「Firewall」

  CREATED BY JENKINSBOT

ipfwadm

更早期的linux内核防火墙。ipfwadm是管理linux内核提供的IP计数和IP防火墙服务的程序。当前的ipfwadm稳定版本是1.2版本,需要linux内核版本为1.2.1或更高版本,ipfwadm的2.3.0版本则需要linux版本1.3.66或更高版本。以前的ipfwadm版本2.0beta1 beta版本之一,适用于linux版本1.3.61至1.3.65。

ipchians

linux IP Firewalling Chains(通常称为ipchains)是2.2系列的linux内核中的数据包过滤、防火墙功能的软件。它取代了ipfwadm,但在2.4系列的linux内核中被iptables取代。与iptables不同,ipchains是无状态的。

ipchains是对linux以前的IPv4防火墙ipfwadm的重写。这个较新的ipchains需要从版本2.1.102(这是一个2.2开发版本)开始管理linux内核中的数据包过滤器。修补程序也可以添加到2.0和更早的2.1系列内核的ipchains。改进包括:更大的数据包计数最大值、过滤分片数据包、更广泛的协议,以及根据规则的逆向来匹配数据包的能力。

ipchains套件还包含一些shell脚本,以便于维护,并模拟旧的ipfwadm命令的行为。

ipchains软件被linux内核2.4及以上版本中的iptables所取代。

netfilter && iptables

netfilter是linux 2.4.x及更高版本内核中的包过滤框架,用于处理网络数据包。

该框架内的软件可以实现数据包过滤、网络地址端口转换(NA[P]T)、其他数据包的移动。这是对以前的linux 2.2.x ipchains和linux 2.0.x ipfwadm系统的重新设计和大大改进。

netfilter是linux内核中的一组hook,它允许内核模块向网络堆栈注册回调函数,然后为遍历网络堆栈内相应钩子的每个数据包调用一个注册回调函数。

iptables是用于定义规则集的通用表结构。IP表中的每个规则由多个分类器(iptables matches)和一个连接的动作(iptables target)组成。

netfilter,ip_tables,connection tracking(ip_conntrack,nf_conntrack),NAT子系统一起构成了框架的主要部分。

iptables负责管理规则集;netfilter负责执行规则集。

nftables

# FireHOL

https://firehol.org/

参考文献

Wikipedia/Firewall