netfilter

• CentOS 6 默认的防火墙是 iptables • CentOS 7 默认的防火墙是 firewallD（底层使用 netfilter） 来源： https://www.cnblogs.com/wooluwalker/p/12642973.html

1 内核优化脚本 cat <<eof> /etc/sysctl.d/sysctl.conf net.ipv4.tcp_fin_timeout = 2 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_keepalive_time =600 net.ipv4.ip_local_port_range = 4000 65000 net.ipv4.tcp_max_syn_backlog = 16384 net.ipv4.tcp_max_tw_buckets = 36000 net.ipv4.route.gc_timeout = 100 net.ipv4.tcp_syn_retries = 1 net.ipv4.tcp_synack_retries = 1 net.core.somaxconn = 16384 net.core.netdev_max_backlog = 16384 net.ipv4.tcp_max_orphans = 16384 net.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_tcp

從第七章的圖 7.1-1 我們可以發現防火牆是整個封包要進入主機前的第一道關卡，但，什麼是防火牆？Linux 的防火牆有哪些機制？ 防火牆可以達到與無法達到的功能有哪些？防火牆能不能作為區域防火牆而不是僅針對單一主機而已呢？其實，Linux 的防火牆主要是透過 Netfilter 與 TCP Wrappers 兩個機制來管理的。其中，透過 Netfilter 防火牆機制，我們可以達到讓私有 IP 的主機上網 (IP 分享器功能) ，並且也能夠讓 Internet 連到我內部的私有 IP 所架設的 Linux 伺服器 (DNAT 功能)！真的很不賴喔！ 這一章對您來說，也真的有夠重要的啦！ 转自： http://linux.vbird.org/linux_server/0250simple_firewall.php 9.1 認識防火牆 　　9.1.1 開始之前來個提醒事項 　　9.1.2 為何需要防火牆 　　9.1.3 Linux 系統上防火牆的主要類別 　　9.1.4 防火牆的一般網路佈線示意 　　9.1.5 防火牆的使用限制 9.2 TCP Wrappers 　　9.2.1 哪些服務有支援 ： ldd 　　9.2.2 /etc/hosts.{allow|deny} 的設定方式 9.3 Linux 的封包過濾軟體： iptables 　　9.3.1 不同 Linux

iptables ip_conntrack_max 1、 what 允许的最大跟踪连接条目 －允许的最大跟踪连接条目： CONNTRACK_MAX （默认值是 2^16=65536 ） －存储跟踪连接条目列表的哈西表的大小： HASHSIZE －每个哈西表的条目（叫一个 bucket ），包含了一个链接起来的跟踪连接条目 －哈希表大小 HASHSIZE ，表现为 条目 bucket 的多少，在 iptables 启动时在日志中会显示。 First of all, let us see what IP_CONNTRACK is. It is nothing but the number of sessions that can be handled simultaneously by netfilter in kernel memory. ip_conntrack_max 计算公式： CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (x / 32) 这里 x 是指针的 bit 数，（例如， 32 或者 64bit ） 通常， CONNTRACK_MAX = HASHSIZE * 8 。这意味着每个链接的列表平均包含 8 个 conntrack 的条目（在优化的情况并且 CONNTRACK_MAX 达到的情况下）

Linux占用的系统资源少，运行效率高，具有很好的稳定性和安全性，作为一种网络操作系统，需要部署防火墙，将内网安全地接入到Internet中。CentOS7的防火墙已经用firewalld 替代iptables。firewalld提供一个动态的管理的防火墙。支持IPV4和IPV6防火墙设置。 防火墙技术可用于可信网络(内网)和不可信网络(外网)之间建立安全屏障 防火墙技术 防火墙的作用 人们通常在内网和外网之间安装防火墙，形成一个保护层，对进出所有的数据进行监测，分析，限制，并对用户进行认证。防止有害信息进入受保护的网络，保护其安全。内网和外网之间传输的所有数据都要经过防火墙检查，只有合法数据才能通过。 防火墙的最主要的目的是确保受保护网络的安全，但它只是一种网络安全技术，存在局限性，例如不能防范绕过防火墙的攻击，不能防止收到病毒感染的软件或文件的传输，以及收到木马的攻击等，难以避免来自内部的攻击 防火墙按照防护原理分为包过滤路由器，应用网关和状态检测的防火墙；按照防护范围分为网络防火墙和主机防火墙。网络防火墙主要用来保护内网计算机免受来自网络外部的入侵，但并能保护内部网络及算你免受其来自本身和内网计算机的攻击，主机防火墙主要用于主机面受攻击。 防火墙的配置方案 一般来说，只有内网和外网连接时才需要防火墙，当然，在内部不同部门之间的网络有时也需要防火墙。嘴贱当的防火墙配置

