Linux防火牆

firewalld默認拒絕全部服務、支持動態修改
iptables默認容許全部服務、須要所有刷新載入
兩者維護規則經過netfilter(數據包過濾機制)實現功能
selinux較爲複雜，小菜尚未過應用

firewalld：
systemctl start firewalld
systemctl status firewalld
systemctl restart firewalld
systemctl stop firewalld
systemctl enable firewalld
systemctl disable firewalld
firewall-cmd --reload 動態更新

iptables:
service iptables start
service iptables status
service iptables restart
service iptables stop
chkconfig iptables on
chkconfig iptables off

selinux：
setenforce 0 （ permissive寬容模式，違反selinux規則的記錄日誌，不阻止）
setenforce 1 （ enforcing強制模式，違反selinux規則的記錄日誌，並終止）
vim /etc/selinux/config 將SELINUX修改成disabled 執行第三種工做模式關閉

防火牆淺析

netfilter(數據包過濾機制)：其由五表五鏈組成
五表：
filter ：對包進行過濾，最經常使用的表有INPUT丶FORWARD丶OUTPUT三個鏈
nat表：網絡地址轉換/端口轉發，有PREROUTING丶OUTPUT丶POSTROUTING三個鏈
managle：不經常使用，對包進行操做（標記、修改）
raw：中止iptables對包的追蹤，下降開銷
security：用於強制訪問控制（MAC）的網絡規則
五鏈：
PREROUTING：路由以前經由此鏈用其規則
INPUT：通過PREROUTING後且目的爲本機的包經由此鏈用其規則（本機進程皆收包）
FORWARD：通過PREROUTING後且須要轉發經由此鏈用其規則
OUTPUT：本機程序需發出經由此鏈用其規則
POSTROUTING：通過PREROUTING和OUTPUT的包經由此鏈用其規則併發出
Firewalld 和 Iptables都是爲netfilter提供可識別信息來達到防火牆功能的管理型工具