(五)防火墙规则书写注意点小结(掌握)

  • 书写规则时的几个注意点
  • 防火墙规则优化实战示例

(六)如何保存写好的防火墙规则(掌握)

  • 保存规则的方法
  • 让内核加载写好的规则
  • 如果自动生效规则文件中的规则

(七)如何搭建网络防火墙(掌握)


(八)另外几个规则处理动作(了解)

  • LOG
  • RETURN
  • REDIRECT

(九)NAT(掌握)

前言1:通过路由功能使得报文在非本地局域网内通信时,报文到达时,显示的是报文的原始IP地址。在正常路由模型下,报文外封装一个http首部,再封装一个TCP首部(主要是源端口和目标端口),再封装一个IP首部(主要是源IP和目标IP),如果需要路由转发,会在外面封装一个Mac地址(源Mac和目标Mac),那么整个路由的过程就是一个Mac地址解封装的过程,知道最后一个目标Mac的主机,发现目标IP是自己,目标端口也是自己,因此,拆包之后,源端口和目标端口以及源IP和目标IP都不变,这就是路由的地址转换模型
前言2 :整个互联网就是通过一个一个的公网地址组成的局域网通过层层路由器连接而成的,那么一个私网的IP访问公网的IP时,可以通过层层的路由器到达公网的IP上,一定会有网关将其转发到公网上的,其网关一定有一个接口是公网地址,但是公网的IP响应私网的IP是不会进行公网的路由的,公网IP只会其内部的局域网寻找这台私网的IP主机,如果找不到就会丢弃的,那么私网的客户端就无法获得公网响应的报文。那么如果解决这个问题呢?由于私网IP的网关一定有一个接口是公网地址,那么在离公网最近的网关上把报文的原地址改为公网接口的地址,而目标地址不变,因此在目标主机收到报文的时候发现原地址是公网地址,因此可以通过路由转发出去,目标IP就会响应给公网地址,而不会私网地址,在响应报文到达公网地址的时候(进入公网的网关)会将响应报文里面的目标地址改为私网的地址,原地址不变,响应给私网地址。这就实现了私网地址可以访问公网了,这就是SNAT,原地址转换
前言3:如果客户端请求访问的是本地的服务器,那么在客户端与本地服务器之间需要通过目标地址转换,来隐藏本地服务器地址,当客户端访问本地主机的时候,并不是直接访问本地主机的,请求报文中的源IP为客户端IP,目标IP为一个公网的IP,这个公网IP的主机上还会有一个私网的IP,私网的IP就通过nat机制,将目标地址改为了服务器的IP地址。那么当服务器接到请求之后,就会将响应报文的原地址为服务器自己的地址,目标地址为外网防火墙主机的地址,当报文到达公网的网关后,网关就会发现这是改过的地址,将报文的原地址改为网关自己的地址,目标地址为客户端地址,就是现实了本地主机的地址的隐藏,那么这一台公网地址转发的服务器就是负载均衡器,这就是DNAT,目标地址转换


  • SNAT:source NAT
  • DNAT:destination NAT
  • 实现SNAT规则
  • 实现MASQUERADE

小结:SNAT和MASQUERADE都是实现了内网的客户端可以上网,访问公网的主机,如果关闭的话,内网客户端的请求到达了公网IP也不会被路由回来了,因为公网的路由不会转发目标地址是私网的报文

  • 实现DNAT规则