linux防火墙的基本概念

Linux 防火墙---netfilter

　netfilter 中五个勾子函数：

Netfilter在内核中选取五个位置放了五个hook(勾子) function(
    INPUT、
    OUTPUT、
    FORWARD、
    PREROUTING、
    POSTROUTING)，

而这五个hook function向用户开放，用户可以通过一个命令工具（iptables）向其写入规则由信息过滤表（table）组成，包含控制IP包处理的规则集（rules），规则被分组放在链（chain）上

三种报文流向
    流入本机：PREROUTING --> INPUT-->用户空间进程
    流出本机：用户空间进程 -->OUTPUT--> POSTROUTING
    转发：PREROUTING --> FORWARD --> POSTROUTING

五个表table：filter、nat、mangle、raw、security

filter表：过滤规则表，根据预定义的规则过滤符合条件的数据包
nat表：network address translation 地址转换规则表
mangle：修改数据标记位规则表
raw：关闭启用的连接跟踪机制，加快封包穿越防火墙速度
security：用于强制访问控制（MAC）网络规则，由Linux安全模块（如SELinux）实现

数据包过滤匹配流程

内核中数据包的传输过程

当一个数据包进入网卡时，数据包首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去
如果数据包就是进入本机的，数据包就会沿着图向下移动，到达INPUT链。数据包到达INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包经过OUTPUT链，然后到达POSTROUTING链输出
如果数据包是要转发出去的，且内核允许转发，数据包就会向右移动，经过FORWARD链，然后到达POSTROUTING链输出