人妻日韩亚洲精品视频,乱妇熟妇熟女中出三区

簡(jiǎn)單說，firewalld是新的防火墻管理工具，iptables是過去的管理工具，兩者都是linux提供給用戶的操作界面，真正的執(zhí)行者是netfilter.

netfilter【ubuntu系統(tǒng)關(guān)閉防火墻命令 ubuntu防火墻設(shè)置】Linux 2.4開啟的防火墻框架，該框架既簡(jiǎn)潔又靈活，可實(shí)現(xiàn)安全策略應(yīng)用中的許多功能，如數(shù)據(jù)包過濾、數(shù)據(jù)包處理、地址偽裝、透明代理、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)，以及基于用戶及媒體訪問控制(Media Access Control，MAC)地址的過濾和基于狀態(tài)的過濾、包速率限制等。iptables/Netfilter的這些規(guī)則可以通過靈活組合，形成非常多的功能、涵蓋各個(gè)方面，這一切都得益于它的優(yōu)秀設(shè)計(jì)思想。
netfilter是Linux操作系統(tǒng)核心層內(nèi)部的一個(gè)數(shù)據(jù)包處理模塊，它具有如下功能：

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)
數(shù)據(jù)包內(nèi)容修改(mangle)
以及數(shù)據(jù)包過濾的防火墻功能(filter)
連接跟蹤模塊（conntrack）

netfilter在Linux系統(tǒng)中的5個(gè)釣魚臺(tái)（或是說5個(gè)鉤子）：netfilter為多種網(wǎng)絡(luò)協(xié)議（IPv4、IPv6、ARP等）各提供了一套鉤子函數(shù)(HOOK) 。
在IPv4中定義了5個(gè)鉤子函數(shù)(如上圖所示)，這些鉤子函數(shù)在數(shù)據(jù)包流經(jīng)協(xié)議棧的5個(gè)關(guān)鍵點(diǎn)被調(diào)用。這就像有5個(gè)釣魚臺(tái)，在每個(gè)釣魚臺(tái)放了一個(gè)魚鉤(HOOK)，把經(jīng)過的數(shù)據(jù)包釣上來，然后根據(jù)自定義的規(guī)則，來決定數(shù)據(jù)包的命運(yùn)：
可以原封不動(dòng)的放回IPv4協(xié)議，繼續(xù)向上層遞交；可以進(jìn)行修改，再放回IPv4協(xié)議；也可以直接丟棄。
netfilter主要采用連接跟蹤(Connection Tracking)、包過濾(Packet Filtering)、地址轉(zhuǎn)換(NAT)、包處理(Packet Mangling)四種技術(shù) 。

NF_IP_PRE_ROUTING數(shù)據(jù)報(bào)在進(jìn)入路由代碼被處理之前，數(shù)據(jù)報(bào)在IP數(shù)據(jù)報(bào)接收函數(shù)ip_rcv()（位于net/ipv4/ip_input.c，Line379）的最后，也就是在傳入的數(shù)據(jù)報(bào)被處理之前經(jīng)過這個(gè)HOOK 。在ip_rcv()中掛接這個(gè)HOOK之前，進(jìn)行的是一些與類型、長(zhǎng)度、版本有關(guān)的檢查。經(jīng)過這個(gè)HOOK處理之后，數(shù)據(jù)報(bào)進(jìn)入ip_rcv_finish()（位于net/ipv4/ip_input.c，Line306），進(jìn)行查路由表的工作，并判斷該數(shù)據(jù)報(bào)是發(fā)給本地機(jī)器還是進(jìn)行轉(zhuǎn)發(fā) 。在這個(gè)HOOK上主要是對(duì)數(shù)據(jù)報(bào)作報(bào)頭檢測(cè)處理，以捕獲異常情況。

涉及功能（優(yōu)先級(jí)順序）：conntrack、mangle、DNAT

NF_IP_LOCAL_IN目的地為本地主機(jī)的數(shù)據(jù)報(bào)在IP數(shù)據(jù)報(bào)本地投遞函數(shù)ip_local_deliver()（位于net/ipv4/ip_input.c，Line290）的最后經(jīng)過這個(gè)HOOK 。經(jīng)過這個(gè)HOOK處理之后，數(shù)據(jù)報(bào)進(jìn)入ip_local_deliver_finish()（位于net/ipv4/ip_input.c，Line219）。這樣，iptables模塊就可以利用這個(gè)HOOK對(duì)應(yīng)的INPUT規(guī)則鏈表來對(duì)數(shù)據(jù)報(bào)進(jìn)行規(guī)則匹配的篩選了。防火墻一般建立在這個(gè)HOOK上。

涉及功能：mangle、filter、SNAT、conntrack

NF_IP_FORWARD目的地非本地主機(jī)的數(shù)據(jù)報(bào)，包括被NAT修改過地址的數(shù)據(jù)報(bào)，都要在IP數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)函數(shù)ip_forward()（位于net/ipv4/ip_forward.c，Line73）的最后經(jīng)過這個(gè)HOOK 。經(jīng)過這個(gè)HOOK處理之后，數(shù)據(jù)報(bào)進(jìn)入ip_forward_finish()（位于net/ipv4/ip_forward.c，Line44）。另外，在net/ipv4/ipmr.c中的ipmr_queue_xmit()函數(shù)（Line1119）最后也會(huì)經(jīng)過這個(gè)HOOK 。（ipmr為多播相關(guān)，估計(jì)是在需要通過路由轉(zhuǎn)發(fā)多播數(shù)據(jù)時(shí)的處理）。這樣，IPTables模塊就可以利用這個(gè)HOOK對(duì)應(yīng)的FORWARD規(guī)則鏈表來對(duì)數(shù)據(jù)報(bào)進(jìn)行規(guī)則匹配的篩選了。

涉及功能：mangle、filter

NF_IP_LOCAL_OUT本地主機(jī)發(fā)出的數(shù)據(jù)報(bào)在IP數(shù)據(jù)報(bào)構(gòu)建/發(fā)送函數(shù)ip_queue_xmit()（位于net/ipv4/ip_output.c，Line339）、以及ip_build_and_send_pkt()（位于net/ipv4/ip_output.c，Line122）的最后經(jīng)過這個(gè)HOOK 。（在數(shù)據(jù)報(bào)處理中，前者最為常用，后者用于那些不傳輸有效數(shù)據(jù)的SYN/ACK包）。經(jīng)過這個(gè)HOOK處理后，數(shù)據(jù)報(bào)進(jìn)入ip_queue_xmit2()（位于net/ipv4/ip_output.c，Line281）。另外，在ip_build_xmit_slow()（位于net/ipv4/ip_output.c，Line429）和ip_build_xmit()（位于net/ipv4/ip_output.c，Line638）中用于進(jìn)行錯(cuò)誤檢測(cè)；在igmp_send_report()（位于net/ipv4/igmp.c，Line195）的最后也經(jīng)過了這個(gè)HOOK，進(jìn)行多播時(shí)相關(guān)的處理。這樣，iptables模塊就可以利用這個(gè)HOOK對(duì)應(yīng)的OUTPUT規(guī)則鏈表來對(duì)數(shù)據(jù)報(bào)進(jìn)行規(guī)則匹配的篩選了。