数据包的走向
   
                        ---ssh---
                         //                        \\                    
外网 《---             服务器             《--- 内网
   
地址转换 必须在路由之前转换
不同的功能，需要在不同的位置实现 不同的位置还有使用不同的规则链和处理机制
NETFILET 有五个位置实现过滤 
hook functions 钩子函数
五个内置的量 chains五个关卡 
数据包 就要就如我们网卡的那一刻的也就是路由器的叫做
         PREROUTING 路由器
到本机内部 INPUT 流入接口
转发关卡   FORWARD
流出的端口 output
          POSTROUTING
 内置的5个规则链
 
防火墙策略
“通”  默认门是光着的  谁都不让进 要明确谁能进
“堵”  默认门是开着的
1，允许/不允许         filter
2，地址转换                nat

过滤与转发是分开的 为了避免交叉我们专一定义一个表的东西来实现定义区分同一个链上的不同功能的规则。
表
3，修改报文源数据    mangle

（这个表格主要是与特殊数据包的路由标记有关）
回顾ip首部格式思考一下？
=三表五链=
filter表 只能做到三个链上 input forward    output（大写）