IP 过滤器包处理

在处理包时，IP 过滤器会执行一系列步骤。下图说明处理包的步骤，以及过滤如何与 TCP/IP 协议栈集成在一起。

图 4-1  包处理顺序

包处理顺序包括下列步骤：

• 网络地址转换 (Network Address Translation, NAT)

  将专用 IP 地址转换为不同的公共地址，或者将多个专用地址的别名指定为单个公共地址。当组织具有现有的网络并需要访问 Internet 时，通过 NAT，该组织可解决 IP 地址用尽的问题。

• IP 记帐

  可以分别设置输入规则和输出规则，从而记录所通过的字节数。每次与规则匹配时，都会将包的字节计数添加到该规则中，并允许收集层叠统计信息。

• 片段高速缓存检查

  缺省情况下，分段包会被缓存。特定包的所有段到达时，将应用过滤规则并允许或阻止段。如果规则文件中出现 set defrag off，则段未缓存。

• 包状态检查

  如果规则中包括 keep state，则会自动传递或阻止指定会话中的所有包，具体取决于规则指明了 pass 还是 block。

• 防火墙检查

  可以分别设置输入规则和输出规则，确定是否允许包通过 IP 过滤器传入内核的 TCP/IP 例程或者传出到网络上。

• 组

  通过分组可以按树的形式编写规则集合。

• 功能

  功能是指要执行的操作。可能的功能包括 block、pass、literal 和 send ICMP response。

• 快速路由

  快速路由指示 IP 过滤器不将包传入 UNIX IP 栈进行路由，从而导致 TTL 递减。

• IP 验证

  已验证的包仅通过防火墙循环一次来防止双重处理。