>
[Decision] _____/ ^
| |
v ____
___ /
/ Linux防火墙 |OUTPUT|
|INPUT| ____/
___/ ^
| |
----> Local Process ----
a. 首先,当一个包进来的时候,也就是从以太网卡进入防火墙,内核首先根据路由表决定包的目标。
b. 如果目标主机就是本机,则如上图直接进入INPUT链,再由本地正在等待该包的进程接收,结束。
c. 否则,如果从以太网卡进来的包目标不是本机,再看是否内核允许转发包(可用echo 1> /proc/sys/net/ipv4/ip_forward 打开转发功能)如果不允许转发,则包被DROP掉,如果允许转发,则送出本机,结束。这当中决不经过INPUT或者OUTPUT链,因为路由后的目标不是本机,只被转发规则应用
d. 最后,该linux防火墙主机本身能够产生包,这种包只经过OUTPUT链出去。
注意: echo 1 > /proc/sys/net/ipv4/ip_forward 和 FORWARD 链的区别
前者的意思是是否打开内核的 页码:[1] [2] [3] [4] [5] [6] [7] 第2页、共7页 |
