Linux内核--基于Netfilter的内核级包过滤防火墙实现

fenxinzi 2012-05-29

测试内核版本:Linux Kernel 2.6.35----Linux Kernel 3.2.1

知识基础:本防火墙的开发基于对Linux内核网络栈有个良好的概念,本人对网络栈的分析是基于早期版本(Linux 1.2.13),在明确了网络栈架构的前提下,上升一步分析高级版本内核中的Netfilter防火墙实现原理,然后进行模块或内核编程,开发一款基于包过滤的个人防火墙。

包过滤防火墙:包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。工作于网络层,能对IP数据报进行首部检查。例如:IP源地址,目的地址,源端口和目的端口等。

本防火墙的包过滤功能如下:  

* 拒绝来自某主机或某网段的所有连接。
  * 允许来自某主机或某网段的所有连接。
  * 拒绝来自某主机或某网段的指定端口的连接。
  * 允许来自某主机或某网段的指定端口的连接。
  * 拒绝发去某主机或某网段的所有连接。
  * 允许发去某主机或某网段的所有连接。
  * 拒绝发去某主机或某网段的指定端口的连接。
  * 允许发去某主机或某网段的指定端口的连接。

Netfilter框架是Linux内核分析和过滤特定协议数据包处理框架,为其他模块动态参与网络层数据包处理提供了方便的途径。

本防火墙的简单功能就是检查数据包是否符合过滤的条件,如果不符合就舍弃(Drop),否则就接受(Accept),这里定义八个链表头结点

  1. struct ip_node  ip_allowed_in_node_head;/*允许的远程主机或网络IP地址头节点*/  
  2. struct ip_node  ip_denied_in_node_head;/*拒绝的远程主机或网络IP地址头节点*/  
  3. struct ip_node  ip_allowed_out_node_head;/*允许的本地主机或网络IP地址头节点*/  
  4. struct ip_node  ip_denied_out_node_head;/*拒绝的本地主机或网络IP地址头节点*/  
  5.   
  6. struct port_node port_allowed_in_node_head;/*允许的远程主机或网络传输层端口号头节点*/  
  7. struct port_node port_denied_in_node_head;/*拒绝的远程主机或网络传输层端口号头节点*/  
  8. struct port_node port_allowed_out_node_head;/*允许的本地主机或网络传输层端口号头节点*/  
  9. struct port_node port_denied_out_node_head;/*拒绝的本地主机或网络传输层端口号头节点*/  

用于保存配置文件中的地址或端口信息。

定义两个钩子函数hook_func_in和hook_func_out,分别将其挂载到INET协议族的入口NF_INET_LOCAL_IN和出口NF_INET_LOCAL_OUT:

  1. static struct nf_hook_ops my_netfilter[] =  
  2. {  
  3.     {  
  4.         .hook       =hook_func_in,  
  5.         .owner      =THIS_MODULE,  
  6.         .pf     =PF_INET,  
  7.         .hooknum    =NF_INET_LOCAL_IN,  
  8.         .priority   =100  
  9.     },  
  10.     {  
  11.         .hook       =hook_func_out,  
  12.         .owner      =THIS_MODULE,  
  13.         .pf     =PF_INET,  
  14.         .hooknum    =NF_INET_LOCAL_OUT,  
  15.         .priority   =100  
  16.     }  
  17. };  

说明一下自己定义的一些宏和引用的头文件:

