《深入理解OpenStack Neutron》—2.7.2 Firewall
2.7.2 Firewall
iptables中的Firewall(防火墙)概念,属于网络防火墙的概念,如图2-24所示。
图中的“某些”规则决定了其是否属于“网络”防火墙。iptables中的防火墙的这些规则就是基于TCP/IP协议栈的规则,所以我们称之为网络防火墙。这些规则有:
1)in-interface(入网络接口名),数据包从哪个网络接口进入;
2)out-interface(出网络接口名),数据包从哪个网络接口输出;
3)protocol(协议类型),数据包的协议,如TCP、UDP和ICMP等;
4)source(源地址(或子网)),数据包的源IP地址(或子网);
5)destination(目标地址(或子网)),数据包的目标IP地址(或子网);
6)sport(源端口号),数据包的源端口号;
7)dport(目的端口号),数据包的目的端口号。
符合这些规则的,可以设置为通过(ACCEPT),反之,则不通过(DROP)。或者,符合这些规则的,设置为不通过(DROP);反之,则通过(ACCEPT)。
比如,我们在前面介绍的一个例子:
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
这个就表示:所有从eth0端口进入且协议是ICMP的报文可以通过(ACCEPT)。如果仅有此一条规则,那么潜台词就是:其余的报文,都不允许通过(DROP)。
Netf?ilter中的Firewall,会在三个时刻点,进行处理,如图2-25所示。
图2-25 Netf?ilter中的Firewall的处理时刻点
图2-25中三部分代表三种流,每种流的处理时刻点图中已经标明,这里不再详叙。
- 点赞
- 收藏
- 关注作者
评论(0)