朋友们,我想测试一下防火墙流量在某些情况下的表现,想知道我是否可以用一台电脑来做这件事。我在电脑上配置了以下 IP 地址(单网卡,2 个 IP 地址)
192.168.1.50
192.156.1.60
我在我的电脑上配置了以下网关(这两个都是我的防火墙)
192.168.1.1
192.156.1.1
我的电脑里有一个 FTP 服务器。它可以通过192.168.1.50和192.156.1.60
我可以打开一个终端并使用以下命令打开 ftp 会话ftp 192.156.1.60
当我发出上述命令时,我想使用192.168.1.50ftp 客户端和192.156.1.60ftp 服务器的 ip,并通过防火墙路由流量。即 192.168.1.1 必须接受客户端流量,而 192.156.1.1 必须将服务器流量发回。防火墙之间192.168.1.50和192.156.1.60防火墙之外不应发生任何通信。这可能吗?请帮忙。
答案1
首先,您不应该使用公共互联网地址进行测试,例如192.156.1.60分配给“USMC 网络运营中心”的地址。
您的情况并不反映典型的防火墙情况。由于您的两个地址都是本地地址,因此流量不会通过 FORWARD 链。
Netfilter 数据包流图表示数据包将通过防火墙的 INPUT 链,然后传送到本地进程。
INPUT / OUTPUT 和 FORWARD 链的行为略有不同。因此,最好使用 FORWARD 链进行测试。
为了使用 FORWARD 链进行测试,您需要设置虚拟机或容器来托管服务和客户端,并在它们之间添加防火墙。