selinux-firewalld

SElinux

SELinux（Security-Enhanced Linux）是一個Linux內核的安全模塊，其提供了訪問控制安全策略機制。

瞭解更多：https://zh.wikipedia.org/wiki/%E5%AE%89%E5%85%A8%E5%A2%9E%E5%BC%BA%E5%BC%8FLinux

因爲SElinux學習成本高，並且開啓後可能會形成未知影響，因此我建議你們能夠在安裝完系統後直接關閉。

• 臨時關閉

setenforce 0

• 永久關閉

vim /etc/selinux/config 
#將SELINUX=enforcing改成SELINUX=disabled

• 查看selinux狀態

getenforce

iptables, firewalld, netfilter三者關係

netfilter爲Linux內核的一個模塊，能夠針對進出的數據包進行處理，用來實現防火牆功能。iptables工具/命令爲netfilter模塊自帶，咱們能夠使用iptables命令實現規則的管理。

CentOS6在netfilter基礎之上安裝了iptables服務，該服務幫咱們管理iptables規則。

CentOS7在netfilter基礎之上安裝了firewalld服務，該服務幫咱們管理iptables規則。

netfilter的5表5鏈

• filter表

  三個鏈：INPUT、FORWARD、OUTPUT

  做用：過濾數據包

• Nat表

  三個鏈：PREROUTING、POSTROUTING、OUTPUT

  做用：用於網絡地址轉換（IP、端口）

• Mangle表

  五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

  做用：修改數據包的服務類型、TTL、而且能夠配置路由實現QOS

• Raw表

  兩個鏈：OUTPUT、PREROUTING

  做用：決定數據包是否被狀態跟蹤機制處理

• Security表

  三個鏈：INPUT、OUTPUT和FORWARD

  做用：Security表在centos6中並無，用於強制訪問控制（MAC）的網絡規則

• netfilter的5個鏈

  PREROUTING：數據包進入路由表以前

  INPUT：經過路由表後目的地爲本機

  FORWARD：經過路由表後，目的地不爲本機

  OUTPUT：由本機產生，向外發出

  POSTROUTING：發送到網卡接口以前