《深入理解OpenStack Neutron》—2.7.2　Firewall

2.7.2　Firewall

iptables中的Firewall（防火墙）概念，属于网络防火墙的概念，如图2-24所示。

图中的“某些”规则决定了其是否属于“网络”防火墙。iptables中的防火墙的这些规则就是基于TCP/IP协议栈的规则，所以我们称之为网络防火墙。这些规则有：

1）in-interface（入网络接口名），数据包从哪个网络接口进入；

2）out-interface（出网络接口名），数据包从哪个网络接口输出；

3）protocol（协议类型），数据包的协议，如TCP、UDP和ICMP等；

4）source（源地址（或子网）），数据包的源IP地址（或子网）；

5）destination（目标地址（或子网）），数据包的目标IP地址（或子网）；

6）sport（源端口号），数据包的源端口号；

7）dport（目的端口号），数据包的目的端口号。

符合这些规则的，可以设置为通过（ACCEPT），反之，则不通过（DROP）。或者，符合这些规则的，设置为不通过（DROP）；反之，则通过（ACCEPT）。

比如，我们在前面介绍的一个例子：

iptables -A INPUT -i eth0 -p icmp -j ACCEPT

这个就表示：所有从eth0端口进入且协议是ICMP的报文可以通过（ACCEPT）。如果仅有此一条规则，那么潜台词就是：其余的报文，都不允许通过（DROP）。

Netf?ilter中的Firewall，会在三个时刻点，进行处理，如图2-25所示。

图2-25　Netf?ilter中的Firewall的处理时刻点

图2-25中三部分代表三种流，每种流的处理时刻点图中已经标明，这里不再详叙。