诚然,我是防火墙领域的新手。但我读过有关 IPtables 和防火墙理论以及命令选项的文章。IPtables 的创建者 Rusty Russell 有一张通用图表:
_____
INCOMING / \ OUTGOING
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----
该图表以各种形式出现在所有 IPTables/Netfilter 文献、书籍等中。
作为该领域的新手,我的问题是:
a. 如果 INCOMING 和 OUTGOING 指的是两个不同的以太网端口(例如 eth0 和 eth1),我就能清楚地理解此图。是否可以将 INCOMING 和 OUTGOING 设置为同一个以太网卡(即 eth0)?如果可以,有人能解释一下吗?
b. 为什么 OUTPUT 链后没有“路由决策”。我的意思是来自主机的数据包也需要一些路由决策。对吗?
谢谢!
答案1
是否可以将 INCOMING 和 OUTGOING 设置为同一张以太网卡(即 eth0)?
是的:实现此目的的最简单方法(还有其他方法,但它们非常混乱)是使用以下方法配置卡:别名和不同的子网。
为什么 OUTPUT 链后没有“Routing Decision”
因为这不是必需的,而且这可能会将数据包发送回不同的输出链(这可能会将其发送回原始输出链)