  1. #ifndef MODULE   
  2. #define MODULE   
  3. #endif   
  4.   
  5. #ifndef __KERNEL__   
  6. #define __KERNEL__   
  7. #endif   
  8. //#define NET_DOWN   
  9. #define MY_FIREWALL_DEBUG   
  10.   
  11. #include <asm/system.h>   
  12. #include <linux/module.h>   
  13. #include <linux/types.h>   
  14. #include <linux/kernel.h>   
  15. #include <linux/string.h>   
  16.   
  17. #include <linux/net.h>   
  18. #include <linux/socket.h>   
  19. #include <linux/sockios.h>   
  20. #include <linux/in.h>   
  21. #include <linux/inet.h>   
  22.   
  23.   
  24. #include <net/ip.h>   
  25. #include <net/protocol.h>   
  26. #include <linux/skbuff.h>   
  27. #include <net/sock.h>   
  28. #include <net/icmp.h>   
  29. #include <net/raw.h>   
  30. #include <net/checksum.h>   
  31. #include <linux/netfilter_ipv4.h>   
  32. #include <linux/tcp.h>   
  33. #include <linux/udp.h>   
  34. #include <linux/igmp.h>   
  35.   
  36. #include <linux/fs.h>   
  37. #include <linux/mm.h>   
  38. #include <asm/uaccess.h>   
  39.   
  40. #define YES 1   
  41. #define NO 0   
  42.   
  43. #define IP_MAX_LEN 20   
  44. #define PORT_MAX_LEN 20   
  45.   
  46. #define ALLOWED_IP_IN 0   
  47. #define DENIED_IP_IN 1   
  48. #define ALLOWED_IP_OUT 2   
  49. #define DENIED_IP_OUT 3   
  50.   
  51. #define ALLOWED_PORT_IN 0   
  52. #define DENIED_PORT_IN 1   
  53. #define ALLOWED_PORT_OUT 2   
  54. #define DENIED_PORT_OUT 3   
  55.   
  56. #define ALLOWED_IN_IP_CONF_FILE_DIR "/etc/my_firewall/ip_allowed_in"   
  57. #define DENIED_IN_IP_CONF_FILE_DIR "/etc/my_firewall/ip_denied_in"   
  58. #define ALLOWED_IN_PORT_CONF_FILE_DIR "/etc/my_firewall/port_allowed_in"   
  59. #define DENIED_IN_PORT_CONF_FILE_DIR "/etc/my_firewall/port_denied_in"   
  60.   
  61. #define ALLOWED_OUT_IP_CONF_FILE_DIR "/etc/my_firewall/ip_allowed_out"   
  62. #define DENIED_OUT_IP_CONF_FILE_DIR "/etc/my_firewall/ip_denied_out"   
  63. #define ALLOWED_OUT_PORT_CONF_FILE_DIR "/etc/my_firewall/port_allowed_out"   
  64. #define DENIED_OUT_PORT_CONF_FILE_DIR "/etc/my_firewall/port_denied_out"   
  65.   
  66. //DEFINE FOR WORK_MODE   
  67.   
  68. /*不工作状态,默认*/  
  69. #define MODE_FREE 0   
  70. /*允许来自某主机或某网段的所有连接*/  
  71. #define MODE_IP_ONLY_ALLOWED_IN 1   
  72.   
  73. /*拒绝来自某主机或某网段的所有连接*/  
  74. #define MODE_IP_ONLY_DENIED_IN 2   
  75.   
  76. /*允许来自某主机或某网段指定端口的连接*/  
  77. #define MODE_IP_PORT_ALLOWED_IN 3   
  78.   
  79. /*拒绝来自某主机或某网段的指定端口的连接*/  
  80. #define MODE_IP_PORT_DENIED_IN 4   
  81.   
  82. /*允许本地主机或本地网络与其他主机或网络的所有连接*/  
  83. #define MODE_IP_ONLY_ALLOWED_OUT 5   
  84.   
  85. /*拒绝本地主机或本地网络与其他主机或网络的所有连接*/  
  86. #define MODE_IP_ONLY_DENIED_OUT 6   
  87.   
  88. /*允许本地主机或网络与其他主机或其他网络的指定端口的连接*/  
  89. #define MODE_IP_PORT_ALLOWED_OUT 7   
  90.   
  91. /*拒绝本地主机或网络与其他主机或其他网络的指定端口的连接*/  
  92. #define MODE_IP_PORT_DENIED_OUT 8  
fenxinzi

fenxinzi

相关推荐

iptables防火墙

netfilter/iptables组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案。netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,属于“内核态”的防火墙

linuxalienyan / 0评论 2020-06-11

[转]Iptables之nf_conntrack模块

连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我们还需要能让回来的包能路由到最初的来源主机。这就需要借助 nf_con

iamplane / 0评论 2020-03-23

Linux 防火墙概念

1) 防火墙概念主要是用于企业中对传输的数据包进行拦截、过滤,满足条件即可做某些动作,禁止通行或者运行通行,分为如下两种防火墙类型: ?

