注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

gmd20的个人空间

// 编程和生活

 
 
 

日志

 
 

Linux 系统的内置防火墙功能  

2009-03-18 17:54:29|  分类: linux相关 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

2.6 版本Linux内核本身已经对防火墙支持的很完善了,用户只需要使用下面这两个接口就可以配置出一个功能强大的防火墙了。
ebtables   http://ebtables.sourceforge.net/
iptables   http://www.netfilter.org/
这两个命令的使用到他们主页上去看文档就行了,在网上搜索一下都有详细的教程,其实都是配置规则告诉内核如何处理而已。两者的区别是,ebtables 是工作在Link layer (链路层),针对MAC地址来过滤网络包。而iptables 工作在 网络层,根据IP地址来过滤数据(你可以自己定义复杂的规则的,在ebtables里面应该也是可以做到过滤不同ip地址的网络包的。不过进行包过滤的位置不一样,工作在不同的网络层次而已)。另外还有arptables ,可以针对arp包进行过滤规则设定吧。

linux的网络包的处理流程可以参考这个图形:
http://ebtables.sourceforge.net/br_fw_ia/PacketFlow.png
Linux 系统的内置防火墙功能 - widebright - widebright的个人空间


看看这篇文章也可以对ebtables和iptables的区别有清楚的了解。
ebtables/iptables interaction on a Linux-based bridge   http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html

如果想对网络结构有详细了解的话,可以看这本书《Understanding_Linux_Network_Internals》,个人觉得非常不错。以前我对交换机和路由器等概念都不是很清楚,看了这个才知道些。bridge 和 router 两部分的图示和概念都很清楚易懂。那些功能在linux里面是怎么实现的都有讲解。其实网桥(交换机)和 路由器都在linux里面有实现的,下面这篇文章教你怎么配置有双网卡的linux的机器怎么去像hub一样工作,写的也不错。
Linux as an Ethernet Bridge     http://www.linuxjournal.com/article/8172



iptables 是支持自定义扩展借口的,以后找个时间写个自定义内核模块来玩玩吧。
  评论这张
 
阅读(960)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017