扎实的掌握防火墙需要了解数据包分类
数据包分类:
INPUT类型: 所谓INPUT类型数据包是指“网络上其他主机发送给本机进程的数据包”
例如:网络上其他使用者访问本机的httpd服务时,就会产生这种类型的数据包
OUTPUT类型:如果是“本机进程”所生成的数据包,即为OUTPUT类型数据包。
例如:使用者在本机启动firefox去访问网络上的其他主机时,就会生成这种类型的数据包FORWARD类型: 如果数据包对本机而言只是“路过”而已,那么这就是属于FORWARD类型的数据包。
如果本机扮演的是路由器角色,就是生成FORWARD类型的数据包
filter表的三个链: 其中由三个链,其名分别为INPUT, FORWARD, OUTPUT
INPUT链:因为只有INPUT类型的数据包才能对本机的进程造成损害,因此请将用过滤INPUT类型数据包的“规则”填写在INPUT链中。例如:我们可以在INPUT链中填写:如果传入的数据包要到本机的tcp port 80, 而且这个数据包是由192.168.2.1主机发送来的,就将该数据包丢弃,如此即可以达到保护httpd这个进程的目的。
OUTPUT链:因此请将用OUTPUT类型数据包的“规则”填写在OUTPUT链中。例如:我们可以在OUTPUT链中填写“如果数据包是由本机的进程发送所生成的,而且数据包是要送往www.playboy.com”网站的tcp port 80就将该数据包丢弃掉,如此即可限制本机进程的网络访问行为。
FORWARD链:如果我们要用防火墙的来保护web服务器,应该管制的是哪种数据包?毫无疑问,应该是FORWARD类型的数据包,因此,请将用过滤FORWARD类型的数据包的“规则”填写在FORWARD链之中。 例如:我们可以在FORWARD链中填写:"如果数据包是由192.168.0.10主机发送出来的,而且数据包要送网web服务器 tcp port 80,那么就将该数据包丢弃掉"如此可以到达以防火墙保护web服务器的目的。
891
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