参考： https://www.zsythink.net/archives/1199 Netfilter Netfilter是Linux内核中的一个数据包处理模块，它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具，可以用来在Netfilter中增加、修改、删除数据包处理规则。 Netfilter是位于网卡和内核协议栈之间的一堵墙，是一种免费的软件防火墙。 Netfilter中有三个主要的概念：规则、表、链，等级依次递增。 规则是对特定报文的处理说明，包括匹配字段和action。 链是一组规则的集合。 表是链中相同功能的规则集合。 规则 链 链可以看作网卡和内核协议栈之前的多道关卡，对于不通类型的报文，走不通的关卡进行处理，即匹配不通的链。 由网卡上送到内核协议栈的报文：PREROUTING -> INPUT 由网卡出来不能上送到内核协议栈的报文：PREROUTING -> FORWARD -> POSTROUTING 由内核协议栈送往网卡的报文：OUTPUT -> POSTROUTING 表 为了管理方便，链中相同功能的规则被组织在了一张表中，iptables已经为我们定义了四张表。 表的优先级次序（由高到低）：raw -> mangle -> nat -> filter 表链关系 一张链中可以有多张表，但是不一定拥有全部的表。

本文 centos 6.5 优化 的项有18处: 1、centos6.5最小化安装后启动网卡 2、ifconfig查询IP进行SSH链接 3、更新系统源并且升级系统 4、系统时间更新和设定定时任 5、修改ip地址、网关、主机名、DNS 6、关闭selinux，清空iptables 7、创建普通用户并进行sudo授权管理 8、修改SSH端口号和屏蔽root账号远程登陆 9、锁定关键文件系统（禁止非授权用户获得权限） 10、精简开机自启动服务 11、调整系统文件描述符大小 12、设置系统字符集 13、清理登陆的时候显示的系统及内核版本 14、内核参数优化 15、定时清理/var/spool/clientmqueue 16、删除不必要的系统用户和群组 17、关闭重启ctl-alt-delete组合键 18、设置一些全局变量 1、启动网卡 #centos6.x最小化安装后，网卡默认不是启动状态 ifup eth0 2、SSH链接 ifconfig 查看IP后SSH终端连接。 3、更新源 最小化安装是没有wget工具的，必须先安装在修改源) yum install wget 备份原系统更新源 mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup 进入yum.repos.d目录 cd /etc

摘自： https://blog.csdn.net/qq_29344757/article/details/81128150 如下是具有双网卡的Linux服务器，数据入口网卡是 eth0 ，数据出口网卡是 eth1 ： 而Linux**防火墙**的工作区域为下图中的绿色阴影部分(防火墙的概念这里不赘述)： Linux系统中防火墙功能的两大角色： iptables 和 netfilter 。iptables是Linux系统下应用层内置 控制防火墙的工具 ，netfilter则是防火墙功能的 具体实现 ，是 内核空间 的功能模块。所谓的iptables“控制”防火墙，就是用户利用iptables将防火墙规则设置给内核的netfilter功能模块，这中间涉及“四表五链”： “四表五链”其实是对用户设置规则的管理，是看待用户设置的规则的 两个维度 。举个例子，看图中深蓝色箭头的数据流向，数据包要到达用户层，需要经过 PREROUTING链 (路由前链)， INPUT链 (输入链)，在这个链路中存放着用户设置的规则，这些规则根据功能不同又会被分组存放在RAW表、Mangle表和NAT表中。当数据包抵达PREROUTING链时，netfilter程序会依次从 RAW表、Mangle表和NAT表 中取出针对PREROUTING链的用户规则并执行相应操作；同理

本文 centos 6.5 优化 的项有18处: 1、centos6.5最小化安装后启动网卡 2、ifconfig查询IP进行SSH链接 3、更新系统源并且升级系统 4、系统时间更新和设定定时任 5、修改ip地址、网关、主机名、DNS 6、关闭selinux，清空iptables 7、创建普通用户并进行sudo授权管理 8、修改SSH端口号和屏蔽root账号远程登陆 9、锁定关键文件系统（禁止非授权用户获得权限） 10、精简开机自启动服务 11、调整系统文件描述符大小 12、设置系统字符集 13、清理登陆的时候显示的系统及内核版本 14、内核参数优化 15、定时清理/var/spool/clientmqueue 16、删除不必要的系统用户和群组 17、关闭重启ctl-alt-delete组合键 18、设置一些全局变量 1、启动网卡 #centos6.x最小化安装后，网卡默认不是启动状态 ifup eth0 2、SSH链接 ifconfig 查看IP后SSH终端连接。 3、更新源 最小化安装是没有wget工具的，必须先安装在修改源) yum install wget 备份原系统更新源 mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup 进入yum.repos.d目录 cd /etc