對于已經(jīng)用慣redhat7的人來說求晶,紅帽系統(tǒng)6和7里面比較大的差別之一其實(shí)就算是防火墻了章姓。6里賣面防火墻主要是依靠iptables來實(shí)現(xiàn),但到了centos7或紅帽七的系統(tǒng)里面讶凉,iptables的功能已經(jīng)被大大的弱化了问欠,取而代之的卻是firewall軟件系統(tǒng)。
首先不得不先說一下在紅帽7當(dāng)中的防火墻感昼。在紅帽7當(dāng)中装哆,防火墻不單只是一堵墻,把不受歡迎的ip網(wǎng)段或域名擋在外面定嗓,而且也能實(shí)現(xiàn)端口轉(zhuǎn)發(fā)的功能蜕琴。總體上看防火墻的功能還是很強(qiáng)大的宵溅。
(1) firewall-cmd --permanent --add-source=172.34.0.0 --zone=block
把來自172.34.0.0網(wǎng)段的來訪者禁止訪問凌简。
(2) firewamm-cmd --permanent --zone=trucked --add-forward=port=port=5423:porto=tcp:toport=80
訪問本地的端口5423將會被轉(zhuǎn)發(fā)到80端口。
但對比7里面的防火墻功能恃逻,6里面的iptables就顯得更為復(fù)雜了雏搂。首先需要介紹的是iptables的四表五鏈。
四表:raw(網(wǎng)址過濾)寇损、magle(數(shù)據(jù)包的修改)凸郑、net(地址轉(zhuǎn)換)、filter(包過濾)润绵。
五鏈:INPUT(處理輸入數(shù)據(jù)包)线椰、OUTPUT(處理輸出數(shù)據(jù)包)胞谈、PORWARD(處理轉(zhuǎn)發(fā)數(shù)據(jù)包)尘盼、PREROUTING(用于目標(biāo)地址轉(zhuǎn)換)、POSTROUTING(用于源地址轉(zhuǎn)換)
相比firewalld烦绳,iptables的規(guī)則要復(fù)雜的多卿捎。下面就舉個(gè)簡單的例子。
允許本地回環(huán)接口訪問本機(jī):
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
允許訪問本地的80端口:
iptables -A INPUT -p tcp --deport 80 -j ACCEPT
拒絕主機(jī)8.8.8.8的訪問:
iptables -I INPUT -s 8.8.8.8 -j DROP
這些是我對于firewall和iptables對比的一些愚見径密。當(dāng)然午阵,本人是先接觸紅帽7,后接觸紅帽6的。所以從主觀角度來看底桂,當(dāng)然是習(xí)慣于適用紅帽7的防火墻植袍。但對于很多先接觸紅帽6的人來說,iptables才更符合他們的使用習(xí)慣籽懦。這里只是給有相似經(jīng)歷的小伙伴們一些分享而已于个。
