1、组成
linux防火墙是由netfilter和iptables组成。用户空间的iptables制定防火墙规则,内核空间的netfilter实现防火墙功能。
netfilter(内核空间)位于linux内核中的包过滤防火墙功能体系,称为linux防火墙”内核态”。
iptables(用户空间)位于/sbin/iptables,是用来管理防火墙的命令工具,称为linux防火墙的”用户态”。
四表五链:
1)四表(其实是五表,是后来加进来的)
优先级从低到高分别是:
2)五链
2、预设规则
制作防火墙规则通常有两种基本预设策略。一是黑名单策略;二是白名单策略。白名单策略指没有被允许的流量都要拒绝,这种策略比较保守,根据需要,逐渐开放,目前一般都采用白名单策略,推荐。
