日韩欧美国产极速不卡一区,国产手机视频在线观看尤物,国产亚洲欧美日韩蜜芽一区,亚洲精品国产免费,亚洲二区三区无码中文,A大片亚洲AV无码一区二区三区,日韩国语国产无码123

您好,歡迎來到維庫電子市場網(wǎng) 登錄 | 免費注冊

netfilter
閱讀�10892時間�2011-09-07 15:03:36

  netfilter是繼2.0.x的IPfwadm�2.2.x的IPchains之后,新一代的Linux防火墻機�。Netfilter采用模塊化設(shè)計,具有良好的可擴充�。其重要工具模塊IPTables連接到Netfilter的架�(gòu)中,并允許使用者對�(shù)�(jù)報進行過濾、地址�(zhuǎn)換、處理等操作�

原理

  netfilter定義了協(xié)議棧中的檢查點和檢查點上引用的數(shù)�(jù)�(jié)�(gòu)以及對這些�(shù)�(jù)�(jié)�(gòu)引用的過�。檢查點由宏NF_HOOK定義�

 

工作過程

  netfilter IP 信息包過濾系�(tǒng)是一種功能強大的工具,可用于添加、編輯和除去�(guī)則,這些�(guī)則是在做信息包過濾決定時,防火墻所遵循和組成的�(guī)�。這些�(guī)則存儲在專用的信息包過濾表中,而這些表集成在 Linux �(nèi)核中。在信息包過濾表中,�(guī)則被分組放在我們所謂的 鏈(chain)中。我馬上會詳細討論這些�(guī)則以及如何建立這些�(guī)則并將它們分組在鏈中�

  雖然 netfilter IP 信息包過濾系�(tǒng)被稱為單個實�,但它實際上由兩個組� netfilter� iptables 組成�

  netfilter 組件也稱� �(nèi)核空間(kernelspace�,是�(nèi)核的一部分,由一些信息包過濾表組�,這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)則集�

  iptables 組件是一種工具,也稱� 用戶空間(userspace�,它使插�、修改和除去信息包過濾表中的�(guī)則變得容易。除非您正在使用 Red Hat Linux 7.1 或更高版�,否則需要從 netfilter.org 下載該工具并安裝使用��

  通過使用用戶空間,可以構(gòu)建自己的定制�(guī)�,這些�(guī)則存儲在�(nèi)核空間的信息包過濾表�。這些�(guī)則具� 目標,它們告訴內(nèi)核對來自某些�、前往某些目的地或具有某些�(xié)議類型的信息包做些什么。如果某個信息包與規(guī)則匹�,那么使用目� ACCEPT 允許該信息包通過。還可以使用目標 DROP � REJECT 來阻塞并殺死信息�。對于可對信息包�(zhí)行的其它操作,還有許多其它目��

  根據(jù)�(guī)則所處理的信息包的類型,可以將規(guī)則分組在鏈中。處理入站信息包的規(guī)則被添加� INPUT 鏈中。處理出站信息包的規(guī)則被添加� OUTPUT 鏈中。處理正在轉(zhuǎn)�(fā)的信息包的規(guī)則被添加� FORWARD 鏈中。這三個鏈是基本信息包過濾表中�(nèi)置的缺省主鏈。另�,還有其它許多可用的鏈的類型(如 PREROUTING � POSTROUTING �,以及提供用戶定義的�。每個鏈都可以有一� 策略,它定義“缺省目標�,也就是要執(zhí)行的缺省操作,當信息包與鏈中的任何規(guī)則都不匹配時,執(zhí)行此操作�

  建立�(guī)則并將鏈放在適當?shù)奈恢弥螅涂梢蚤_始進行真正的信息包過濾工作�。這時�(nèi)核空間從用戶空間接管工作。當信息包到達防火墻�,內(nèi)核先檢查信息包的頭信息,尤其是信息包的目的地。我們將這個過程稱� 路由�

  如果信息包源自外界并前往系統(tǒng),而且防火墻是打開�,那么內(nèi)核將它傳遞到�(nèi)核空間信息包過濾表的 INPUT 鏈。如果信息包源自系統(tǒng)�(nèi)部或系統(tǒng)所連接的內(nèi)部網(wǎng)上的其它�,并且此信息包要前往另一個外部系�(tǒng),那么信息包被傳遞到 OUTPUT �。類似的,源自外部系�(tǒng)并前往外部系統(tǒng)的信息包被傳遞到 FORWARD 鏈�

  接下�,將信息包的頭信息與它所傳遞到的鏈中的每條規(guī)則進行比較,看它是否與某條�(guī)則完全匹�。如果信息包與某條規(guī)則匹配,那么�(nèi)核就對該信息包執(zhí)行由該規(guī)則的目標指定的操�。但�,如果信息包與這條�(guī)則不匹配,那么它將與鏈中的下一條規(guī)則進行比較。,如果信息包與鏈中的任何規(guī)則都不匹�,那么內(nèi)核將參考該鏈的策略來決定如何處理該信息包。理想的策略�(yīng)該告訴內(nèi)� DROP 該信息包�

�(yōu)�

  netfilter 的優(yōu)點是它可以配置有狀�(tài)的防火墻,這是 ipfwadm � ipchains 等以前的工具都無法提供的一種重要功�。有狀�(tài)的防火墻能夠指定并記住為�(fā)送或接收信息包所建立的連接的狀�(tài)。防火墻可以從信息包的連接跟蹤狀�(tài)獲得該信�。在決定新的信息包過濾時,防火墻所使用的這些狀�(tài)信息可以增加其效率和速度。這里有四種有效狀�(tài),名稱分別為 ESTABLISHED � INVALID � NEW � RELATED �

  狀�(tài) ESTABLISHED 指出該信息包屬于已建立的連接,該連接一直用于發(fā)送和接收信息包并且完全有�� INVALID 狀�(tài)指出該信息包與任何已知的流或連接都不相關(guān)�(lián),它可能包含錯誤的數(shù)�(jù)或頭。狀�(tài) NEW 意味著該信息包已�(jīng)�?qū)有碌倪B�,或者它與尚未用于發(fā)送和接收信息包的連接相關(guān)�(lián)。, RELATED 表示該信息包正在啟動新連接,以及它與已建立的連接相關(guān)�(lián)�

  netfilter 的另一個重要優(yōu)點是,它使用戶可以完全控制防火墻配置和信息包過濾。您可以定制自己的規(guī)則來滿足您的特定需�,從而只允許您想要的�(wǎng)�(luò)流量進入系統(tǒng)�

  另外,netfilter 是免費的,這對于那些想要節(jié)省費用的人來說十分理想,它可以代替昂貴的防火墻解決方��

維庫電子�,電子知�,一查百��

已收錄詞�153979

扬中�| 揭东�| 句容�| 铜山�| 册亨�| 佳木斯市| 炎陵�| 淮南�| 余江�| 舞钢�| 岑巩�| 微山�| 靖西�| 日土�| 岚皋�| 崇州�| 广宗�| 松阳�| 朝阳�| 香格里拉�| 平遥�| 夏津�| 出国| 巴南�| 雅江�| 沁阳�| 宁强�| 运城�| 上饶�| 毕节�| 成都�| 岚皋�| 印江| 凌云�| 黄山�| 大城�| 余姚�| 阳信�| 淄博�| 亚东�| 菏泽�|