我正在学习 fwbuilder 和防火墙。我不明白策略、NAT 和路由之间的区别。它们似乎都只是根据数据的内容和来源告诉数据去向的方法。
真正的区别是什么?正确配置的防火墙是否充分利用了所有三个(策略、NAT 和路由),或者它们只是完成同一件事的三种不同方式,而您只需要其中一种?
AskOverflow.Dev
我正在学习 fwbuilder 和防火墙。我不明白策略、NAT 和路由之间的区别。它们似乎都只是根据数据的内容和来源告诉数据去向的方法。
真正的区别是什么?正确配置的防火墙是否充分利用了所有三个(策略、NAT 和路由),或者它们只是完成同一件事的三种不同方式,而您只需要其中一种?
不熟悉 fwbuilder,但它们在网络中都有更具体的含义,以下是我为一般网络定义它们的方式:
NAT 和 PAT:
更改 TCP/UDP 中的 IP 目标或源和/或端口。最常见的用途是多人可以共享一个公共 IP,或者将公共 ip 映射到服务的私有 ip。
策略:
根据不同网络级别的各种属性,如何处理满足特定要求的数据包。例如,删除它们,或向请求者发送一条 ICMP 消息,说明它已关闭。这里的主要用途是为了保护您的网络的安全性。
IP 路由:
根据目标 IP(或者当您谈论基于策略的路由时可能更高级的东西)来决定将流量发送出去的接口。这里的用途是互联网和大多数主要计算机网络的工作方式和更高级别。通常,NAT 发生在路由之前,因此数据包被 NAT 更改,然后根据结果进行路由。
一般与具体:
您对“根据数据的内容和来源告诉数据去向的方法”的概括大致就是“网络”。把它提升到一个更高的层次,对我来说,这几乎就像是在说“当它们所做的只是移动和操作数据时,为什么会有所有这些计算机单词”:-) 这些术语都是网络的特定方面,可以是全职的职业。
Policy、NAT和Routing是 fwbuilder 术语。
Policy相当于 iptables
filter表,由 INPUT、FORWARD 和 OUTPUT 链组成。这只是决定允许哪些数据包穿过防火墙。NAT相当于 iptables
nat表,由 PREROUTING、POSTROUTING 和 OUTPUT 链组成。这会对数据包流进行整理 (DNAT) 和散射 (SNAT)。路由没有 iptables 等价物。它用于某些路由器(主要是 Cisco)的路由表。
fwbuilder 没有与 iptables
mangle表等效的表,该表用于执行其他两个表可能无法或可能不适合的各种愚蠢的数据包技巧。