Linux 系统中配置防火墙规则其实是在配置内核的 netfilter,我们所使用的 iptables 、firewalld 和 nftables 都是为了便于使用对 netfilter 所做的封装。
- netfilter:内核框架,提供核心包过滤、NAT 功能。
- iptables:用户态工具,传统防火墙管理,直接操作 netfilter。
- nftables:用户态工具,更现代的 iptables 替代品,可以设定复杂/全面的防火墙规则。
- firewalld:高级管理器,提供动态、易用的防火墙抽象(如 Zones),适合简化管理,底层仍依赖 iptables 或 nftables。