13.防火墙工作机制&三表五链&源地址转换&目的地址转换

最新推荐文章于 2023-10-08 14:45:09 发布
最新推荐文章于 2023-10-08 14:45:09 发布
阅读量922 收藏
点赞数
分类专栏: RHCE 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sheena_/article/details/99697445
版权

1.防火墙工作机制

  • 防火墙就是位于外网和内网之间的一组软硬件部件的组合,是内核的一个插件。
  • 其目的主要是想保护内网的安全和内外网之间数据的流通性,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。

防火墙有两种管理方式:
(1)iptables:更接近数据的原始操作,精度更高

(2)firewalld:更易操作
在这里插入图片描述

2.四表五链

(1)filter:过滤,防火墙
(2)nat :network address translation 网络地址转换
(3)mangle:拆解报文,作出修改,封装报文

PREROUTING 数据包进入路由之前
INPUT 目的地址为本机
FORWARD 实现转发
OUTPUT 原地址为本机,向外发送

(4)raw: 关闭nat表上启用的链接追踪机制

3.源地址转换

地址伪装(SNAT)
SNAT:源地址转换

内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。

4.目的地址转换

端口转发(DNAT)
DNAT:目的地址转换

当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。
我要变蘑菇了_o
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables命令使用详解
a1809032425的博客
10-13 1万+
iptables命令使用详解 参考链接:iptables命令使用详解 - Vathe - 博客园 iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 环境 操作系统:CentOS7.3 ip地址:172.16.55.7 1.iptables中的“四五链”及“堵通策略” A.“四”是指,iptables的功能——filter, nat, mangle, raw.     fi
防火墙原理
天上掉馅饼
12-03 1506
防火墙笔记
如何配置防火墙?看这篇就够了
SPOTO2021的博客
10-08 1296
例如,一个企业按图 1-3 划分防火墙的安全区域,内网接口加入 trust 安全区域,外网接口加入 untrust 安全区域,服务器区接口加入 dmz 安全区域,另外为访客区自定义名称为 guest 的安全区域。反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置 local 到其他安全区域的安全策略。另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel 接口等,这些逻辑接口在使用时也需要加入安全区域。
iptables实现网口数据转发
chaty_chu的博客
05-24 5125
当wifi的数据想通过运营商网络访问外网时,需要将wifi的数据转发到运营商网络的网卡上。需要在主机上打开 ip 转发以保持连接通道。查看是否已打开 ip 转发(1 示打开):cat /proc/sys/net/ipv4/ip_forward如果未打开,则用以下命令打开:echo 1 > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A PO...
防火墙和NAT基础学习
留下虚度光阴的一些证据。
08-16 2778
华为防火墙基础学习和NAT基础学习
防火墙的目标地址转换地址转换
萌兔兔MMQ!!
08-05 3020
由于是同一网段,所以两个网关是一样的。因为内网1 的请求数据在通过防火墙时, 用户地址(内网1 IP)会被转换防火墙/网关IP, 返回数据包也就会发往防火墙/网关IP,再被防火墙转换发回 内网1, 不存在内网1 和内网6 的直接对话, TCP 数据包也能对应上,访问就没有问题了。从另外一个角度看,外网访问做双向地址转换虽然可行,但有一个缺点, 就是数据包到达内网服务器时,外网用户IP 被转换成了防火墙/网关IP, 这样内网中的应用程序就无法获取外网用户的真实IP了, 只能看到请求来自防火墙/网关IP。..
Nat网络地址转换
程序猿阿蛮
09-18 5113
IP 地址中预留了 3 个私有地址网段,在私有网络内,可以任意使用。 其余的 IP 地址可以在互联网上使用,由 IANA 统一管理,称为公网地址。 NAT 解决了 IPv4 地址不够用的问题,另外 NAT 屏蔽了私网用户真实地址,提高了私网用户的安全性。 典型的 NAT 组网模型,网络通常是被划分为私网和公网两部分,各自使用独立的地址空间。私网使用私有地址 10.0.0.0/24 ,而公网使用公网地址。为了让主机 A 和 B 访问互联网上的服务器 Server ,需要在网络边界部署一台 NAT 设备用于
5.防火墙网络地址转换-NAT.pdf
09-02
防火墙
深信服防火墙地址转换.ppt
02-17
深信服防火墙地址转换.ppt
山石防火墙目的NAT配置举例.docx
08-31
山石防火墙目的NAT配置举例
TPLink路由器配置LAN口的地址转换(NAPT)
最新发布
03-06
TPLink路由器的地址转换(NAPT)默认自动生成的是Lan到Wan的地址转换,用于 LAN用户上网。在某些特殊用途下,需要做从LAN接口出去的访问,将地址转换为LAN接口地址。这在防火墙中,可能就是在接口上配一条nat ...
NatTypeTester.rar
08-13
在计算机网络中,网络地址转换(Network Address Translation,缩写为NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写来IP地址目的IP地址的技术。这种技术被...
iptables 详解(NAT)
changexhao的专栏
10-24 5689
前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
iptables nat
macob的专栏
08-06 433
iptables nat
iptables 报错 MASQUERADE':No such file or directory
justgg的专栏
10-31 3628
执行命令: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 报: Couldn't load target `MASQUERADE':No such file or directory 添加环境变量: export XTABLES_LIBDIR=/lib/xtables
centos7 下虚拟机上网设置
weixin_32403585的博客
04-10 95
物理机执行: [root@localhost ~]# sysctl -w net.ipv4.ip_forward=1 net.ipv4.ip_forward = 1 [root@localhost ~]# iptables -t nat -A POSTROUTING -j MASQUERADE 虚拟机执行: [root@test5 ~]# route add default gw 172.25.2...
linux nat
04-27 237
(一)Iptables 的使用语法在使用iptables的NAT功能时,我们必须在每一条规则中使用"-t nat"显示的指明使用nat。然后使用以下的选项::1. 对规则的操作加入(append) 一个新规则到一个链 (-A)的最后。在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。在链内某个位置替换(replace) 一条规则 (-R)。在链内某个位置删...
iptables防火墙
看清所以看轻
08-06 197
实验要求:通过Linux主机防火墙实现公司内部主机访问互联网,发布公司内部服务器 实验步骤: 在配置SNAT和DNAT是要注意和FORWARD、INPUT规则的配合 一、SNAT策略及应用 SNAT策略的典型应用环境: 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理: 地址转换,Source Network Address Translation 修改数据包的地址 实...
2.网络桥接Bridge及ping不通时如何解决
我要变蘑菇了_o的博客
08-05 6654
ifcfg-br0 ifcfg-enp0s25 Enter —> System enp0s25—真实的物理网卡 桥接和nm-connectin-editor的区别 NAT=network address transform 网络地址转换(应用于不在同一网段的主机间) SNAT=source network address transform 网络地址转换 DNAT=distination ...
iptables 三五链
04-01
其中,PREROUTING链用于在数据包到达本地主机之前修改数据包的目标地址,POSTROUTING链用于在数据包离开本地主机之后修改数据包的地址和目标地址,OUTPUT链用于修改本地主机发出的数据包的地址和目标地址。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值