netfilter IP 信息包過濾系統(tǒng)是一種功能強大的工具��,可用于添加�����、編輯和除去規(guī)則��,這些規(guī)則是在做信息包過濾決定時�,防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲在專用的信息包過濾表中�����,而這些表集成在 Linux 內(nèi)核中���。在信息包過濾表中���,規(guī)則被分組放在我們所謂的 鏈(chain)中。我馬上會詳細討論這些規(guī)則以及如何建立這些規(guī)則并將它們分組在鏈中���。
雖然 netfilter IP 信息包過濾系統(tǒng)被稱為單個實體��,但它實際上由兩個組件 netfilter和 iptables 組成�����。
netfilter 組件也稱為 內(nèi)核空間(kernelspace)����,是內(nèi)核的一部分,由一些信息包過濾表組成���,這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)則集��。
iptables 組件是一種工具,也稱為 用戶空間(userspace)��,它使插入���、修改和除去信息包過濾表中的規(guī)則變得容易���。除非您正在使用 Red Hat Linux 7.1 或更高版本,否則需要從 netfilter.org 下載該工具并安裝使用它����。
通過使用用戶空間,可以構(gòu)建自己的定制規(guī)則���,這些規(guī)則存儲在內(nèi)核空間的信息包過濾表中�����。這些規(guī)則具有 目標���,它們告訴內(nèi)核對來自某些源����、前往某些目的地或具有某些協(xié)議類型的信息包做些什么�。如果某個信息包與規(guī)則匹配,那么使用目標 ACCEPT 允許該信息包通過����。還可以使用目標 DROP 或 REJECT 來阻塞并殺死信息包。對于可對信息包執(zhí)行的其它操作���,還有許多其它目標��。
根據(jù)規(guī)則所處理的信息包的類型���,可以將規(guī)則分組在鏈中。處理入站信息包的規(guī)則被添加到 INPUT 鏈中�����。處理出站信息包的規(guī)則被添加到 OUTPUT 鏈中。處理正在轉(zhuǎn)發(fā)的信息包的規(guī)則被添加到 FORWARD 鏈中��。這三個鏈是基本信息包過濾表中內(nèi)置的缺省主鏈����。另外,還有其它許多可用的鏈的類型(如 PREROUTING 和 POSTROUTING )�,以及提供用戶定義的鏈。每個鏈都可以有一個 策略���,它定義“缺省目標”�����,也就是要執(zhí)行的缺省操作,當信息包與鏈中的任何規(guī)則都不匹配時�����,執(zhí)行此操作���。
建立規(guī)則并將鏈放在適當?shù)奈恢弥���,就可以開始進行真正的信息包過濾工作了�。這時內(nèi)核空間從用戶空間接管工作。當信息包到達防火墻時�����,內(nèi)核先檢查信息包的頭信息�����,尤其是信息包的目的地���。我們將這個過程稱為 路由�����。
