|
转发功能,后者是转发链规则只有内核打开转发功能,一个包才可能被送到转发链上去逐项检查规则。
如果一台防火墙没有打开前者的IP转发功能,则根防火墙相连的两边的网络是完全隔离的,如果是一端连到internet上,则只能通过代理防问internet,不可能通过IP伪装的方式防问。
这样,任何一个包只可能应用INPUT/OUTPUT/FORWARD中的一个规则,这种巨大的改进同时也简单化了防火墙规则管理。
2. iptables 是有状态的(stateful)。
有状态的意思是指如果一个包是对从防火墙原先发出去的包的回复,则自动不用检查任何规则就立即允许回复包进入并返回给请求者,这样我们不用设置许多规则定义就可实现应有的功能,在新的内核中使用这种有状态的能力是强烈地被推荐的,那么如何打开并使用这种功能呢?
我们假定某公司有如下图所示的典型的internet连接方案:
_______
10.0.0.2 | |
|PC | (10.0.0.1)eth1| |eth0(1.2.3.4)
B|___|_ ___________________|防火墙 |---------Internet
(L 页码:[1] [2] [3] [4] [5] [6] [7] 第3页、共7页 |
