基于Linux系统的包过滤防火墙

核心提示： （2）内核空间接管过滤工作，当规则建立并将链放在filter表之后，基于Linux系统的包过滤防火墙(8)，就可以开始进行真正的信息包过滤工作了，这时内核空间从用户空间接管工作，必须打开系统内核的IP转发功能，使Linux变成路由器，包过滤工作要经过如下的步骤：1）路由，当信息包到达防火墙

（2）内核空间接管过滤工作。当规则建立并将链放在filter表之后，　　　　就可以开始进行真正的信息包过滤工作了。这时内核空间从用户空间接管工作。

包过滤工作要经过如下的步骤：

1）路由。当信息包到达防火墙时，内核先检查信息包的头信息，尤其是信息包的目的地。我们将这个过程称为路由。

2）根据情况将数据包送往包过滤表（filter）的不同的链。

→如果信息包源自外界并且数据包的目的地址是本机，而且防火墙是打开的，那么内核将它传递到内核空间信息包过滤表的INPUT链。

→如果信息包源自系统本机，并且此信息包要前往另一个系统，那么信息包被传递到OUTPUT链。

→信息包源自广域网前往局域网或相反方向的信息包被传递到FORWARD链。

3）规则检查。将信息包的头信息与它所传递到的链中的每条规则进行比较，看它是否与某条规则完全匹配。

→如果信息包与某条规则匹配，那么内核就对该信息包执行由该项规则的目标指定的操作。

&如果目标为ACCEPT，则允许该信息包通过，并将该包发给相应的本地进程处理。

&如果目标为DROP或REJECT，则不允许该信息包通过，并将该包阻塞并杀死。

→如果信息包与这条规则不匹配，那么它将与链中的下一条规则进行比较。

→最后，如果信息包与链中的任何规则都不匹配，那么内核将参考该链的策略来决定如何处理该信息包。理想的策略应该告诉内核DROP该信息包。

1.2.5 Red Hat linux 9中的Netfilter/iptables

Red Hat linux 9使用2.4版本的内核，并且内核的编译选项中包含对Netfilter的支持，同时iptables软件包是被默认安装的，所以可以直接使用。

另外，为了完成转发功能，必须打开系统内核的IP转发功能。使Linux变成路由器。

在Red Hat中有两种方法：

（1）修改内核变量ip_forward

#echo “1”>;/proc/sys/net/ipv4/ip_forward

（2）修改脚本/etc/sysconfig/network。

将FORWARD_IPV4=false

改为FORWARD_IPV4=true