Openstack安全组机制浅析(基于linux-bridge和iptables实现)(2)
(接上篇)
接下来分析入方向规则,一个典型入方向规则如下:
下面逐条分析:
这两条为丢弃INVALID状态的包,而接受RELATED和ESTABLISHED状态的包,这两条是实现基于连接状态的防火墙,基于之前的包的状态判断后面的包的处理。
================================================================================
此条为允许DHCP服务器发来的DHCP相应,其中100.100.100.3即为本例中虚拟机所在网络的DHCP服务器。
==================================================================================
此条为接受NETIPv45fbce939-7d07-4b4这个ipset定义的地址集作为源地址的包,其中该地址集的内容可用以下命令查询:
这是一条用户手动添加的,以另一安全组为源地址的安全组规则
=============================================================================
此条为接受源地址为98.76.54.0/24的包,这是一条用户手动添加的,以98.76.54.0/24这个子网为源地址的安全组规则
===========================================================================
此为经过上面所有规则后,未被匹配的包被转发到此链并丢弃。
- 点赞
- 收藏
- 关注作者
评论(0)