一、iptables：Linux的“初代网络门卫”

本质：基于内核 netfilter 框架的用户态防火墙工具，通过规则过滤、修改网络数据包（主要针对 IPv4/IPv6）。它是 Linux 最经典的防火墙方案，曾长期作为默认工具。

核心逻辑：

• 数据包经过网络栈时，会触发 netfilter 的 5 个“钩子点”（如 PREROUTING 处理入站、OUTPUT 处理出站），iptables 通过规则链（Chain）拦截数据包，并执行允许（ACCEPT）、拒绝（DROP）等动作。
• 规则按“表（Table）”分类，常用表有：filter（默认表）：控制包是否通过（如允许/拒绝访问某个端口）；nat：地址转换（如端口映射、NAT 共享上网）；mangle：修改包元数据（如调整 TTL、DSCP 优先级）。

典型用途：

• 禁止恶意 IP 访问 80 端口：

iptables -A INPUT -s 192.168.1.100 -p tcp --dport 80 -j DROP

• 允许 SSH 远程连接：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

缺点：规则语法复杂（4 表 5 链）、性能随规则数下降，逐渐被更现代的 nftables 替代。

二、ebtables：二层网络的“MAC地址管理员”

本质：针对以太网桥接（Bridge）的防火墙工具，工作在 OSI 模型的二层（数据链路层），专门管理 MAC 地址、广播包、组播帧等二层流量。

与 iptables 的区别：

• iptables 管三层（IP）、四层（端口）流量；ebtables 管二层（MAC 地址、网桥接口）流量。
• 典型场景：限制特定 MAC 地址访问网桥、过滤广播风暴（如阻止某台设备频繁发广播包）。

示例命令：
禁止 MAC 地址 00:1A:2B:3C:4D:5E 通过网桥通信：

ebtables -A INPUT -s 00:1A:2B:3C:4D:5E -j DROP

三、nftables：iptables 的“接班人”

本质：新一代网络包过滤框架，目标是替代
iptables/ip6tables/ebtables，提供更高效、灵活的规则管理。目前新系统（如 Ubuntu 22.04+、Fedora 31+）已默认使用。

优势：

• 统一语法：用 nft 命令管理 IPv4/IPv6/网桥规则（替代 ebtables），无需记忆多套工具；
• 性能更强：规则以“集合（set）”和“映射（map）”存储，匹配速度更快（尤其规则量大时）；
• 动态更新：修改规则无需重启服务，不中断现有连接（iptables 修改规则会闪断）。

典型操作：
禁止 IP 192.168.1.100 访问 80 端口：

nft add table inet myfilter   # 创建表（类似 iptables 的“表”）
nft add chain inet myfilter input { type filter hook input priority 0; }  # 创建链（类似 iptables 的“链”）
nft add rule inet myfilter input ip saddr 192.168.1.100 tcp dport 80 drop  # 添加规则

四、firewalld：RedHat系的“图形化防火墙管家”

本质：CentOS/RHEL/Fedora 等系统默认的防火墙管理工具（前端），底层依赖 iptables 或 nftables，提供更简单的配置方式（支持图形化）。

核心特性：

• 区域（Zone）管理：预设“公共/家庭/信任”等区域，按场景控制权限（如公共区域默认拒绝外部连接）；
• 动态更新：修改规则无需重启服务，不中断现有连接；
• 兼容传统规则：可转换 iptables 规则，平滑过渡。

常用命令：

• 开放 80 端口（HTTP）：

firewall-cmd --add-port=80/tcp --permanent # 永久生效 firewall-cmd --reload # 重载规则

• 查看当前区域规则：

firewall-cmd --list-all

五、ufw：Debian系的“极简防火墙”

全称：Uncomplicated Firewall（简单防火墙），是 Ubuntu/Debian 等系统默认的防火墙管理工具，本质是 iptables 的前端封装，通过简化语法降低使用门槛，适合新手快速配置。

核心特性：

• 命令友好：用 allow（允许）、deny（拒绝）等直观动词替代复杂的 iptables 规则；
• 预设策略：默认拒绝所有入站连接，允许出站连接（需手动放行常用端口）；
• 动态生效：规则修改即时生效，无需重启。

常用命令：

• 允许 SSH（22 端口）：

ufw allow 22/tcp

• 拒绝 HTTP（80 端口）：

ufw deny 80/tcp

• 查看规则状态：

ufw status # 简洁模式 
ufw status verbose # 详细模式（显示底层 iptables 规则）

总结：工具关系与选择建议

一句话选择指南：

• 新系统优先用 nftables（未来趋势），旧系统兼容 iptables；
• 二层过滤用 ebtables（或 nftables 的 bridge 表替代）；
• 新手/简单场景：Ubuntu 用 ufw，CentOS 用 firewalld；
• 高级玩家/高性能需求：直接操作 nftables。