linux防火墙是双向禁止吗

是的。

Linux系统有两个层面的防火墙，第一种即是基于TCP、IP协议的流量过滤工具，第二种是TCPWrappers服务，即能允许或禁止Linux系统提供服务。

防火墙是外网和内网之间的保护屏障，在保护数据的安全性方面起着至关重要的作用，主要功能是根据策略规则对穿越防火墙自身的流量进行过滤。

Linux防火墙介绍

基于TCP/IP协议簇的lntemet网际互联完全依赖于网络层以上的协议栈（网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议）“考虑到网络防火墙是为了保持网络连通性而设立的安全机制，因此防火墙技术就是通过分析、控制网络以上层协议特征，实现被保护网络所需安全略的技术。

构建防火墙有三类基本模型：应用代理网关、电路级网关（CircuitLevelGateway)和网络层防火墙。它们涉及的技术有应用代理技术和包过滤技术等，Linux为增加系统安全性提供了防火墙保护。

防火墙存在于计算机系统和网络之用来判定网络中的远程用户有权访问计算机上的哪些资源。一个正确配置的防火墙可以极大地增加系统安全性。防火墙作为网络安全措施中的一个重要组成部分，一直受到人们的普遍关注。Linux是这几年一款异军突起的 *** 作系统，以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。

Linux防火墙其实是 *** 作系统本身所自带的一个功能模块。对数据包进行过滤可以说是任何防火墙所具各的最基本的功能，而Ltnux防火墙本身从某个角度也可以说是一种“包过滤防火墙”。在Linux防火墙中， *** 作系统内核对到来的每一个数据包进行检查，从它们的包头中提取出所需要的信息，如源IP地址、目的IP地址、源端口号、目的端口号等，再与己建立的防火规则逐条进行比较，并执行所匹配规则的策略，或执行默认策略。

值得注意的是，在制定防火墙过滤规则时通常有两个基本的策略方法可供选择：一个是默认允许一切，即在接受所有数据包的基础上明确地禁止那些特殊的、不希望收到的数据包：还有一个策略就是默认禁止一切，即首先禁止所有的数据包通过，然后再根据所希望提供的服务去一项项允许需要的数据包通过。

一般来说．前者使启动和运行防火墙变得更加容易，但更容易为自己留下安全隐患。通过在防火墙外部接口处对进来的数据包进行过滤，可以有效地阻止绝大多数有意或无意的网络攻击，同时，对发出的数据包进行限制，可以明确地指定内部网络中哪些主机可以访问互联网，哪些主机只能享用哪些服务或登录哪些站点，从而实现对内部主机的管理。可以说，在对一些小型内部局域网进行安全保护和网络管理时，包过滤确实是一种简单而有效的手段。

Linux防火墙是由Netfilter组件提供的，Netfilter工作在内核空间，集成在linux内核中

Netfilter采用模块化设计，具有良好的可扩充性，提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合，并允许对数据报进行过滤、地址转换、处理等 *** 作

一、Linux防火墙基础

Linux 的防火墙体系主要工作在网络层，针对 TCP/IP 数据包实施过滤和限制，属于典型的包过滤防火墙（或称为网络层防火墙）。

体现在对包内的 IP 地址、端口等信息的处理上

Linux 系统的防火墙基于内核编码实现，具有非常稳定的性能和极高的效率，也因此获得广泛的应用

防火墙区域（zone）

过滤规则集合：zone

一个zone一套过滤规则，数据包经过某个zone进出站，不同zone规则不同，fierwalld将网卡对应到不同zone，默认9个区域（CentOS系统默认区域为public），有优先级，高优先级可以到优先级，低优先级到优先级需做规则过滤

区域

public（公共）

dmz（非军事区）：内外网之间的一层网络区域，主要管理内网到外网的安全限制/访问规则

trusted（信任）

1.防火墙工具介绍

netfilter/iptables:IP信息包过滤系统，它实际上由两个组件 netfilter_和 iptables组成。主要工作在网络层，针对IP数据包，体现在对包内的IP地址、端口等信息的处理。

