Linux防火墙的介绍（三）

作者:蜗牛更新于： 2018-04-09 18:52:15

　　通过使用用户空间可以构建自己的定制规则,这些规则存储在内核空间的信息包过滤表中。添加到FORWARD链中,这3个链是基本信息包过滤表中内置的默认主链。另外,还有其他许多可用的链的类型(如PREROUTING和POSTROUTING),以及用户定义的链。

　　每个链都可以有一个策略,它定义“默认目标”,即要执行的默认操作,当信息包与链中的任何规则都不匹配时执行此操作建立规则并将链放在适当的位置之后,就可以开始进行真正的信息包过滤工作了,这时内核空间从用户空间接管工作。

　　当信息包到达Linux（一套免费使用和自由传播的类Unix操作系统）防火墙时,内核先检查信息包的头信息。尤其是信息包的目的地,这个过程称为“路由”。如果信息包源自外界并前往系统,而且防火墙是打开的,那么内核将其传递到内核空间信息包过滤表的的INPUT链。

　　如果信息包源自系统内部或系统所连接的内部网上的其他源,并且此信息包要前往另一个外部系统,那么信息包被传递到OUTPUT链。类似的,源自外部系统并前往内部系统的信息包被传递到FORWARD链。接下来,将信息包的头信息与其所传递到的链中的每条规则进行比较,看它是否与某条规则完全匹配。

　　如果信息包与某条规则匹配,那么内核就对该信息包执行由该规则的目标指定的操作;如果信息包与这条规则不匹配,那么它将与链中的下一条规则进行比较。如果信息包与链中的任何规则都不匹配,那么内核将参考该链的策略来决定如何处理该信息包。理想的策略应该告诉内核丢弃(DROP)该信息包。

　　这些规则具有目标,它们告诉内核对来自某些源、前往某些目的地或如何处理有某些协议类型的信息包,如果某个信息包与规则匹配,那么使用目标ACCEPT允许该信息包通过,还可以使用目标DROP或REJECT来阻塞并杀死信息包。

　　小编结语：对于信息包执行的其他提作,根据规则所处理的信息包的类型,可以将规则分组在链中。处理入站信息包的规则被加还有许多其他目标到NPUT链中;处理出站信息包的规则被添加到OUTPUT链中,处理正在转发的信息。