WEB开发网
开发学院网络安全防火墙 NetFilter/iptables防火墙设置(下) 阅读

NetFilter/iptables防火墙设置(下)

 2007-02-23 12:39:42 来源:WEB开发网   
核心提示: Chain PREROUTING (policy ACCEPT 238K packets, 25M bytes)pkts bytes targetprot opt in outsource destination407 21724 DNATtcp--eth1 anyanywhere 10.
Chain PREROUTING (policy ACCEPT 238K packets, 25M bytes)
pkts bytes target prot opt in  out source     destination    
 407 21724 DNAT  tcp -- eth1 any anywhere    10.0.0.1 tcp  dpt:smtp
to:192.168.1.254
  1  48 DNAT  tcp -- eth1 any anywhere    10.0.0.1 tcp  dpt:pop3
to:192.168.1.254
 681 39308 DNAT  tcp -- eth1 any anywhere    10.0.0.1 tcp  dpt:http
to:192.168.1.253
Chain POSTROUTING (policy ACCEPT 74279 packets, 5074K bytes)
pkts bytes target prot opt in  out source     destination    
16058 979K SNAT  all -- any eth1 192.168.1.0/24 anywhere to:10.0.0.1
Chain OUTPUT (policy ACCEPT 57342 packets, 4244K bytes)
pkts bytes target prot opt in  out source     destination

你可以看到符合策略的数据包的数量以及容量,还有符合每个表里每个链的每个规则的数据包的数量以及容量。我们可以找些重点,看看能不能将某些规则再优化一下。防火墙已经观测到你的内网转发了253M的传输,还有由内网发起建立的会话引入的681M传输。输出/输入的比率如此高,挺有趣的。你可能本来以为大多数出站请求的传输应该是小容量的,而入站响应应当是大容量的。这是由于我的邮件和网络服务器不会引起很多传输的注意。

看看我引进的拒绝DHCP规则多么有效。它丢弃了4350个数据包。如果没有这个规则或者它在记录规则之后的话,我就得多看4350行没用的记录。

剩余项

我们可以用iptables来建立在某一端口接收输入并将其转入到另一端口的规则:

上一页  1 2 3 4 5  下一页

Tags:NetFilter iptables 防火墙

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接