LychieFan / 0评论 2020-03-03

iptables四表五链

Linux系统中防火墙功能的两大角色:iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具,netfilter则是防火墙功能的具体实现,是内核空间的功能模块。所谓的iptables“控制”防火墙,就是用户利用i

zlsh00 / 0评论 2020-02-29

Linux netfliter 架构

netfilter是在Linux 2.4.X内核引入的一个子系统,它提供了一个抽象的、通用框架,这个框架提供了一整套的钩子函数的管理机制。包括钩子函数的原型定义,注册,注销等。下面将基于Linux 3.14.77 的内核代码简要介绍一下netfilter框

zhongzhiwei / 0评论 2020-02-27

iptables技术入门

netfilter组件也称为内核空间,是内核的一部分,由一些信息包和过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables组件试试一种工具,也称为用户空间,它使插入、喜欢和除去信息包过滤表中的规则变得容易。___ iptables是基于

wangrui0 / 0评论 2020-02-24

iptables四表五链

Linux系统中防火墙功能的两大角色:iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具,netfilter则是防火墙功能的具体实现,是内核空间的功能模块。所谓的iptables“控制”防火墙,就是用户利用i

zhongcanw / 0评论 2020-01-28

一篇文章为你图解Kubernetes网络通信原理

Kubernetes对集群内部的网络进行了重新抽象,以实现整个集群网络扁平化。我们可以理解网络模型时,可以完全抽离物理节点去理解,我们用图说话,先有基本印象。Veth设备对的引入是为了实现在不同网络命名空间的通信。

yevvzi / 0评论 2020-01-01

防火墙和系统安全防护和优化

防火墙指的是一个由 软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。SNAT主要用于隐藏内部网络结构,避免受到来自外部网络的非法访问和恶意攻击,有效缓解地址空间的短缺问题,而DNAT主要用于外网主机访问内网主机,以此

xiaoemo0 / 0评论 2019-12-17

深入理解 iptables 和 netfilter 架构

本文翻译自 2015 年的一篇英文博客 A Deep Dive into Iptables and Netfilter Architecture 。这篇对 iptables 和 netfilter 的设计和原理介绍比较全面,美中不足的是没有那张 内核协议栈

pointfish / 0评论 2019-12-11

iptables配置

防火墙是设在不同网络或网络安全域之间的一系列部件的组合。它能增强机构内部网络的安全性,它通过访问控制机制,确定哪些内部服务允许外部访问,它可以根据网络传输类型决定ip包是否可以传进或传出内部网络。防火墙是工作在主机和网络的边缘。

zhongcanw / 0评论 2019-12-09

Linux系统安全Centos 7的Firewalld防火墙基础

Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统。netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“

xinggm / 0评论 2019-11-28

netfilter数据包过滤

iptables可以很方便的构建系统防火墙,那它是如何实现的呢?Linux内核添加了netfilter机制,在IP协议栈上传递过程中,选择了5个检查点。利用5个检测点,查阅用户注册的回调处理函数,根据用户自定义回调函数监视进出的网络数据包。该示例简单拦截所

micmouse / 0评论 2015-01-11

Netfilter 是如何工作的(四):动作(target)

每一条iptables配置的规则都包含了匹配条件部分和动作。当报文途径HOOK点时,Netfilter会逐个遍历挂在该钩子点上的表的rule,若报文满足rule的匹配条件,内核就会执行动作。该结构由两部分组成,其中verdict是动作的编码, 取值有NF_

蒋胜凡广博天下客 / 0评论 2019-11-17

使用Linux系统Iptables防火墙

Linux kernel使用netfilter对进出的数据包进行过滤,netfilter由三个规则表组成,每个表又有许多内建的链组成。通过使用iptables命令可以对这些表链进行操作,如添加、删除和列出规则等。当使用-p tcp时,还可使用其他可以选项,

wangkeIDC / 0评论 2007-08-03

缓解DDoS &amp;&amp; cc 的最佳Linux内核设置 (转)

https://javapipe.com/blog/iptables-ddos-protection/ kernel.printk = 4 4 1 7 kernel.panic = 10 kernel.sysrq = 0 kernel.shmma

jiangtie / 0评论 2019-10-27

Linux高负载系统 网络参数调整

当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭。表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状

