netfilter

linux下如何关闭防火墙？如何查看防火墙当前的状态是开启还是关闭？ 从配置菜单关闭防火墙是不起作用的，索性在安装的时候就不要装防火墙 查看防火墙状态： /etc/init.d/iptables status 暂时关闭防火墙： /etc/init.d/iptables stop 禁止防火墙在系统启动时启动 /sbin/chkconfig --level 2345 iptables off 重启iptables: /etc/init.d/iptables restart 题外话： BT或者骡子速度慢用不着关防火墙，只要把相应端口开放就可以了 在文件 /etc/sysconfig/iptables 在系统原始配置的:RH-Firewall-1-INPUT规则链增加类似这样的行： -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 39764 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 39764 -j ACCEPT 如果发现原有-j REJECT一类的语句，上面两句要放在它的前面 重启后生效 开启： chkconfig iptables on 关闭： chkconfig iptables off 或者

如下是具有双网卡的Linux服务器，数据入口网卡是eth0，数据出口网卡是eth1： 而Linux**防火墙**的工作区域为下图中的绿色阴影部分(防火墙的概念这里不赘述)： Linux系统中防火墙功能的两大角色：iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具，netfilter则是防火墙功能的具体实现，是内核空间的功能模块。所谓的iptables“控制”防火墙，就是用户利用iptables将防火墙规则设置给内核的netfilter功能模块，这中间涉及“四表五链”： “四表五链”其实是对用户设置规则的管理，是看待用户设置的规则的两个维度。举个例子，看图中深蓝色箭头的数据流向，数据包要到达用户层，需要经过PREROUTING链(路由前链)，INPUT链(输入链)，在这个链路中存放着用户设置的规则，这些规则根据功能不同又会被分组存放在RAW表、Mangle表和NAT表中。当数据包抵达PREROUTING链时，netfilter程序会依次从RAW表、Mangle表和NAT表中取出针对PREROUTING链的用户规则并执行相应操作；同理，INPUT链上的规则也会被分组存放在Mangle表和Filter表中，netfilter程序会依次从这两个表中取出针对INPUT链设置的用户规则并执行相应操作。（特别强调，转发的数据包不经过 OUTPUT

我靠，如此神器，我才知道！！！ make localmodconfig 我还手动配个鸟！！！ # # Automatically generated file; DO NOT EDIT. # Linux/x86 4.15.18 Kernel Configuration # CONFIG_64BIT=y CONFIG_X86_64=y CONFIG_X86=y CONFIG_INSTRUCTION_DECODER=y CONFIG_OUTPUT_FORMAT="elf64-x86-64" CONFIG_ARCH_DEFCONFIG="arch/x86/configs/x86_64_defconfig" CONFIG_LOCKDEP_SUPPORT=y CONFIG_STACKTRACE_SUPPORT=y CONFIG_MMU=y CONFIG_ARCH_MMAP_RND_BITS_MIN=28 CONFIG_ARCH_MMAP_RND_BITS_MAX=32 CONFIG_ARCH_MMAP_RND_COMPAT_BITS_MIN=8 CONFIG_ARCH_MMAP_RND_COMPAT_BITS_MAX=16 CONFIG_NEED_DMA_MAP_STATE=y CONFIG_NEED_SG_DMA_LENGTH=y CONFIG_GENERIC_ISA_DMA=y

前言： 　　之前在山西的项目上使用的是lvs下的NAT模式，但另外两个模式并没有涉及，今天系统的整理下关于负载均衡的相关理论与lvs各模式的相关优点与不足，知其然与所以然，而后能针对性的应用： 基本介绍 1.1 负载均衡的由来 在业务初期，我们一般会先使用单台服务器对外提供服务。随着业务流量越来越大，单台服务器无论如何优化，无论采用多好的硬件，总会有性能天花板，当单服务器的性能无法满足业务需求时，就需要把多台服务器组成集群系统提高整体的处理性能。不过我们要使用统一的入口方式对外提供服务，所以需要一个流量调度器通过均衡的算法，将用户大量的请求均衡地分发到后端集群不同的服务器上。这就是我们后边要说的 负载均衡。 1.2 负载均衡的优点 提高了服务的整体性能 提高了服务的扩展性 提高了服务的高可用性 1.3 负载均衡的类型 广义上的负载均衡器大概可以分为 3 类，包括：DNS 方式实现负载均衡、硬件负载均衡、软件负载均衡。 1.3.1 DNS负载均衡 DNS 实现负载均衡是最基础简单的方式。一个域名通过 DNS 解析到多个 IP，每个 IP 对应不同的服务器实例，这样就完成了流量的调度，虽然没有使用常规的负载均衡器，但也的确完成了简单负载均衡的功能。 通过 DNS 实现负载均衡的方式的优点： 实现简单，成本低，无需自己开发或维护负载均衡设备， 通过 DNS 实现负载均衡的方式的缺点：

