文章目录
防火墙默认策略
- 允许所有出向连接;
- 禁止所有入向连接;
- 可能有少量例外规则,例如 allowing inbound SSH。
- 防火墙会记录从自身内网出去的包,并据此识别返回的包;
- 宽松防火墙:只要看到有从 2.2.2.2:1234 出去的包,就 会允许所有从外部进入 2.2.2.2:1234 的流量;这种策略的防火墙已经非常少见了;
防火墙朝向问题
防火墙朝向相同
- 场景特点:服务端 IP 可直接访问;
- 朝外流量自由;服务端允许连接;
- 穿透方案:客户端直连服务器;客户端互联服务器,服务器转发(效率问题;并发问题)
防火墙朝向不同
- 场景特点:服务端 IP 不可直接访问;
- 朝外流量自由;服务端不允许连接;允许看起来像是响应的包进入防火墙;
- 穿透方案:
- 不能/用 配置防火墙;
- 让两端提前知道对方使用的 ip:port;1、手动配置,扩展性不好;2、信息服务器;
- 通过服务器协商好IP:port,协商好发起时间和顺序; 然后过程分3步:a:p1->b:p2(丢弃);a:p1<-b:p2(作为第一步的应答包进入a 中); a:p1->b:p2 应答包(作为第二部的应答包被接受,流量进入b中) 连接建立
非活跃连接被防火墙清理
-有状态防火墙内存通常比较有限,因此会定期清理不活跃的连接(UDP 常见的是 30s), 因此要保持连接 alive 的话需要定期通信,否则就会被防火墙关闭,为避免这个问题, 我们,要么定期向对方发包来 keepalive, 要么有某种带外方式来按需重建连接。
SANT
- SNAT 最常见的使用场景是将很多设备连接到公网,而只使用少数几个公网 IP。例如对于消费级路由器,会将所有设备的(私有) IP 地址映射为单个连接到公网的 IP 地址。
- nat-mapping 记录;
最低0.47元/天 解锁文章
514
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
