Android 网络防火墙的实现 Iptables 解决方案 收藏
通过对 Android SDK 帮助文档的阅读,我没有发现 Android 的高层提供的 API,于是通过
更底层考虑,我发现了可以采用 Iptables 实现防火墙的功能。而且 linux 下主流的防火墙也
是 Iptables。
Iptables 的介绍:
iptables 是与最新的 2.6.x 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接
到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux
系统上更好地控制 IP 信息包过滤和防火墙配置。
其工作原理:
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具, 可用于添加、编辑和除去规则,
这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的
信息包过滤表中, 而这些表集成在 Linux 内核中。 在信息包过滤表中,规则被分组放在我
们所谓的 链(chain)中。我马上会详细讨论这些规则以及如何建立这些规则并将它们分组
在链中。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件 netfilter
和 iptables 组成。
netfilter 组件也称为 内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成
这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为 用户空间(userspace),它使插入、修改和除去信息包过
滤表中的规则变得容易。 除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要从
netfilter.org 下载该工具并安装使用它。
通过使用用户空间,可以构建自己的定制规则,这些规则存储在内核空间的信息包过滤表
中。 这些规则具有 目标,它们告诉内核对来自某些源、前往某些目的地或具有某些协议类
型的信息包做些什么。 如果某个信息包与规则匹配,那么使用目标 ACCEPT 允许该信息
包通过。还可以使用目标 DROP 或 REJECT 来阻塞并杀死信息包。对于可对信息包执行的
其它操作,还有许多其它目标。
根据规则所处理的信息包的类型,可以将规则分组在链中。处理入站信息包的规则被添加
到 INPUT 链中。处理出站信息包的规则被添加到 OUTPUT 链中。处理正在转发的信息包
的规则被添加到 FORWARD 链中。这三个链是基本信息包过滤表中内置的缺省主链。 另
外,还有其它许多可用的链的类型(如 PREROUTING 和 POSTROUTING ), 以及提供
用户定义的链。每个链都可以有一个 策略, 它定义“缺省目标”,也就是要执行的缺省操作,
当信息包与链中的任何规则都不匹配时,执行此操作。
剩余23页未读,继续阅读
xuzhitaosunshine
- 粉丝: 0
- 资源: 3
我的内容管理
收起
- 我的资源
快来上传第一个资源
我的收益 登录查看自己的收益
我的积分
登录查看自己的积分
我的C币
登录后查看C币余额
我的收藏 
我的下载 
下载帮助
会员权益专享
最新资源
- zigbee-cluster-library-specification
- JSBSim Reference Manual
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
评论1