- 论坛徽章:
- 0
|
网桥处理的数据包还要经过IP层,其中一个原因应该是可以利用ip层的conntrack,对进出的数据包进行跟踪。
...
Godbach 发表于 2010-08-17 09:47
iptables这个名字只存在用于用户态,其内核模块名为Netfilter,而不是ipfilter,也不是ipfirewall……
既 ...
独孤九贱 发表于 2010-08-17 10:47
几位说的很精辟啊,说到点子上了.
netfilter是内核的包过滤架构,它主要就是在内核中放置一些hook点.
这些hook点并不针对具体某一个层.在链路层有hook点,在ip层也有hook点.
iptables是基于hook点实现,也就是说,只是在这些hook点上,加上一些用户的操作而已..
置于ebtables,暂在研究中...
感觉应该也是在数据包路径上的某些点,插入一些用户的操作...
ebtables根据官方的描述,是针对桥的,也即工作在数据链路层...
The ebtables program is a filtering tool for a Linux-based bridging firewall. It enables transparent filtering of network traffic passing through a Linux bridge. |
|