Linux防火墙的介绍（二）

作者:蜗牛更新于： 2018-04-09 18:51:56

　　对于我们之前说的是用户自己定义的规则,当一个数据包进入Linux防火墙系统时,Linux内核使用输入链决定对这个包的操作,如果这个包不被丢弃,内核则使用转发链来决定是否将这个包转发到某个出口,当这个包到达一个出口被发出前,内核使用输出链最后确定是丢弃该包还是转发该包。

　　在上述过程中,如果输入链已经决定处理这个包,则内核需要决定下一步包应该发到f什么地方,即进行路由。假如此时该数据包是发到另一台主机的,则内核就运用转发链:如果没有找到匹配的设置,则这个包就需要进入目标值指定的下一条链。

　　此时目标值有可能是一条用户自定义链,也有可能是如下一个特定值。

　　ACCEPT:允许通过DENY:直接丢弃REJECT:丢弃并通过ICMP回复通知发送者包被丢弃。

　　MASQ:通知核心将该包伪装,该值只对转发链和用户自定义起作用。

　　REDIRECT:通知核心将包改送到一个本地端口,该值人只对输入链和用户自定义链起作用,并且只有UDP和TCP协议才可以使用该值。

　　RETURE:通知内核将该包跳过所有的规直接到达所有链的链尾和IPFW一样,Ipchains也是基于配置策略进行包过滤的,使用的策略方式有如下种首先允许所有的包都可通过,然后禁止有危险险的包。首先禁止所有的包,然后根据所需要的服务允许特定的包通过。

　　2001年,2.4内核完成,Russell完成了其名为“Netfilter"的内核框架,这些防火墙软件套件一般都比其前任有所改进。Netfilter/iptables已经包含在以后的内核中,它可以实现防火墙、NAT(网络地址转换)和数据包的分割等功能。Netfilter工作在内核内部,而iptables则是由用户定义规则集的表结构。Netfilter/iptables是从ipchains和Ipwadfi防火墙管理)演化而来的。

　　Netfilter/iptables 操作系统如何工作Netfilter/iptablesIP信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规,这些规则是在决定信息包过滤时防火墙所遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中,在信息包过滤表中,规则被分组放在所谓的链(chain中,虽然Netfilter/iptablesIP信息包过滤系统称为“单个实体”,但它实际上由两个组件Netfilter和iptables组成。Netfilter组件也称为“内核空间(Kernelspace)”,是内核的它由一些信息包过滤表组成。

　　小编结语：其实，对于这些表包含内核用来控制信息包过滤处理的规则集。iptables件是一种工具,也称为“用户空间(Userspace)”,它使插入、修改和除去信息包过滤表中的则变得容易。