iptables和firewalld基础 _生活百科

1、四表五链概念：filter表过滤数据包Nat表用于网络地址转换（IP、端口）Mangle表修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw表决定数据包是否被状态跟踪机制处理INPUT链进来的数据包应用此规则链中的策略OUTPUT链外出的数据包应用此规则链中的策略FORWARD链转发数据包时应用此规则链中的策略PREROUTING链对数据包作路由选择前应用此链中的规则（所有的数据包进来的时侯都先由这个链处理）POSTROUTING链对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）2、数据报文流程数据报文从进入服务器到出来会经过5道关卡，分别为Preouting（路由前），input（输入），outing（输出）， Forward（转发），Postrouting（路由后）　iptables服务策略

ACCEPT（允许流量通过）
REJECT（拒绝流量通过）
LOG（记录日志信息）
DROP（拒绝流量通过）

文章插图
3、iptables 与 firewalld 区别相同点：都是用来定义防火墙策略的防火墙管理工具区别：iptables服务会把配置好的防火墙策略，交由内核层面的 netfilter 网络过滤器来处理firewalld服务则是把配置好的防火墙策略，交由内核层面的 nftables 包过滤框架来处理4、DROP 和 REJECT策略的区别：防火墙策略:设置为REJECT拒绝动作后，流量发送方会看到端口不可达的响应修改成DROP拒绝动作后，流量发送方会看到响应超时的提醒5、iptables命令参数-t<表>指定要操纵的表 --line-numbers显示规则的序号-n以数字格式显示地址和端口号-P设置默认策略-F清空规则链-L查看规则链-A在规则链的末尾加入新规则-I num在规则链的头部加入新规则-D num删除某一条规则-s匹配来源地址IP/MASK ，加叹号“!”表示除这个IP外-d区配目标地址-i 网卡名称匹配从这块网卡流入的数据-o 网卡名称匹配从这块网卡流出的数据-p匹配协议，如TCP、UDP、ICMP--sport num匹配来源端口号--dport num匹配目标端口号 6、iptables基本的命令使用1.查看防火墙规则iptables -nvL --line-numbers2.清空防火墙规则iptables -F 清空所有的防火墙规则iptables -X 删除用户自定义的空链iptables -Z 清空计数3.把INPUT规则链的默认策略设置为拒绝/允许iptables -P INPUT REJECT/ACCEPT4.删除INPUT规则链中刚刚加入的那条策略iptables -D INPUT 1