Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1256666
  • 博文数量: 177
  • 博客积分: 1528
  • 博客等级: 上尉
  • 技术积分: 1891
  • 用 户 组: 普通用户
  • 注册时间: 2010-12-15 18:03
文章分类

全部博文(177)

文章存档

2020年(1)

2018年(19)

2017年(4)

2016年(21)

2015年(40)

2014年(13)

2013年(26)

2012年(16)

2011年(37)

我的朋友

分类: 网络与安全

2016-03-08 14:43:24

一个会话有两个方向:
一个是发起方向,一个是返回方向
比如会话发起方向: In接口(eth0/0)1.1.1.1 sport(3333)-> 222.222.2222.222 dport (80)    Out接口(eth/1)
会话返回方向:In接口(eth0/1) 222.222.222.222 src (80)->1.1.1.1 dport(3333) out接口(eth0/0)
防火墙设备会话表保存会话信息,并根据会话表进行包转发及安全控制。

逆向路由
默认为:自动 意思为会话发起的逆方向,即返回的会话进入防火墙路由查找模块后需要查返回会话发起的源地址的路由(222.222.222.222)(比如策略路由,ISP路由,目的路由等),如果查到222.222.222.222从eth0/3路由出去,该返回会话就会从eth0/3出去,如果没有查到,则按照原路返回,即从eth0/0转发出去。

强制:基本同上,不同是如果没有查到返回的路由,则丢弃该返回包

关闭:返回会话不进行路由查询,即返回给222.222.222.222直接按照会话发起的原始方向进行返回,即从eth0/0转发出去,即便防火墙配置了到222.222.222.222的走Eth0/3的策略路由。
阅读(8074) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~