跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:IP 服务 Oracle Solaris 11 Information Library (简体中文) |
在处理包时,IP 过滤器会执行一系列步骤。下图说明处理包的步骤,以及过滤如何与 TCP/IP 协议栈集成在一起。
图 20-1 包处理顺序
包处理顺序包括下列步骤:
网络地址转换 (Network Address Translation, NAT)
将专用 IP 地址转换为不同的公共地址,或者将多个专用地址的别名指定为单个公共地址。当组织具有现有的网络并需要访问 Internet 时,通过 NAT,该组织可解决 IP 地址用尽的问题。
IP 记帐
可以分别设置输入规则和输出规则,从而记录所通过的字节数。每次与规则匹配时,都会将包的字节计数添加到该规则中,并允许收集层叠统计信息。
片段高速缓存检查
如果当前流量中的下一个包是片段,而且允许前一个包通过,则也将允许包片段通过,从而绕过状态表和规则检查。
包状态检查
如果规则中包括 keep state,则会自动传递或阻止指定会话中的所有包,具体取决于规则指明了 pass 还是 block。
防火墙检查
可以分别设置输入规则和输出规则,确定是否允许包通过 IP 过滤器传入内核的 TCP/IP 例程或者传出到网络上。
组
通过分组可以按树的形式编写规则集合。
功能
功能是指要执行的操作。可能的功能包括 block、pass、literal 和 send ICMP response。
快速路由
快速路由指示 IP 过滤器不将包传入 UNIX IP 栈进行路由,从而导致 TTL 递减。
IP 验证
已验证的包仅通过防火墙循环一次来防止双重处理。