从事网工这么多年，别说不知道Linux防火墙三大核心组件！

在探讨Linux防火墙时，三个核心组件不可忽视：netfilter、iptables和firewalld。这三者共同构建了Linux强大的网络防护体系。

一、netfilter：内核中的网络过滤基石

netfilter是Linux内核中的一个关键框架，它负责数据包在网络栈中的各个阶段进行过滤、修改和处理。netfilter通过定义多个钩子点（hook points），如NF_IP_PRE_ROUTING（路由决策前）、NF_IP_LOCAL_IN（到达本地主机）、NF_IP_FORWARD（被转发）、NF_IP_LOCAL_OUT（从本地主机发出）和NF_IP_POST_ROUTING（路由决策后），实现了对数据包的精细控制。

二、iptables：用户空间的规则配置工具

iptables是用户空间的一个工具，它允许用户通过命令行接口与netfilter框架进行交互，从而配置和管理网络过滤规则。iptables采用表（table）和链（chain）的体系结构，这些规则定义了数据包在通过netfilter钩子点时的处理方式。iptables的四个主要表包括filter（基本包过滤）、nat（网络地址转换）、mangle（修改数据包头部信息）和raw（控制数据包是否被其他表处理）。每个表都有预定义的链，如INPUT（处理进入本机的数据包）、OUTPUT（处理从本机发出的数据包）和FORWARD（处理被路由通过本机的数据包）等。

着重讲解iptables

iptables的核心在于“表”和“链”的概念。表是分类目录，存放不同的规则集；链则是表中的子目录，包含一系列规则。例如，在filter表的INPUT链中，你可以设置规则来阻止特定IP地址的SSH连接。而在nat表的PREROUTING链中，你可以设置规则将所有进入的数据包的源地址转换为公共IP地址。

通过具体的例子，我们可以更直观地理解iptables中不同表和链的作用。比如，要阻止所有来自192.168.1.100的SSH连接，可以在filter表的INPUT链中添加规则：iptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j DROP。

三、firewalld：更高级的防火墙管理工具

firewalld是一个现代的防火墙管理工具，它提供了动态的防火墙管理、网络区域和丰富的服务配置功能。与iptables相比，firewalld提供了更高级别的抽象和更灵活的管理方式。firewalld可以使用iptables和nftables作为后端来实现防火墙策略。

简单讲解firewalld

firewalld的设计目标是简化防火墙规则的配置和管理。它支持动态更新防火墙规则，而不需要重启服务或重新加载规则集。同时，firewalld引入了网络区域的概念，每个区域都有预定义的安全级别和策略。此外，firewalld还允许用户定义和管理服务，每个服务可以包含一组端口和协议，这使得配置常见的网络服务变得简单。

firewalld的常用命令包括

firewall-cmd --get-active-zones：显示当前活动的网络区域。

firewall-cmd --zone=public --add-service=http：在公共区域允许HTTP服务。

firewall-cmd --zone=public --add-port=8080/tcp：在公共区域开放8080端口的TCP服务。

firewall-cmd --reload：重新加载firewalld配置。

配置文件

通常位于/etc/firewalld目录下，允许用户以更持久的方式管理防火墙策略。

四、个人看法总结

综上所述，netfilter、iptables和firewalld共同构建了Linux防火墙的强大体系。netfilter提供了内核级的网络过滤框架，iptables允许用户在用户空间配置和管理规则，而firewalld则提供了更高级别的抽象和灵活的管理方式。这三者相互协作，确保了Linux系统的网络安全。