我们感觉是以前防火墙专门用来过滤些非法数据包要么为什么其中种类型称为包过滤型防火墙呢?发展到现在它功能是日益增多不仅能够过滤数据包还能够作网络地址转换作代理等等Linux内核2.4中防火墙实现NetFilter就是这样
先来看看防火墙所处位置我理解是要么它装在台机器上作个人防火墙要么装在台机器上为个局域网提供网关功能而后种情况则如下图所示:
这副图概括了装在网关上NetFilter框架结构图从图中可以看到个数据包可能经过路径其中用扩起来东东称为检查点当数据包到达这个点时就要停下来进行些检查这里检查点名称使用是iptables中名称具体到NetFilter中可能就要改为那些所谓钩子 (Hook)了
NetFilter概括起来说它有下面 3个基本功能:
1、数据过滤(filter表)
2、网络地址转换(nat表)
3、数据包处理(mangle表)
根据这 3个功能将上面 5个检查点按功能进行了分类由于每个功能在NetFilter中对应个表而每个检查点又有若干个匹配规则这些规则组成个链所以就有下面说法:“NetFilter是表容器表是链容器链是规则容器”
最新评论