1.iptables

iptables是一种用来管理Linux防火墙的命令程序，它使插入、修改和删除数据包过滤表中的规则变得容易，通常位于/sbin/iptables目录，属于“用户态”(User. Space，又称为用户空间) 的防火墙管理体系。

iptables是基于内核的防火墙，其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后，立即生效，不需要重启服务。

核心意义：控制不同网络之间的数据包/流量数据的访问规则/约束

2.netfilter

netfilter是内核的一部分，由一些数据包过滤表组成，不以程序文或文件的形式存在，这些表包含内核用来控制数据包过滤处理的规则集，属于“内核态”(Kernel Space，又称为内核空间)的防火墙功能体系。

2.iptables的四表五链

iptables的作用是为包过滤机制的实现提供规则（或称为策略），通过各种不同的规则，告诉 netfilter 对来自某些源、前往某些目的或具有某些协议特征的数据包应该如何处理

iptables采用了表和链的分层结构，所以它会对请求的数据包的包头数据进行分析，根据我们预先设定的规则进行匹配来决定是否可以进入主机。

其中，每个规则表相当于内核空间的一个容器，根据规则集的不同用途划分为默认的四个表，在每个表容器内又包括不同的规则链，根据处理数据包的不同时机划分为五种链

表为处理动作（ *** 作指令）

链为具体位置

1.规则表

表的作用：容纳各种规则链

表的划分依据：防火墙规则的作用相似

1.4个规则表

raw表：确定是否对该数据包进行状态跟踪

mangle表：为数据包设置标记

nat表：修改数据包中的源、目标IP地址或端口

filter表（默认表）：确认是否放行该数据包（过滤）（核心）

2.规则链

**规则的作用：**对数据包进行过滤或处理

**链的作用：**容纳各种防火墙规则

**链的分类依据：**处理数据包的不同时机

1.5种规则链

INPUT: 处理入站数据包，匹配目标IP为本机的数据包

OUTPUT: 处理出站数据包，一般不在此链上做配置

FORWARD: 处理转发数据包，匹配流经本机的数据包

PREROUTING链: 在进行路由选择前处理数据包，用来修改目的地址，用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上

POSTROUTING链: 在进行路由选择后处理数据包，用来修改源地址，用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网

3.默认表、链的结构示意图

在这里插入图片描述

在iptables 的四个规则表中，mangle 表 和raw表的应用相对较少

在iptables 的五个规则链中，一般用input比较多（限制进入），output用的比较少，forward一般用在代理服务器上

4.数据包过滤的匹配流程

1.规则表之间的顺序

raw ---->mangle ---->nat ---->filter

2.规则链之间的顺序

入站：PREROUTING->INPUT

来自外界的数据包到达防火墙后，首先被 PEROUTING 链处理（是否修改数据包地址等），然后进行路由选择（判断该数据包应该发往何处）；如果数据包的目标地址是防火墙本机，那么内核将其传递给 INPUT 链进行处理（决定是否允许通过），通过后再交给系统上层的应用程序进行相应 *** 作

出站：OUTPUT->POSTROUTING

防火墙本机向外部地址发送数据包，首先被 OUTPUT 链处理，然后进行路由选择，再交给 POSTROUTING 链进行处理（是否修改数据包的地址等）

转发：PREROUTING->FORWARD->POSTROUTING

来自外界的数据包到达防火墙后，首先被 PREOUTING 链处理，然后再进行路由选择；如果数据包的目标地址是其他外部地址，则内核将其传递给 FORWARD 链进行处理（允许转发、拦截或丢弃），最后交给 POSTROUTING 链进行处理（是否修改数据包的地址等）

3.规则链内的匹配顺序

按顺序一次检查，匹配即停止（LOG策略例外）

若找不倒相匹配的规则，则按该链的默认策略处理

在这里插入图片描述

---