亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　一：前言

　　防火墻用于實(shí)現(xiàn)Linux下訪問控制的功能的，它分為硬件的或者軟件的防火墻兩種。無論是在哪個(gè)網(wǎng)絡(luò)中，防火墻工作的地方一定是在網(wǎng)絡(luò)的邊緣。而我們的任務(wù)就是需要去定義到底防火墻如何工作，這就是防火墻的策略，規(guī)則，以達(dá)到讓它對(duì)出入網(wǎng)絡(luò)的IP、數(shù)據(jù)進(jìn)行檢測。

　　目前市面上比較常見的有3、4層的防火墻，叫網(wǎng)絡(luò)層的防火墻，還有7層的防火墻，其實(shí)是代理層的網(wǎng)關(guān)。

　　對(duì)于TCP/IP的七層模型來講，我們知道第三層是網(wǎng)絡(luò)層，三層的防火墻會(huì)在這層對(duì)源地址和目標(biāo)地址進(jìn)行檢測。但是對(duì)于七層的防火墻，不管你源端口或者目標(biāo)端口，源地址或者目標(biāo)地址是什么，都將對(duì)你所有的東西進(jìn)行檢查。所以，七層防火墻更加安全，但是這卻帶來了效率更低。所以市面上通常的防火墻方案，都是兩者結(jié)合的。而又由于我們都需要從防火墻所控制的這個(gè)口來訪問，所以防火墻的工作效率就成了用戶能夠訪問數(shù)據(jù)多少的一個(gè)最重要的控制，配置的不好甚至有可能成為流量的瓶頸。

　　二：iptables 工作原理

　　iptables的結(jié)構(gòu)：iptables -> Tables -> Chains -> Rules. 簡單地講，tables由chains組成，而chains又由rules組成。如下圖所示。

　　五個(gè)規(guī)則鏈。

　　1.PREROUTING (路由前)

　　2.INPUT (數(shù)據(jù)包流入口)

　　3.FORWARD (轉(zhuǎn)發(fā)管卡)

　　4.OUTPUT(數(shù)據(jù)包出口)

　　5.POSTROUTING（路由后）

　　這是NetFilter規(guī)定的五個(gè)規(guī)則鏈，任何一個(gè)數(shù)據(jù)包，只要經(jīng)過本機(jī)，必將經(jīng)過這五個(gè)鏈中的其中一個(gè)鏈。

　　iptables具有Filter， NAT， Mangle， Raw四種內(nèi)建表：

　　1. Filter表

　　Filter表示iptables的默認(rèn)表，因此如果你沒有自定義表，那么就默認(rèn)使用filter表，它具有以下三種內(nèi)建鏈：

　　INPUT鏈 – 處理來自外部的數(shù)據(jù)。

　　OUTPUT鏈 – 處理向外發(fā)送的數(shù)據(jù)。

　　FORWARD鏈 – 將數(shù)據(jù)轉(zhuǎn)發(fā)到本機(jī)的其他網(wǎng)卡設(shè)備上。

　　2. NAT表

　　NAT表有三種內(nèi)建鏈：

　　PREROUTING鏈 – 處理剛到達(dá)本機(jī)并在路由轉(zhuǎn)發(fā)前的數(shù)據(jù)包。它會(huì)轉(zhuǎn)換數(shù)據(jù)包中的目標(biāo)IP地址（destination ip address），通常用于DNAT(destination NAT)。

　　POSTROUTING鏈 – 處理即將離開本機(jī)的數(shù)據(jù)包。它會(huì)轉(zhuǎn)換數(shù)據(jù)包中的源IP地址（source ip address），通常用于SNAT（source NAT）。

　　OUTPUT鏈 – 處理本機(jī)產(chǎn)生的數(shù)據(jù)包。

　　3. Mangle表

　　Mangle表用于指定如何處理數(shù)據(jù)包。它能改變TCP頭中的QoS位。Mangle表具有5個(gè)內(nèi)建鏈：

　　PREROUTING

　　OUTPUT

　　FORWARD

　　INPUT

　　POSTROUTING

　　4. Raw表

　　Raw表用于處理異常，它具有2個(gè)內(nèi)建鏈：

　　PREROUTING chain

　　OUTPUT chain

　　iptables還支持自己定義鏈。但是自己定義的鏈，必須是跟某種特定的鏈關(guān)聯(lián)起來的。在一個(gè)關(guān)卡設(shè)定，指定當(dāng)有數(shù)據(jù)的時(shí)候?qū)ｉT去找某個(gè)特定的鏈來處理，當(dāng)那個(gè)鏈處理完之后，再返回。接著在特定的鏈中繼續(xù)檢查。

　　注意：規(guī)則的次序非常關(guān)鍵，誰的規(guī)則越嚴(yán)格，應(yīng)該放的越靠前，而檢查規(guī)則的時(shí)候，是按照從上往下的方式進(jìn)行檢查的。

　　牢記以下三點(diǎn)式理解iptables規(guī)則的關(guān)鍵：

　　Rules包括一個(gè)條件和一個(gè)目標(biāo)(target)

　　如果滿足條件，就執(zhí)行目標(biāo)(target)中的規(guī)則或者特定值。

　　如果不滿足條件，就判斷下一條Rules。

　　在target里指定的特殊值：

　　ACCEPT – 允許防火墻接收數(shù)據(jù)包

　　DROP – 防火墻丟棄包

　　QUEUE – 防火墻將數(shù)據(jù)包移交到用戶空間

　　RETURN – 防火墻停止執(zhí)行當(dāng)前鏈中的后續(xù)Rules，并返回到調(diào)用鏈(the calling chain)中。