#1 分类对单一主机,主要有两种:数据包过滤Netfilter和依据服务软件分析的TCP Wrapper.对区域型防火墙来说,即安装防火墙的主机充当路由器的角色。防火墙类型主要有两种:数据包过滤Netfilter和代理服务器。对Netfilter(数据包过滤机制),Linux提供了iptables这...
分类:
系统相关 时间:
2015-02-11 21:50:00
阅读次数:
253
netfilter命令结构:由四个表组成:filter:执行数据包的过滤nat:地址转换mangle:修改数据包内容raw:加快数据包传输速度,提高防火墙性能有五种钩子函数:PREROUTINGINPUTOUTPUTFORWARDPOSTROUTING
分类:
Web程序 时间:
2015-02-11 02:04:55
阅读次数:
181
一、iptableslinux的防火墙是由iptables和netfilter组成的,iptables是工作在用户空间的工具,netfilter是工作在内核空间的框架,它由五个被称为钩子的函数组成,分别为PREROUTINGINPUTOUTPUTFORWARDPOSTROUTING。具体的来说共有四张表五个链,也可以自定义链的。四张表为RAWMA..
分类:
其他好文 时间:
2015-02-10 18:56:05
阅读次数:
262
iptables简介netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables基础规则(rules)其实就是网络..
分类:
其他好文 时间:
2015-02-05 07:14:28
阅读次数:
199
如何理解Netfilter中的连接跟踪机制? 本篇我打算以一个问句开头,因为在知识探索的道路上只有多问然后充分调动起思考的机器才能让自己走得更远。连接跟踪定义很简单:用来记录和跟踪连接的状态。问:为什么又需要连接跟踪功能呢?答:因为它是状态防火墙和NAT的实现基础。OK,算是明白了。Neftiler...
分类:
Web程序 时间:
2015-02-04 07:05:21
阅读次数:
269
本文将讲解为什么服务器回复端口不可达,以及客户端socket 如何获取 端口不可达 信号。
首先,做为服务器,当一个报文经过查路由,目的ip是上送本机的时候,经过netfilter 判决后,
调用ip_local_deliver_finish,它根据ip头中的协议类型(TCP/UDP/ICMP/......),调用不同的4层接口函数进行处理。
对于udp而言,hand...
分类:
其他好文 时间:
2015-02-03 19:35:25
阅读次数:
647
我真的羡慕自己,特别的极端崇拜,要是我拉二胡能像摆弄Linux网络那样随心所欲,我就敢请个一个月的无薪长假,去公园每天拉半天二胡...只可惜到现在还没怎么拉响。
一个多月前,我对Netfilter
conntrack做了一个优化,即将conntrack分为了多个表替换现在的一个表,目的是为了提..
分类:
Web程序 时间:
2015-01-12 06:59:20
阅读次数:
261
我真的羡慕自己,特别的极端崇拜,要是我拉二胡能像摆弄Linux网络那样随心所欲,我就敢请个一个月的无薪长假,去公园每天拉半天二胡...只可惜到现在还没怎么拉响。 一个多月前,我对Netfilter conntrack做了一个优化,即将conntrack分为了多个表替换现在的一个表,目的是为了提高查找的效率,这个优化是独立进行的,我希望在最新的内核版本中存在这样的优化,然而没有。但是却有...
分类:
Web程序 时间:
2015-01-11 20:25:42
阅读次数:
217
Netfilter/Iptables入门
Linux的内核是由www.kernel.org这个组织负责开发维护,下面我们要讨论的Netfilter/iptables是www.netfilter.org组织为Linux开发的防火墙软件。由于Linux是非常模块化的,很多功能都是以模块加载扩充系统功能,Netfilter同样采用这种方式存在于Linux中。如果你理解了Linux模块加载也就能够理解N...
分类:
Web程序 时间:
2015-01-11 19:10:38
阅读次数:
212