位置: 编程技术 - 正文

构筑Linux防火墙之IPtables的概念与用法(2)(linux防火墙的主要内容)

编辑:rootadmin
目标(target)我们已经知道,目标是由规则指定的操作,那些与规则匹配的信息包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标选项。用于建立高级规则的目标,如LOG、REDIRECT、MARK、MIRROR 和MASQUERADE等。状态机制状态机制是iptables中特殊的一部分,其实它不应该叫状态机制,因为它只是一种连接跟踪机制。但是,很多人都认可状态机制这个名字。连接跟踪可以让netfilter知道某个特定连接淖刺?T诵辛?痈?俚姆阑鹎匠谱鞔?凶刺??频姆阑鹎剑?韵录虺莆?刺?阑鹎健W刺?阑鹎奖确亲刺?阑鹎揭?踩??蛭??市砦颐潜嘈锤?厦艿墓嬖颉?BR>在iptables里,包是和被跟踪连接的四种不同状态有关的。它们是NEW、ESTABLISHED、RELATED和INVALID。使用--state匹配操作,我们能很容易地控制“谁或什么能发起新的会话”。所有在内核中由netfilter的特定框架做的连接跟踪称作conntrack(就是connection tracking的首字母缩写)。conntrack可以作为模块安装,也可以作为内核的一部分。大部分情况下,我们需要更详细的连接跟踪。因此,conntrack中有许多用来处理TCP、UDP或ICMP协议的部件。这些模块从数据包中提取详细的、唯一的信息,因此能保持对每一个数据流的跟踪。这些信息也告知conntrack流当前的状态。例如,UDP流一般由他们的目的地址、源地址、目的端口和源端口唯一确定。在以前的内核里,我们可以打开或关闭重组功能。然而,自从iptables和netfilter,尤其是连接跟踪被引入内核,这个选项就被取消了。因为没有包的重组,连接跟踪就不能正常工作。现在重组已经整合入conntrack,并且在conntrack启动时自动启动。不要关闭重组功能,除非你要关闭连接跟踪。除了本地产生的包由OUTPUT链处理外,所有连接跟踪都是在PREROUTING链里进行处理的,意思就是说iptables会在PREROUTING链里重新计算所有的状态。如果我们发送一个流的初始化包,状态就会在OUTPUT链里被设置为NEW,当我们收到回应的包时,状态就会在PREROUTING链里被设置为ESTABLISHED。如果第一个包不是本地产生的,那就会在PREROUTING链里被设置为NEW状态。综上所述,所有状态的改变和计算都是在nat表中的PREROUTING链和OUTPUT链里完成的。正如前面说的,包的状态依据IP所包含的协议不同而不同,但在内核外部,也就是用户空间里,只有4种状态:NEW、ESTABLISHED、RELATED和INVALID。它们主要是和状态匹配一起使用。NEWNEW说明这个包是我们看到的第一个包。意思就是,这是conntrack模块看到的某个连接第一个包,它即将被匹配了。比如,我们看到一个SYN包,是我们所留意的连接的第一个包,就要匹配它。第一个包也可能不是SYN包,但它仍会被认为是NEW状态。ESTABLISHEDESTABLISHED已经注意到两个方向上的数据传输,而且会继续匹配这个连接的包。处于ESTABLISHED状态的连接是非常容易理解的。只要发送并接到应答,连接就是ESTABLISHED的了。一个连接要从NEW变为ESTABLISHED,只需要接到应答包即可,不管这个包是发往防火墙的,还是要由防火墙转发的。ICMP的错误和重定向等信息包也被看作是ESTABLISHED,只要它们是我们所发出的信息的应答。RELATEDRELATED是个比较麻烦的状态。当一个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为是RELATED的了。换句话说,一个连接要想是RELATED的,首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接,这个新的连接就是RELATED的了,当然前提是conntrack模块要能理解RELATED。ftp是个很好的例子,FTP-data 连接就是和FTP-control有RELATED的。INVALIDINVALID说明数据包不能被识别属于哪个连接或没有任何状态。有几个原因可以产生这种情况,比如,内存溢出,收到不知属于哪个连接的ICMP错误信息。一般地,我们DROP这个状态的任何东西。这些状态可以一起使用,以便匹配数据包。这可以使我们的防火墙非常强壮和有效。以前,我们经常打开以上的所有端口来放行应答的数据。现在,有了状态机制,就不需再这样了。因为我们可以只开放那些有应答数据的端口,其他的都可以关闭。这样就安全多了。

推荐整理分享构筑Linux防火墙之IPtables的概念与用法(2)(linux防火墙的主要内容),希望有所帮助,仅作参考,欢迎阅读内容。

构筑Linux防火墙之IPtables的概念与用法(2)(linux防火墙的主要内容)

文章相关热门搜索词:linux中的防火墙,linux中的防火墙,linux中防火墙配置,linux防火墙的规则表,linux 防火墙规则,linux防火墙规则有几种,linux防火墙的主要内容,linux中的防火墙,内容如对您有帮助,希望把文章链接给更多的朋友!