顺其自然 / 0评论 2011-05-16

Centos 5.3 环境下重新编译iptables,增加Layer 7,ipp2p,patch-o

一 相关内容介绍 CentOS是Linux发行版之一,它是来自于Red Hat Enterprise Linux依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定性的服务器以CentOS替代商业版的Red Hat Ente

sunkuohao / 0评论 2010-09-21

详解Linux iptables常用防火墙规则

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配

eastnow / 0评论 2019-07-21

Linux内核分析 - 网络[七]:NetFilter

NetFilter在2.4.x内核中引入,成为linux平台下进行网络应用的主要扩展,不仅包括防火墙的实现,还包括报文的处理等。NetFilter数据结构 勾子struct nf_hook_ops[net\filter\core.c]. struct

kylinos / 0评论 2011-10-29

FreeBSD之netgraph简要解析

FreeBSD的netgraph真是太帅了,它到底是个什么玩艺呢?netgraph系统挂接在内核协议栈的特定点上,哪些点呢?),要么就是从某处出去,进入协议栈的别的地方。netgraph和标准协议栈的衔接如下图所示:既然知道了netgraph的位置,那么下

qiaosym / 0评论 2012-04-03

iptables基础知识详解

iptables命令是Linux上最常用的防火墙代理,可以很好得控制进出流量以及限速等。iptables不是真正意义上得防火墙,我们应该把它理解为一个代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"里面,

浪迹一生 / 0评论 2019-08-12

iptables 使用 快速教程

linux的netfilter模块不仅可以拦截数据包,还可以转发数据包。iptables 是一个配置netfilter的工具。整个原理可见下图。数据进入后,只有两条路可走,如果目的地址是本机,就由本机处理,不是则可以转发。PREROUTING,FORWAR

zjhqlmzldx / 0评论 2017-11-02

Netfilter简介

Netfilter是Linux操作系统核心层内部的一个数据处理模块。数据包在Netfilter中的挂载点。

FruitDrop / 0评论 2017-10-05

netfilter数据包过滤

iptables可以很方便的构建系统防火墙,那它是如何实现的呢?Linux内核添加了netfilter机制,在IP协议栈上传递过程中,选择了5个检查点。利用5个检测点,查阅用户注册的回调处理函数,根据用户自定义回调函数监视进出的网络数据包。该示例简单拦截所

鹰之翔 / 0评论 2015-01-11

LVS 单独完成--负载均衡

IPVS是LVS集群的核心,主要用于完成用户的请求到达负载调度器后,如果将请求发送到每个真实服务器节点上的,服务器如何返回数据给用户。我们服务器都是采用 CentOS 6 ,该版本默认就支持 LVS 功能。要验证是否支持,用如下命令:. 如果类似上面,表示

yungame / 0评论 2014-12-19

Linux系统中最实用的十大开源防火墙

如今,开源防火墙可谓数目繁多。本文将涉及十个适合企业需求的最实用的开源防火墙。  Iptables/Netfilter是基于防火墙的最流行的命令行。它是Linux服务器安全的头道防线。  Shorewall建立在Linux内核中内建的Netfilter之上

tomyanliu / 0评论 2014-01-20

sysctl优化脚本

#打開TIME-WAIT套接字重用功能,對于存在大量連接的Web服務器非常有效。#減少處于FIN-WAIT-2連接狀態的時間,使系統可以處理更多的連接。#增加TCPSYN隊列長度,使系統可以處理更多的並發連接。

farwang / 0评论 2012-12-28

Iptables 学习

有些包过滤不能防止,代理机制,代理必须审核,审核通过才能连接,更加完善,工作效率比较低,消耗时间多。上述两个技术后发展起来的,保留对包分析后,对连接构建一个状态结构,对数据包内容进行监控,监控每个对话内容。真正提供包过滤的是Netfilter,iptabl

TallDolphin / 0评论 2012-10-04

(转)Linux kernel 性能压力下的优化实践(V0.1)

做benchmark测试的过程中,总是会涉及到linux操作系统底层的设置导致无法充分利用机器的性能,在调试的过程中,不少资料没能和linuxkernel版本对应上导致一些参数的设置错误。根据现有服务器的硬件条件和软件版本做相关优化,把一些实践的心得分享出

silenter00 / 0评论 2012-09-08

Linux防火墙配置

真正的非军事区域是比较安全可靠的防火墙设计,这种设计的内部和外部都有防火墙,在这两者之间可以放任何因特网可访问的设备。因特网流量仅能访问非军事区域内的服务器,并且只能访问非军事区内的服务器正在监听的端口。netfilter:Linux上的不二选择,很多情况

xiyoukeke / 0评论 2012-02-20

Linux内核构造数据包并发送(Netfilter方式)

