Linux防火墻之Netfilter (2)

INPUT鏈：當(dāng)我們需要保護(hù)本機(jī)的HTTPD這個(gè)Process時(shí)，我們應(yīng)該選擇INPUT類型的數(shù)據(jù)包。例如，我們可以在INPUT鏈中描述：“如果進(jìn)來的數(shù)據(jù)包是要到本機(jī)的TCP Port 80，而且數(shù)據(jù)包是由192.168.2.1主機(jī)送來的，就將該數(shù)據(jù)包丟棄掉”，這樣就可以達(dá)到保護(hù)Httpd這個(gè)Process的目的。所以，INPUT鏈?zhǔn)怯脕泶娣胚^濾INPUT類型數(shù)據(jù)包的規(guī)則的，也就是說，INPUT鏈?zhǔn)怯糜?ldquo;保護(hù)”本機(jī)的機(jī)制。

 
OUTPUT鏈：如果我們要限制使用者不得在“本機(jī)”上以Firefox來瀏覽www.163.com網(wǎng)站，那么需要限制OUTPUT類型的數(shù)據(jù)包。那么在OUTPUT鏈中的描述為：“如果數(shù)據(jù)包是本機(jī)Process所產(chǎn)生的，并且數(shù)據(jù)包是送往www.163.com的TCP Port 80時(shí)，就將該數(shù)據(jù)包丟棄掉。”所以，OUTPUT鏈?zhǔn)怯脕泶娣胚^濾OUTPUT類型數(shù)據(jù)包的規(guī)則的，也就是說，OUTPUT鏈?zhǔn)怯糜?ldquo;限制”本機(jī)應(yīng)用程序的連接機(jī)制。

 
FORWARD鏈：如下圖所示，如果圖中防火墻用來保護(hù)WEB Server，那么就應(yīng)該限制FORWARD類型的數(shù)據(jù)包，因此可以在FORWARD鏈中這樣描述：“如果數(shù)據(jù)包是由192.168.2.10主機(jī)送出，并且數(shù)據(jù)包是要送到WEB Server的TCP Port 80端口，那么就將該數(shù)據(jù)包丟棄掉。”所以FORWARD鏈?zhǔn)怯脕泶娣胚^濾FORWARD類型的數(shù)據(jù)包的規(guī)則，也就是說，F(xiàn)ORWARD鏈?zhǔn)怯脕肀Ｗo(hù)防火墻后面的主機(jī)。

規(guī)則的匹配

　　規(guī)則按照順序匹配；當(dāng)?shù)谝粋�(gè)規(guī)則匹配后（DROP,ACCEPT,REJECT)，通常會(huì)退出鏈。規(guī)則也可以多次匹配，比如LOG規(guī)則在前面，后面的ACCEPT也會(huì)匹配，如果檢測(cè)不到匹配的規(guī)則，那么默認(rèn)的鏈策略會(huì)生效。設(shè)置防火墻策略有兩個(gè)基本原則：默認(rèn)禁止一切，明確地允許被選擇的數(shù)據(jù)包通過。（建議）；默認(rèn)開放一切，明確地禁止被選擇的數(shù)據(jù)包通過。如下圖所示：

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206
 

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]