日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
創(chuàng)新互聯(lián)linux教程:8.2.1策略與規(guī)則鏈

防火墻會(huì)從上至下的順序來(lái)讀取配置的策略規(guī)則,在找到匹配項(xiàng)后就立即結(jié)束匹配工作并去執(zhí)行匹配項(xiàng)中定義的行為(即放行或阻止)。如果在讀取完所有的策略規(guī)則之后沒(méi)有匹配項(xiàng),就去執(zhí)行默認(rèn)的策略。一般而言,防火墻策略規(guī)則的設(shè)置有兩種:一種是“通”(即放行),一種是“堵”(即阻止)。當(dāng)防火墻的默認(rèn)策略為拒絕時(shí)(堵),就要設(shè)置允許規(guī)則(通),否則誰(shuí)都進(jìn)不來(lái);如果防火墻的默認(rèn)策略為允許時(shí),就要設(shè)置拒絕規(guī)則,否則誰(shuí)都能進(jìn)來(lái),防火墻也就失去了防范的作用。

iptables服務(wù)把用于處理或過(guò)濾流量的策略條目稱(chēng)之為規(guī)則,多條規(guī)則可以組成一個(gè)規(guī)則鏈,而規(guī)則鏈則依據(jù)數(shù)據(jù)包處理位置的不同進(jìn)行分類(lèi),具體如下:

在進(jìn)行路由選擇前處理數(shù)據(jù)包(PREROUTING);

處理流入的數(shù)據(jù)包(INPUT);

處理流出的數(shù)據(jù)包(OUTPUT);

處理轉(zhuǎn)發(fā)的數(shù)據(jù)包(FORWARD);

在進(jìn)行路由選擇后處理數(shù)據(jù)包(POSTROUTING)。

一般來(lái)說(shuō),從內(nèi)網(wǎng)向外網(wǎng)發(fā)送的流量一般都是可控且良性的,因此我們使用最多的就是INPUT規(guī)則鏈,該規(guī)則鏈可以增大黑客人員從外網(wǎng)入侵內(nèi)網(wǎng)的難度。

比如在您居住的社區(qū)內(nèi),物業(yè)管理公司有兩條規(guī)定:禁止小商小販進(jìn)入社區(qū);各種車(chē)輛在進(jìn)入社區(qū)時(shí)都要登記。顯而易見(jiàn),這兩條規(guī)定應(yīng)該是用于社區(qū)的正門(mén)的(流量必須經(jīng)過(guò)的地方),而不是每家每戶的防盜門(mén)上。根據(jù)前面提到的防火墻策略的匹配順序,可能會(huì)存在多種情況。比如,來(lái)訪人員是小商小販,則直接會(huì)被物業(yè)公司的保安拒之門(mén)外,也就無(wú)需再對(duì)車(chē)輛進(jìn)行登記。如果來(lái)訪人員乘坐一輛汽車(chē)進(jìn)入社區(qū)正門(mén),則“禁止小商小販進(jìn)入社區(qū)”的第一條規(guī)則就沒(méi)有被匹配到,因此按照順序匹配第二條策略,即需要對(duì)車(chē)輛進(jìn)行登記。如果是社區(qū)居民要進(jìn)入正門(mén),則這兩條規(guī)定都不會(huì)匹配到,因此會(huì)執(zhí)行默認(rèn)的放行策略。

但是,僅有策略規(guī)則還不能保證社區(qū)的安全,保安還應(yīng)該知道采用什么樣的動(dòng)作來(lái)處理這些匹配的流量,比如“允許”、“拒絕”、“登記”、“不理它”。這些動(dòng)作對(duì)應(yīng)到iptables服務(wù)的術(shù)語(yǔ)中分別是ACCEPT(允許流量通過(guò))、REJECT(拒絕流量通過(guò))、LOG(記錄日志信息)、DROP(拒絕流量通過(guò))?!霸试S流量通過(guò)”和“記錄日志信息”都比較好理解,這里需要著重講解的是REJECT和DROP的不同點(diǎn)。就DROP來(lái)說(shuō),它是直接將流量丟棄而且不響應(yīng);REJECT則會(huì)在拒絕流量后再回復(fù)一條“您的信息已經(jīng)收到,但是被扔掉了”信息,從而讓流量發(fā)送方清晰地看到數(shù)據(jù)被拒絕的響應(yīng)信息。

我們來(lái)舉一個(gè)例子,讓各位讀者更直觀地理解這兩個(gè)拒絕動(dòng)作的不同之處。比如有一天您正在家里看電視,突然聽(tīng)到有人敲門(mén),您透過(guò)防盜門(mén)的貓眼一看是推銷(xiāo)商品的,便會(huì)在不需要的情況下開(kāi)門(mén)并拒絕他們(REJECT)。但如果您看到的是債主帶了十幾個(gè)小弟來(lái)討債,此時(shí)不僅要拒絕開(kāi)門(mén),還要默不作聲,偽裝成自己不在家的樣子(DROP)。

當(dāng)把Linux系統(tǒng)中的防火墻策略設(shè)置為REJECT拒絕動(dòng)作后,流量發(fā)送方會(huì)看到端口不可達(dá)的響應(yīng):

    [root@linuxprobe ~]# ping -c 4 192.168.10.10
    PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
    From 192.168.10.10 icmp_seq=1 Destination Port Unreachable
    From 192.168.10.10 icmp_seq=2 Destination Port Unreachable
    From 192.168.10.10 icmp_seq=3 Destination Port Unreachable
    From 192.168.10.10 icmp_seq=4 Destination Port Unreachable
    --- 192.168.10.10 ping statistics ---
    4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3002ms

而把Linux系統(tǒng)中的防火墻策略修改成DROP拒絕動(dòng)作后,流量發(fā)送方會(huì)看到響應(yīng)超時(shí)的提醒。但是流量發(fā)送方無(wú)法判斷流量是被拒絕,還是接收方主機(jī)當(dāng)前不在線:

    [root@linuxprobe ~]# ping -c 4 192.168.10.10
    PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.


    --- 192.168.10.10 ping statistics ---
    4 packets transmitted, 0 received, 100% packet loss, time 3000ms

網(wǎng)站欄目:創(chuàng)新互聯(lián)linux教程:8.2.1策略與規(guī)則鏈
文章出自:http://www.5511xx.com/article/dhopdcp.html