这里简单的分析讲一下内核态基于Netfilter框架构造数据包的方式。内核中可以用到的构造数据包的方式,个人认为可以分为两种。其一,我们直接用alloc_skb申请一个skb结构体,然后根据实际的应用填充不同的成员,或者基于当前数据包的skb,调用skb_

RayDon / 0评论 2011-03-03

iptables nat及端口映射

一个Linux下优秀的nat+防火墙工具,我使用该工具以较低配置的传统pc配置了一个灵活强劲的防火墙+nat系统,小有心得,看了网上也有很多这方。面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables同时也

LinuxCard / 0评论 2010-09-27

基于Netfilter hook功能的数据包拦截---有关DCN优化的碎碎念

接前一篇博客,我们需要拦截每一个收到或者发出的数据包,并对它进行处理,进过调研,实验,打算使用linux内核中的Netfilter模块实现这个功能。Netfilter中有一个hook的功能,可以在:. 5个地方安插钩子,每一个通过这些点的函数都会被勾出来,

futurezone / 0评论 2012-08-24

高负载系统,网络参数调整

当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;允许将TIME-WAITsockets重新用于新的TCP连接,默认为0,表示关闭;表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的

无忧老猪 / 0评论 2011-08-15

添加iptables/netfilter功能扩展模块的测试

comment、connlimit、psd、time还处于测试阶段,直到现在各种Linux发行版本中的内核都还没把这些模块包括入来,这些模块的功。件非常耗费时间的恐惧,因此一直没有动手,近日,在仔细研读了白金兄的《iptables添加模块HOWTO》一文后

陈伟堂 / 0评论 2010-04-01

高负载系统,网络参数调整

当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;允许将TIME-WAITsockets重新用于新的TCP连接,默认为0,表示关闭;表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的

nuligannima / 0评论 2010-03-25

ip_conntrack: table full, dropping packet.

vi/etc/sysctl.conf

TimelessFaith / 0评论 2010-03-18

nfnetlink和ip_queue

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严。禁用于任何商业用途。netlink是linux中实现内核与用户空间通信的一种方法,数据以类似网络数据包的形式在两者间传输,最初netlink接口主要

newdye / 0评论 2011-01-10

连接跟踪的一些设想

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。现在netfilter中数据包进入防火墙后如果是新连接的包,就分配内存建立连接,然后才是是后续mangle、nat、 filter

chenjiawei / 0评论 2011-01-10

Linux2.6.17内核中匹配和目标相对2.4的变化

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。在2.6.17内核的netfilter中,netfilter一个重大修正思想就是将netfilter作为一个协议无关的框架,表现在

zestroly / 0评论 2011-01-10

有感于netfilter的转发效率

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。综合种种,难怪内核加了netfilter后性能被砍一半。网友: Godbach 时间:2008-08-05 17:52:23 I

leeknives / 0评论 2011-01-10

2.4和2.6内核的netfilter差异点

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。在2.4和2.6内核中的netfilter基本框架都是相同的,只是在某些细节上有点差异,要移植的话主要看基本的数据结构和函数定义是

newdye / 0评论 2011-01-10

规则的快速查找

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。一般提高规则搜索速度的方法包括对规则进行分类,常用的分类方法通常是HASH和树结构。HASH是把规则的匹配条件字段综合作为一个输入

无忧老猪 / 0评论 2011-01-10

netfilter/layer7匹配简介

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。layer7匹配的出现使得netfilter具备了一定的内容检测能力,其代码可到http://l7-filter.sf.net下载

dyccsxg / 0评论 2011-01-10

挑netfilter的11个不足之处

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。netfilter的最大不足在于其效率不是很高,规则处理只针对包而不是连接等,表现在以下方面:。3)netfilter只有hot_

leeknives / 0评论 2011-01-10

解剖NetScreen (3)

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。本卷是防火墙的核心功能,用户购买防火墙的级别目的就是用来防御攻击的。另外状态检测已经是当前防火墙的一个通用技术,本身就能防御各种状

dyccsxg / 0评论 2011-01-10

防火墙为什么要对多连接协议进行特殊处理

本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。多连接协议的支持对状态检测防火墙来说需要特别处理,对于公开的协议,可以根据其协议规范来定制专门的支持模块,而如果协议是保密,对防火

无忧老猪 / 0评论 2011-01-10

iptables设置大全

Linux提供了一个非常优秀的防火墙工具netfilter/iptables。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。本文将简单介绍使用netfilter/iptables实现防火墙架设和In

六六哥 / 0评论 2010-01-12