参考文献 https://firewalld.org/documentation/concepts.html
https://www.cnblogs.com/wzh206/archive/2010/05/13/1734901.html
https://blog.csdn.net/m0_37814112/article/details/121135883
https://ipset.netfilter.org/
概念
firewalld即Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器,是iptables的前端控制器,用于实现持久的网络流量规则。firwalld的架构分为两层,分别是D-Bus层和核心层。核心层负责配置和处理后端,如iptables、ip6tables、ebtables、ipset和模块加载器。firewalld与ipables一样都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核中的netfilter来实现真正的防火墙功能。
D-Bus,Desktop Bus ,一种高级的进程间通信机制,它由freedesktop.org项目提供,使用GPL许可证发行。D-Bus最主要的用途是在Linux桌面环境为进程提供通信,同时能将Linux桌面环境和Linux内核事件作为消息传递到进程。D-Bus的主要概率为总线,注册后的进程可通过总线接收或传递消息,进程也可注册后等待内核事件响应,例如等待网络状态的转变或者计算机发出关机指令。目前,D-Bus已被大多数Linux发行版所采用,开发者可使用D-Bus实现各种复杂的进程间通信任务。
ebtables即以太网桥防火墙与iptables类似都是Linux系统下网络数据包过滤的配置工具。ebtables工作在数据链路层用来过滤数据链路层的数据包。 从2.6内核开始内置了ebtables,在内核中ebtables 的数据截获点比 iptables 更“靠前”,它获得的数据更“原始”多用于桥模式,比如控制 VLAN ID 等。ebtables 就像以太网桥的 iptables。iptables 不能过滤桥接流量,而 ebtables 可以。ebtables 不适合作为 Internet 防火墙。
ipset是iptables Linux防火墙的一个配套应用程序。它允许你设置规则,以快速和容易地阻止一组ip地址, 网路地址(网段),tcp/udp 端口号, mac地址, 网卡名称。或者是上述类型的组合,并保证快速的匹配。
ipset 适用于以下几种场景:
(1)一次性存储大量的ip或者端口,用以iptables匹配
(2)在不影响性能的前提下,动态更新iptables规则(针对ip或者端口)
(3)期望使用ipset的告诉匹配,或者在一条iptables规则中表达复杂的 ip/端口规则
