Linux防火墻之Netfilter (2)

INPUT鏈：當我們需要保護本機的HTTPD這個Process時，我們應該選擇INPUT類型的數據包。例如，我們可以在INPUT鏈中描述：“如果進來的數據包是要到本機的TCP Port 80，而且數據包是由192.168.2.1主機送來的，就將該數據包丟棄掉”，這樣就可以達到保護Httpd這個Process的目的。所以，INPUT鏈是用來存放過濾INPUT類型數據包的規則的，也就是說，INPUT鏈是用于“保護”本機的機制。

 
OUTPUT鏈：如果我們要限制使用者不得在“本機”上以Firefox來瀏覽www.163.com網站，那么需要限制OUTPUT類型的數據包。那么在OUTPUT鏈中的描述為：“如果數據包是本機Process所產生的，并且數據包是送往www.163.com的TCP Port 80時，就將該數據包丟棄掉。”所以，OUTPUT鏈是用來存放過濾OUTPUT類型數據包的規則的，也就是說，OUTPUT鏈是用于“限制”本機應用程序的連接機制。

 
FORWARD鏈：如下圖所示，如果圖中防火墻用來保護WEB Server，那么就應該限制FORWARD類型的數據包，因此可以在FORWARD鏈中這樣描述：“如果數據包是由192.168.2.10主機送出，并且數據包是要送到WEB Server的TCP Port 80端口，那么就將該數據包丟棄掉。”所以FORWARD鏈是用來存放過濾FORWARD類型的數據包的規則，也就是說，FORWARD鏈是用來保護防火墻后面的主機。

規則的匹配

　　規則按照順序匹配；當第一個規則匹配后（DROP,ACCEPT,REJECT)，通常會退出鏈。規則也可以多次匹配，比如LOG規則在前面，后面的ACCEPT也會匹配，如果檢測不到匹配的規則，那么默認的鏈策略會生效。設置防火墻策略有兩個基本原則：默認禁止一切，明確地允許被選擇的數據包通過。（建議）；默認開放一切，明確地禁止被選擇的數據包通過。如下圖所示：

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206
 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]