目录 iptables 1 Firewall：隔离工具 1.1 Packets Filter Firewall 2 iptables/netfilter 2.1 netfilter 2.1 iptables 3 netfilter 3.1 hooks function 4 iptables 4.1 CHAINS：<钩子> 5 报文流向 6 tables 6.1 filter 6.2 nat 6.3 mangle 6.4 raw 6.5 优先级次序（由高而低） 6.6 功能<-->钩子 7 iptables规则的组成部分 7.1 匹配条件 7.2 处理动作： target 8 安装： 8.1 netfilter 8.2 iptables 8.3 程序包： 9 iptables命令 9.1 规则 9.2 匹配条件 9.3 处理动作 9.4 添加规则时需要考量的问题 10 iptabls命令的使用格式 10.1 规则管理格式 11 COMMANDS 链管理 规则 查看 计数器 匹配条件 基本匹配条件： 扩展匹配条件： 显式扩展 12 保存和载入规则 12.1 CentOS 6 12.2 CentOS 7开机自动生效规则 13 规则优化的思路 14 iptables/netfilter网络防火墙 15 NAT 15.1 target: 16 自定义链： 16.1 引用自定义链：

一.网络访问控制 　　1.Linux一般都是作为服务器系统使用，对外提供一些基于网络的服务 　　2.通常我们都需要对服务器进行一些网络访问控制，类似防火墙的功能 　　3.常见的访问控制包括：哪些IP可以访问服务器、可以使用哪些协议、哪些接口、是否需要对数据包进行修改等等。 　　4.如服务器可能受到来自某IP的攻击，这时就需要禁止所有来自该IP的访问。 　　5.Linux内核集成了网络访问控制功能，通过netfilter模块实现 二.IPTables Linux内核通过netfilter模块实现网络访问控制功能，在用户层我们可以通过iptables程序对netfilter进行控制管理。 　　1.netfilter可以对数据进行允许、丢弃、修改操作 　　2.netfilter支持通过以下方式对数据包进行分类： 　　　　-源IP地址 　　　　-目标IP地址 　　　　-使用接口 　　　　-使用协议(TCP、UDP、ICMP等) 　　　　-端口号 　　　　-连接状态(new、ESTABLISHED、RELATED、INVALID) 三.Netfilter 　　1.filter(chain)用以对数据进行过滤 　　2.nat用以对数据包的源、目标地址进行修改 　　3.mangle用以对数据包进行高级修改 四.常用功能 　　1.作为服务器使用： 　　　　过滤到本机的流量 　　- input链

Centos7-----firewalld详解 一.firewalld是啥玩楞？~~？ 防火墙，顾名思义，是防火的墙，咳咳，可能说的有点直白。我们这里要讲的是centos7里面的firewalld。 firewalld简介 ~支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 ~支持IPV4,IPV6防火墙设置以及以太网桥 ~支持服务或应用程序直接添加防火墙规则接口 ~拥有两种配置模式 ######运行时配置 ######永久配置 firewalld和iptables的区别 iptables是什么 IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做数据包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的数据包过滤表中，而这些表集成在 Linux 内核中。在数据包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件netfilter 和

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> netfilter/iptables 简述历史 kernel 2.0.x IPfwadm kernel 2.2.x IPchains kernel 2.4.x Netfilter kernel 3.13.x NFtables iptables基础 netfilter/iptables 分别是内核态模块和用户态工具，管理员通过iptables给netfilter变更规则 netfilter/iptables 预设的表和链 内置了五个表,分别是 filter, nat, mangle, raw, security 分别对应的内核模块是 /lib/modules/x.x.x/kernel/net/ipv4/netfilter/ 目录下的 <pre> iptable_filter.ko iptable_nat.ko iptable_mangle.ko iptable_raw.ko iptable_security.ko </pre> 预设了五个chain 分别是 POSTROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING 可以用通过 iptable -t table_name -L 来查看,详见 man iptables iptables 的启用与停用 以 默认的filter为例