IPtablesファイアウォールノート1

4863 ワード
openwrt iptables Openwrt linux
Openwrtのファイアウォールルールはuciコマンドを使用して構成できますが.プロファイルは/etc/config/firewallで分析/etct/init.d/firewallスクリプトファイル.実際にファイアウォール機能を実行するプログラムはfw 3であることがわかります.Openwrtはlinuxシステムとしてiptablesをサポートしています.だから.iptablesをマスターしました.
iptables-Lを入力して、現在のファイアウォールルールを表示します.
root@goldsunny:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
delegate_input  all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
delegate_forward  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
delegate_output  all  --  anywhere             anywhere

デフォルトのファイアウォールルールは次のとおりです.
Chain INPUT (policy ACCEPT)
Chain FORWARD (policy DROP)
Chain OUTPUT (policy ACCEPT)

つまり、入出力は許可されています.転送はこっそり捨てられた.一般的な値は次のとおりです.
     DROPDROP , 
     REJECT: 
     ACCEPT: 
        custom_chain: 
     DNAT
     SNAT
     MASQUERADE: 
     REDIRECT: : 
     MARK: 
     RETURN: 
         , 。

さらに、各チェーンには、delegate_というルールがあります.input delegate_forward delegate_output
この3つのルールを見てみましょう.
Chain delegate_forward (1 references)
target     prot opt source               destination         
forwarding_rule  all  --  anywhere             anywhere             /* user chain for forwarding */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
zone_lan_forward  all  --  anywhere             anywhere            
zone_lan_forward  all  --  anywhere             anywhere            
zone_wan_forward  all  --  anywhere             anywhere            
reject     all  --  anywhere             anywhere            

Chain delegate_input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
input_rule  all  --  anywhere             anywhere             /* user chain for input */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN
zone_lan_input  all  --  anywhere             anywhere            
zone_lan_input  all  --  anywhere             anywhere            
zone_wan_input  all  --  anywhere             anywhere            

Chain delegate_output (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
output_rule  all  --  anywhere             anywhere             /* user chain for output */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
zone_lan_output  all  --  anywhere             anywhere            
zone_lan_output  all  --  anywhere             anywhere            
zone_wan_output  all  --  anywhere             anywhere

各ルールの下にはいくつかのルールが含まれています
[42cursurs]Ray Tracing in One Weekend 12-Defocus Blur
[白俊]13305号ガソリンスタンド解答