目录

零. 简介

一. iptables

二. firewalld

三. 总结

---

零. 简介

iptables

iptables 是 Linux 内核中集成的一种基于命令行的防火墙工具。它通过一系列规则来控制网络数据包的流动，包括允许、拒绝、修改数据包等操作。iptables 可以对入站、出站和转发的数据包进行过滤，并且可以基于 IP 地址、端口号、协议等多种条件来制定规则。

优点：

1. 性能较高，直接与内核交互。
2. 规则定制非常精细，能满足复杂的网络需求。

缺点：

1. 配置相对复杂，需要对网络和防火墙知识有较深入的理解。
2. 规则的管理和维护较繁琐。

firewalld

firewalld 是新一代的动态防火墙管理工具，提供了更灵活和易于管理的方式。它采用区域（zone）的概念来简化防火墙规则的配置，不同的区域具有不同的默认规则集。

优点：

1. 配置相对直观和简单，对新手较为友好。
2. 支持动态修改规则，无需重新加载整个防火墙配置。

缺点：

1. 在某些复杂场景下，可能不如 iptables 灵活。
2. 性能在某些情况下可能稍逊于 iptables。

总的来说，iptables 适合对防火墙规则有精细控制需求且技术水平较高的用户，而 firewalld 则更适合那些希望以相对简单和灵活的方式管理防火墙的用户。

一. iptables

iptables 是 Linux 内核中实现数据包过滤和网络地址转换（NAT）的工具。

基本概念：

1. 表（Tables）：iptables 包含多个表，如 filter（用于过滤数据包）、nat（用于网络地址转换）、mangle（用于修改数据包）等。
2. 链（Chains）：每个表包含多个链，如 INPUT（处理进入本地主机的数据包）、OUTPUT（处理本地主机发出的数据包）、FORWARD（处理转发的数据包）等。

工作原理：
当数据包进入或离开系统时，iptables 会根据预先设置的规则对数据包进行检查和处理。规则按照顺序进行匹配，一旦匹配成功，就执行相应的动作（如 ACCEPT 允许通过、DROP 丢弃、REJECT 拒绝并返回错误信息等）。

常见操作：

1. 查看规则：iptables -L 可以查看所有表的所有链的规则。
2. 添加规则：例如，允许特定端口的入站访问，iptables -A INPUT -p tcp --dport 80 -j ACCEPT 。
3. 删除规则：通过规则编号来删除，先使用 iptables -L --line-numbers 查看规则编号，然后 iptables -D INPUT 1 （删除 INPUT 链中的第一条规则）。
4. 保存规则：修改的规则在系统重启后会丢失，需要使用工具如 iptables-save 保存规则，以便在重启后恢复。

网络地址转换（NAT）：
在 nat 表中，可以实现源地址转换（SNAT）和目的地址转换（DNAT）。例如，实现内网主机通过公网 IP 访问互联网的源地址转换，iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 公网 IP 。

iptables 功能强大，但配置相对复杂，需要对网络知识有较好的理解。

二. firewalld

firewalld 是 Linux 系统中用于管理防火墙规则的动态防火墙守护进程。

主要特点：

1. 区域（Zones）概念：firewalld 定义了多个预配置的区域，每个区域具有不同的默认访问规则。常见的区域如 public（用于公共网络，默认规则较严格）、home（用于家庭网络，规则相对宽松）等。
2. 动态更新：能够在不重新加载整个防火墙配置的情况下动态添加、修改或删除规则。
3. 服务定义：可以基于预定义的服务（如 HTTP、SSH 等）来设置规则，方便快捷。

工作原理：
firewalld 通过读取配置文件和规则数据库来决定如何处理网络流量。当有网络连接请求时，它根据规则判断是否允许通过。

配置方式：

1. 命令行工具：使用 firewall-cmd 命令进行各种操作，例如 firewall-cmd --zone=public --add-service=http （在 public 区域中添加 HTTP 服务的访问规则）。
2. 图形界面工具：一些 Linux 发行版提供了图形化的界面来配置 firewalld。

规则管理：

1. 添加规则：可以添加端口、服务、源地址等规则。
2. 查看规则：通过 firewall-cmd --list-all 查看当前的所有规则和设置。

与其他服务的集成：
能够与网络管理工具和服务（如 NetworkManager）很好地集成，实现更智能的网络和防火墙管理。

总的来说，firewalld 提供了一种更灵活、易于理解和管理的方式来处理 Linux 系统中的防火墙规则，适用于各种网络环境和安全需求。

三. 总结

firewalld

• 特点：
  • 采用区域概念，预定义了不同安全级别的区域，简化了规则配置。
  • 支持动态更新规则，无需完全重新加载防火墙配置。
  • 提供了相对友好和直观的配置方式。
• 优势：
  • 对于不太熟悉网络和防火墙知识的用户来说，更容易上手和理解。
  • 与系统的其他服务集成较好，管理更便捷。
• 不足：
  • 在处理某些复杂和高度定制的规则时，可能不如 iptables 灵活。
  • 性能在某些极端情况下可能略逊于 iptables。

iptables

• 特点：
  • 直接与内核交互，性能较高。
  • 规则定制非常精细，可以满足复杂和特定的需求。
• 优势：
  • 提供了对防火墙规则的深度定制和精细控制。
  • 在一些对性能和规则精度要求极高的场景中表现出色。
• 不足：
  • 配置语法相对复杂，学习曲线较陡峭。
  • 规则的管理和维护较为繁琐。

总体而言，firewalld 更适合追求易用性和便捷管理的用户，而 iptables 则适用于需要高度定制和精细控制防火墙规则，以及对性能有苛刻要求的场景。在实际应用中，可以根据具体需求和用户的技术水平来选择使用。