防火墻分類：

軟件防火墻：常用于數據包的過濾，比如限制某些ip或者端口，進行某些數據的轉發或者傳送
硬件防火墻：防御地域攻擊

軟件防火墻的分類：

包過濾防火墻：控制比較寬泛，防御效果好。
應用防火墻：可以實現更細粒度的控制。

iptables是軟件防火墻，一般都是針對ip、端口、UDP和TCP進行控制。
CentOS 6一般默認使用iptables，iptables是上層的操作工具，Netfilter是內核的模塊實現，運行在內核空間（kernel space）。
CentOS 7一般默認使用firewallD。

iptables有規則表和規則鏈（進行）。
iptables規則表有四個：

filter：進行過濾
net：進行網絡轉換
mangle
raw

iptables規則鏈：

INPUT鏈：當一個數據包由內核中的路由計算確定為本地的Linux系統后，它會通過INPUT鏈的檢查。
OUTPUT鏈：保留給系統自身生成的數據包。
FORWARD鏈：經過Linux系統路由的數據包（即當iptables防火墻用于連接兩個網絡時，兩個網絡之間的數據包必須流經該防火墻）。
PREROUTING鏈：用于修改目的地址（DNAT）。
POSTROUTING鏈：用于修改源地址（SNAT）。

此文章為8月Day 14學習筆記，內容來源于極客時間《Linux 實戰技能 100 講》。