Linux架设DNS服务器(一) 一、域名系统介绍1.域名系统域名系统为一个分布式数据库,它使本地负责控制整个分布式数据库的部分段,每一段中的数据通过客户,服务器模式在整个网

Linux架设DNS服务器(二) 2.安装服务器软件2.1取得bind软件包(现在新的版本为8.2.2p5)从bind的主页

邮件传输原理及相关入门知识概述 在讨论email服务器以前,理解电子邮件的工作机制是非常重要的。在通常的情况下,一封电子邮件的发送需要经过用户代理,传输代理和投递代理等三个

标签: linux防火墙的主要内容

本文链接地址:https://www.jiuchutong.com/biancheng/366238.html 转载请保留说明!

上一篇:构筑Linux防火墙之IPtables的概念与用法(1)(linux 防火墙原理)

下一篇:Linux架设DNS服务器(一)(linux服务器dns配置安装)

  • 项目固定资产投资包括
  • 技术服务收入属于劳务报酬所得吗
  • 个体经营部可以开增值税专用发票吗
  • 监理行业增值税税率多少
  • 民办学校账务怎么做
  • 公司转给法人备注怎么填
  • 挂靠别人公司怎么交税?
  • 公司刚注册之后怎么办
  • 视同销售销售额的确定方法
  • 收回已作为坏账准备的应收账款会计分录
  • 已认证的红字发票怎么退
  • 库存商品期末要结转吗
  • 股权转让时资本怎么算
  • 公司银行利息要交税吗
  • 服务费公司的账务处理
  • 单位之间借款利息可以开票么
  • 2020年餐饮业销售额
  • 城建税税收减免政策
  • 一般纳税人上个月没有申报这个月申报不了
  • 实收资本的印花税减半征收吗
  • 在深圳如何办理护照流程
  • 本年利润年末怎么结转到利润分配
  • 企业所得税看哪里
  • 工会发放慰问品总金额超过多少需要比价
  • 土地划转到子公司要多久
  • 作废已开具的普通发票
  • 金税盘开红字发票
  • 个税系统如何导入之前的记录
  • 租赁发票多少点
  • 收入税金摘要怎么写
  • 税金及附加包括所得税费用吗
  • 请问王者荣耀是谁发明的
  • 怎么把浏览器屏幕缩小
  • mac系统中文输入法切换
  • 补缴增值税和滞纳税区别
  • pavfires.exe - pavfires是什么进程 有什么用
  • 拍卖土地印花税
  • linux的网络编程
  • 金税盘锁住了怎么办
  • php自定义变量的方法是
  • php 字符串处理函数
  • 怎么用php写一个简单框架
  • 成品油发票如何下载库存
  • 建筑行业销售材料怎么做
  • 自然人税收管理系统官网
  • 小规模纳税人代收水电费税率
  • 现金流量表本月数和本年累计数是相等的么
  • 印花税怎么申报2023
  • 机关单位工会经费的来源
  • 经营性应付项目包括哪些内容
  • 小公司没有财务软件怎么手工记账
  • 在税收方面属于什么领域
  • 工程服务预交税怎么算
  • 可转换债券的转换比率计算公式
  • 已经确认收入
  • 对公账户进出账常识
  • 购置办公大楼,会计处理
  • 购置固定资产进项税处理的变迁
  • 超市代销如何分成
  • 发票对方没有上传,无法勾选发票要怎么办
  • sqlserver解锁用户命令
  • Linux下Mysql5.7.19卸载方法
  • sqlserver数据库备份
  • ubuntu恢复rm –rf删除的文件
  • 屏幕共享远程控制
  • linux 执行结果写到文件
  • 用ultraiso制作u盘启动盘
  • 同一个用户
  • win7怎么更改系统字体大小
  • Unity3D游戏开发(第2版)pdf
  • MVC Ajax Helper或Jquery异步加载部分视图
  • unity3d怎么用
  • javascript教程完整版
  • node.js使用方法
  • nodejs socket框架
  • android多指触控
  • js 三元
  • python自定义模块并调用
  • 地税局局长权利大吗
  • 中行网银查询
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设