问题[fwbuilder](server)

在 Firewall Builder 中，当您使用 DNS 对象并将其设置为运行时，防火墙（在我们的例子中为 iptables）究竟何时真正解析 DNS 名称？

1. 是否在防火墙中调用该 DNS 名称时？因此，每当有人/某物试图访问该 DNS 名称时，防火墙会即时解析该名称？
2. 还是当您执行 fw 脚本将规则加载到 iptables 时？那么在这种情况下，它会解析一次 DNS 名称，然后将生成的 ip 地址硬编码到 iptable 规则中？

从我读到的内容来看，我认为它是#1，但对我来说并不是 100% 清楚。我们的网络上有两台服务器用于特定功能。一台是主服务器，一台是备用服务器。

alpha0.domain.com
alpha1.domain.com

在 DNS 中，我们有这个：

alpha.domain.com -> alpha0.domain.com

如果主服务器出现故障，我们需要切换到备份，我只需将我们的本地 DNS 记录更改为指向alpha1.domain.com。

那么回到防火墙，如果我只是把一个域对象作为alpha.domain.com，每次我们切换到备用 alpha 服务器并更改 DNS 记录时，我是否必须重新加载防火墙规则？或者即使在切换之后，防火墙也会自动解析到正确的地址？

软呢帽 11

我们以前的 IT 人员在我们的防火墙上设置 iptable 规则的方式让我感到困惑，他没有记录任何内容。我希望有人可以帮助我理解它。

iptables 服务显然是在启动时启动的，但该/etc/sysconfig/iptables文件未被触及（默认值）。

我发现/etc/rc.local他正在这样做：

# We have multiple ISP connections on our network.
# The following is about 50+ rules to route incoming and outgoing
# information. For example, certain internal hosts are specified here
# to use ISP A connection while everyone else on the network uses
# ISP B connection when access the internet.
ip rule add from 99.99.99.99 table Whatever_0
ip rule add from 99.99.99.98 table Whatever_0
ip rule add from 99.99.99.97 table Whatever_0
ip rule add from 99.99.99.96 table Whatever_0
ip rule add from 99.99.99.95 table Whatever_0
ip rule add from 192.168.1.103 table ISB_A
ip rule add from 192.168.1.105 table ISB_A
ip route add 192.168.0.0/24 dev eth0 table ISB_B
# etc...

然后在文件末尾附近，在他刚刚声明的所有 ip 规则之后，他有这个：

/root/fw/firewall-rules.fw

他正在执行由fwbuilder.

一些问题

1. 为什么他要声明所有这些 ip 规则，而不是像所有其他规则一样rc.local声明它们？fwbuilder这有什么好处或必要性吗？或者这只是实施防火墙规则的一种组织不良的方式？

2. 为什么他在执行fwbuilder脚本之前声明 ip 规则？我会假设fwbuilder脚本所做的第一件事就是在声明所有新规则之前摆脱任何现有规则。我错了吗？如果是这样的话，fwbuilder 脚本基本上只会删除所有在 rc.local 中定义的 ip 规则。这有道理吗？

3. 为什么他在启动时在 rc.local 中执行所有这些东西，而不是仅仅使用iptables-save将防火墙设置保持/etc/sysconfig/iptables在运行时实现？

我正在学习 fwbuilder 和防火墙。我不明白策略、NAT 和路由之间的区别。它们似乎都只是根据数据的内容和来源告诉数据去向的方法。

真正的区别是什么？正确配置的防火墙是否充分利用了所有三个（策略、NAT 和路由），或者它们只是完成同一件事的三种不同方式，而您只需要其中一种？