实现Linux网络防火墙

核心提示： 当一个数据包进入Linux防火墙系统时，Linux内核使用输入链决定对这个包的操作；如果这个包不被丢弃，实现Linux网络防火墙(3)，内核则使用转发链来决定是否将这个包转发到某个出口；当这个包到达一个出口被发出前，内核使用输出链最后确定是丢弃该包还是转发该包，更不能入侵和破解，通常情况下

当一个数据包进入Linux防火墙系统时，Linux内核使用输入链决定对这个包的操作；如果这个包不被丢弃，内核则使用转发链来决定是否将这个包转发到某个出口；当这个包到达一个出口被发出前，内核使用输出链最后确定是丢弃该包还是转发该包。在上面的过程中，如果输入链已经决定处理这个包，则核心需要决定下一步包应该发到什么地方，即进行路由。假如此时该数据包是发到另一台主机的，则核心就运用转发链；如果没找到匹配的设置，则这个包就需要进入目标值指定的下一条链，此时目标值有可能是一条用户自定义链，也有可能是一个特定的值。例如：

ACCEPT 允许通过。

DENY 直接丢弃。

REJECT 丢弃并通过ICMP回复通知发送者包被丢弃。

MASQ 通知核心将该包伪装，该值只对转发链和用户自定义链起作用。

REDIRECT 通知核心将包改送到一个本地端口，该值只对输入链和用户自定义链起作用，并且只有UDP和TCP协议才可以使用该值。 RETURE 通知内核将该包跳过所有的规则，直接到达所有链的链尾。

在Linux系统IP链的转发链上可以配置IP伪装。实际上，IP伪装是一个比包过滤策略更安全的解决方案，它不仅能够提供一种安全机制，还同时解决了 Internet中IP地址资源不足的问题。IP伪装使一台计算机在访问Internet时，能够将本台机器的真正IP地址伪装成其它地址。如果连接到 Internet上的一台主机具有IP伪装功能，则这台机器不管是通过局域网，还是PPP拨号都可以与Internet连接。尽管在使用PPP时，这样的主机根本没有自己正式的IP地址。这说明可以将一台主机隐藏在一个网关后面来访问Internet，使得这台主机既实现了对Internet的访问，又实现了其访问对外界的不可见性（即隐藏性）。显然，这种隐藏性使得系统非常安全，因为外界根本意识不到主机的存在，也就不可能对主机实施存取操作，更不能入侵和破解。通常情况下，使用IANA保留的私有地址来进行伪装。