Openstack安全组机制浅析(基于linux-bridge和iptables实现)(2)

举报
kehaar 发表于 2017/11/28 11:55:47 2017/11/28
【摘要】 (接上篇)接下来分析入方向规则,一个典型入方向规则如下:下面逐条分析:这两条为丢弃INVALID状态的包,而接受RELATED和ESTABLISHED状态的包,这两条是实现基于连接状态的防火墙,基于之前的包的状态判断后面的包的处理。================================================================================此条为允

(接上篇)

接下来分析入方向规则,一个典型入方向规则如下:

sg11.PNG

下面逐条分析:

sg12.PNG

这两条为丢弃INVALID状态的包,而接受RELATEDESTABLISHED状态的包,这两条是实现基于连接状态的防火墙,基于之前的包的状态判断后面的包的处理。

================================================================================

sg13.PNG

此条为允许DHCP服务器发来的DHCP相应,其中100.100.100.3即为本例中虚拟机所在网络的DHCP服务器。

==================================================================================

sg14.PNG

此条为接受NETIPv45fbce939-7d07-4b4这个ipset定义的地址集作为源地址的包,其中该地址集的内容可用以下命令查询:

sg15.PNG

这是一条用户手动添加的,以另一安全组为源地址的安全组规则

=============================================================================

sg16.PNG

此条为接受源地址为98.76.54.0/24的包,这是一条用户手动添加的,以98.76.54.0/24这个子网为源地址的安全组规则


===========================================================================

sg17.PNG

此为经过上面所有规则后,未被匹配的包被转发到此链并丢弃。


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。