Linux防火墙之Netfilter (2)

INPUT链：当我们需要保护本机的HTTPD这个Process时，我们应该选择INPUT类型的数据包。例如，我们可以在INPUT链中描述：“如果进来的数据包是要到本机的TCP Port 80，而且数据包是由192.168.2.1主机送来的，就将该数据包丢弃掉”，这样就可以达到保护Httpd这个Process的目的。所以，INPUT链是用来存放过滤INPUT类型数据包的规则的，也就是说，INPUT链是用于“保护”本机的机制。

 
OUTPUT链：如果我们要限制使用者不得在“本机”上以Firefox来浏览www.163.com网站，那么需要限制OUTPUT类型的数据包。那么在OUTPUT链中的描述为：“如果数据包是本机Process所产生的，并且数据包是送往www.163.com的TCP Port 80时，就将该数据包丢弃掉。”所以，OUTPUT链是用来存放过滤OUTPUT类型数据包的规则的，也就是说，OUTPUT链是用于“限制”本机应用程序的连接机制。

 
FORWARD链：如下图所示，如果图中防火墙用来保护WEB Server，那么就应该限制FORWARD类型的数据包，因此可以在FORWARD链中这样描述：“如果数据包是由192.168.2.10主机送出，并且数据包是要送到WEB Server的TCP Port 80端口，那么就将该数据包丢弃掉。”所以FORWARD链是用来存放过滤FORWARD类型的数据包的规则，也就是说，FORWARD链是用来保护防火墙后面的主机。

规则的匹配

　　规则按照顺序匹配；当第一个规则匹配后（DROP,ACCEPT,REJECT)，通常会退出链。规则也可以多次匹配，比如LOG规则在前面，后面的ACCEPT也会匹配，如果检测不到匹配的规则，那么默认的链策略会生效。设置防火墙策略有两个基本原则：默认禁止一切，明确地允许被选择的数据包通过。（建议）；默认开放一切，明确地禁止被选择的数据包通过。如下图所示：

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206
 

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]