Netfileter机制--规则的匹配方式
规则匹配的方式都是“first match”,即所谓的“优先”匹配。比如:INPUT为例,当我们在防火墙上添加新规则时,这些规则是按照“先后顺序”一条一条被加入到INPUT链。因此,第一条被加进来的规则,就会是存放在INPUT链内的第一条规则,即rule 1,最后被加进来的规则,当然就是INPUT链中的最后一条规则。
当一个数据包进入INPUT链之后,filter机制就会根据该数据包的特征,从INPUT链中的第一条规则逐一向下匹配。
假设该数据包的特征在第一条规则就是被匹配到,将由这条规则来决定是否放弃该数据包,如果该规则说“将数据包丢弃”,那么数据包马上就会丢弃,不管后面的规则内容是什么,相反,如果第一条规则说“该数据包可以进入”,那么该数据包随即进入高本机进程的位置,当然,不管后面的规则内容是什么也都不重要,这就是“优先匹配”。
万一该数据包的特征是从INPUT链的第一个条规则匹配到最后一条规则,却都没有匹配成功时,试问该数据包能不能进入本机进程?这个关键在于每个链的最低端的默认策略,
假设该数据包的特征在第一条规则就是被匹配到,将由这条规则来决定是否放弃该数据包,如果该规则说“将数据包丢弃”,那么数据包马上就会丢弃,不管后面的规则内容是什么,相反,如果第一条规则说“该数据包可以进入”,那么该数据包随即进入高本机进程的位置,当然,不管后面的规则内容是什么也都不重要,这就是“优先匹配”。
万一该数据包的特征是从INPUT链的第一个条规则匹配到最后一条规则,却都没有匹配成功时,试问该数据包能不能进入本机进程?这个关键在于每个链的最低端的默认策略,