我正在学习 fwbuilder 和防火墙。我不明白策略、NAT 和路由之间的区别。它们似乎都只是根据数据是什么以及数据来自哪里来告诉数据去往何处的方法。
真正的区别是什么?正确配置的防火墙是否充分利用了这三种功能(策略、NAT 和路由),还是它们只是完成同一件事的三种不同方式,而您只需要其中一种?
答案1
不熟悉 fwbuilder,但它们在网络中都有更具体的含义,以下是我对一般网络的定义:
NAT 和 PAT:
更改 IP 目标或源和/或 TCP/UDP 中的端口。最常见的用途是让多个人可以共享一个公共 IP,或者将公共 IP 映射到服务的私有 IP。
政策:
如何处理根据各种网络级别的属性满足特定要求的数据包。例如,丢弃它们,或向请求者发送 ICMP 消息,告知其已关闭。此处的主要用途是出于安全考虑,保护您的网络。
IP 路由:
根据目标 IP 决定将流量发送到哪个接口(或者当您谈论基于策略的路由时,可能是更高级的东西)。这里的用途是,这是互联网和大多数主要计算机网络的工作方式以及更高级别。通常,NAT 发生在路由之前,因此数据包被 NAT 更改,然后根据结果进行路由。
一般与具体:
您对“根据数据是什么以及数据来自哪里来告诉数据去往何处的方法”的概括大致就是“网络”的含义。从更高的层次来说,对我来说,这几乎就像在说“为什么会有这么多计算机字眼,而它们所做的只是移动和操纵数据” :-) 这些术语都是网络的具体方面,可以成为一份全职工作。
答案2
政策,NAT, 和路由是 fwbuilder 术语。
政策相当于 iptablesfilter
表,由 INPUT、FORWARD 和 OUTPUT 链组成。它只是决定哪些数据包可以穿越防火墙。
NAT相当于 iptablesnat
表,由 PREROUTING、POSTROUTING 和 OUTPUT 链组成。它对数据包流进行整理(DNAT)和散射(SNAT)。
路由没有 iptables 等效项。它用于某些路由器(主要是 Cisco)的路由表。
fwbuilder 没有与 iptablesmangle
表等效的功能,该表用于执行其他两个表可能无法执行或不适合执行的各种愚蠢的数据包技巧。