在 Linux 主机环境中:是否有办法对每个新流(源 IP、源端口、目标 IP、目标端口)元组或类似项进行一次检查,以确定是否允许建立流。拒绝/允许应来自外部进程,例如 (bash) 脚本。
答案1
Linux 内核netfilter防火墙实现有NFQUEUE目标,允许将数据包传递到用户空间,以决定流量的进一步操作。
其中一项操作称为标记,即用一个值来标记流。然后可以在netfilter规则中匹配此值,以允许其他流数据包直接通过,而无需进入用户空间。
Linux;动态流量访问控制
在 Linux 主机环境中:是否有办法对每个新流(源 IP、源端口、目标 IP、目标端口)元组或类似项进行一次检查,以确定是否允许建立流。拒绝/允许应来自外部进程,例如 (bash) 脚本。
Linux 内核netfilter防火墙实现有NFQUEUE目标,允许将数据包传递到用户空间,以决定流量的进一步操作。
其中一项操作称为标记,即用一个值来标记流。然后可以在netfilter规则中匹配此值,以允许其他流数据包直接通过,而无需进入用户空间。