对于已经用惯redhat7的人来说,红帽系统6和7里面比较大的差别之一其实就算是防火墙了。6里卖面防火墙主要是依靠iptables来实现,但到了centos7或红帽七的系统里面,iptables的功能已经被大大的弱化了,取而代之的却是firewall软件系统。
首先不得不先说一下在红帽7当中的防火墙。在红帽7当中,防火墙不单只是一堵墙,把不受欢迎的ip网段或域名挡在外面,而且也能实现端口转发的功能。总体上看防火墙的功能还是很强大的。
(1) firewall-cmd --permanent --add-source=172.34.0.0 --zone=block
把来自172.34.0.0网段的来访者禁止访问。
(2) firewamm-cmd --permanent --zone=trucked --add-forward=port=port=5423:porto=tcp:toport=80
访问本地的端口5423将会被转发到80端口。
但对比7里面的防火墙功能,6里面的iptables就显得更为复杂了。首先需要介绍的是iptables的四表五链。
四表:raw(网址过滤)、magle(数据包的修改)、net(地址转换)、filter(包过滤)。
五链:INPUT(处理输入数据包)、OUTPUT(处理输出数据包)、PORWARD(处理转发数据包)、PREROUTING(用于目标地址转换)、POSTROUTING(用于源地址转换)
相比firewalld,iptables的规则要复杂的多。下面就举个简单的例子。
允许本地回环接口访问本机:
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
允许访问本地的80端口:
iptables -A INPUT -p tcp --deport 80 -j ACCEPT
拒绝主机8.8.8.8的访问:
iptables -I INPUT -s 8.8.8.8 -j DROP
这些是我对于firewall和iptables对比的一些愚见。当然,本人是先接触红帽7,后接触红帽6的。所以从主观角度来看,当然是习惯于适用红帽7的防火墙。但对于很多先接触红帽6的人来说,iptables才更符合他们的使用习惯。这里只是给有相似经历的小伙伴们一些分享而已。
网友评论