防火墙与NAT

最新推荐文章于 2024-05-30 10:01:38 发布
最新推荐文章于 2024-05-30 10:01:38 发布
阅读量5.7k 收藏 2
点赞数
分类专栏: Linux;系统资源 文章标签: linux 系统资源 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhang_kun28/article/details/77150112
版权
55TCP  Wrappers
    /etc/host.{allow | deny}
#如果主机写进的是 allow 就是允许的,如果是 deny 就是 被拒绝的。
当收到一个数据包的时候,首先会到allow里去匹配。如果匹配成功了,就不会到 deny里面去了。
如果没有在allow里匹配成功,就会到deny中去匹配,如果在deny中匹配成功了,就是拒绝的。
如果都没有匹配成功,则是允许通过的。
 
allow  和  deny的文件格式:
     sshd:  192.168.30.10

只有支持了TCPwarppers模块的服务才可以在 /etc/hosts.{allow | deny}中设置
格式:
     这里拿telnet说明:
daemon名:  192.168.88.70

daemon名:   192.168.88.

daemon名:   .example.com
## 名字后面冒号后必须至少有一个空格
in.telnetd:  192.168.88.70
in.telnetd:  192.168.88.
in.telnetd:  example.com

如果在 allow 中 /etc/hosts.allow
 in.telnetd:  192.168.88.70: deny
#拒绝生效 ,如果在 deny 中 :allow 则匹配允许的。

in.telnetd:  192.168.88.70: spawn echo "11111" | mail -s "test" root
## spawn 表示 : 如果匹配成功 执行后面的命令。

in.telnetd:  192.168.88.70: spawn echo "%c  access  %s" mail -s "test" root
# %c表示客户端,%s表示服务端

in.telnetd:  192.168.88.70: twist echo "22222222222222222222"
# twist:用在deny中。表示匹配失败后在客户端显示的内容。

netfileter:是内核的一个功能模块。要实现这个功能,要使用不通的软件才可以。
在2.6使用的软件是 iptables:
     iptables需要设置规则,规则是从上到下,逐条匹配,如果上一条匹配成功了,就不会匹配下面的规则了。
     防火强规则---同一个服务的规则顺序很重要。
不同的服务顺序不重要,但是,同一个服务下的规则顺序非常重要。

当防火墙想要实现过滤功能的话,要调用一张表:叫做  filter表(做过滤用),哪些数据包可以过来,哪些包是不可以进来的。
     进防火墙需要调用:INPUT (外网到防火墙)
     当防火墙自身有数据包出去时,也是过滤,需要调用:OUTPUT(防火墙到外网)

     当内网主机的数据包经过防火墙与外网进行通信时,哪些数据包可以通过,哪些数据包不可以通过,或外网到内网,这个过程调用的连是:FORWARD

     NAT表:(网络地址转换)私有地址在互联网上是不能路由的,这时候就需要做NAT了。
#当内网IP访问外方的时候,在经过防火墙的时候会将源地址改变成公网的IP地址,叫做:SNAT,(源地址转换)
使用的连是:POSTROUTING

     如果从外网访问内网的WEB,源地址是 公网地址,而WEB是内网地址,当经过防火墙的时候,防火墙会判断是80端口,从而修改源地址,将源地址修改成内网的WEB地址。叫做DNAT(目的地址转换):PREROUTING连

     只要在防火墙上做了DNAT,就会将目的地址转换成私有地址,而防火墙访问自己的共有地址的时候,是不会给自己做 DNAT的
     如果外网访问内网地址的时候,防火墙会正常做DNAT的。如果防火墙访问自己的外网地址时是不会将外网共有地址转换为私有地址的。这时候就会报错。
这时候可以给防火墙加一条OUTPUT这条连
这时候在NAT里,调用了3条连,
     1、POSTROUTING:作用:源地址转换的(内网访问外网时,将内网地址转换成外网地址)
     2、PREROUTING:作用:目的地址转换(外网访问内网时,将公网地址转换成内网地址)
     3、OUTPUT :只解决一件事情:当防火墙自己访问自己的公网地址的时候,也可以转换成私有地址。

iptables  -t   filter  -A{ I , D }   INPUT{ OUTPUT , FORWARD }  {n}  -p  tcp{ udp,icmp}   {!}-s  192.168.0.0/24   { -d }   --sport  m:n  --dport  x:y  -j  ACCEPT
     1、大括号是或:-A  或  -I  或 -D  ,  n:只有 I   D  的时候有。
     2、-t:指明表:默认filter(过滤表)
     3、指明:-A :添加一条规则 ,如果是添加是在后面追加的。
            -D:删除一条规则,跟数字:删除第几条
            -I:  插入一条规则,跟数字:插入在第几条
最低0.47元/天 解锁文章
海枯不石烂
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
nat中源IP 源MAC 目的IP 目的MAC的变化
xiangdongwang1000的博客
11-14 1万+
注意:MAC地址在同一个广播域里面不变,跨越广播域的时候发生变化,IP地址在整个网络中不发生变化,除了经过NAT除外。 NAT技术:为了解决IPV4地址匮乏,引入的机制 NAPT技术:是为了解决数据报文返回到源端,引入端口号机制,避免同一个公网地址,引起冲突,引入的机制   经过NAT之后:   源IP映射成公网地址IP   源MAC变成当前接口的MAC 并且添加端口映射,避免引起冲突
防火墙实现NAT地址转换
weixin_63543838的博客
03-24 2067
写一条服务器映射,公网地址为30.0.0.33,私网为server2的ip ,再写一条untrust to trust的策略。2、在untrust区域开启ftp服务,并且能让tryst区域访问到,即写一条策略(trust to untrust)源ip 和目的ip一起转换(源转换为30.0.0.111-30.0.0.222,目的转换为20.0.0.20)此时流量是从untruet to DMZ,已经有此策略,所以client2可以直接访问dmz的http服务。其他两个区域依次类推。6、NAT域内双向转换。
Linux firewall NAT 及 端口转发
最新发布
lizhengyu891231的博客
05-30 50
Linux firewall NAT 及 端口转发
防火墙NAT地址转换技术
weixin_65621133的博客
03-20 3542
防火墙nat地址转换技术,源NAT,Server NAT,域间双向NAT,域内双向NAT的详细配置
【总结】防火墙NAT技术
qq_46777335的博客
09-11 2211
NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。
防御保护---防火墙NAT转换
zhoutong2323的博客
01-30 1141
NAT策略配置完成后需要配置一条安全策略 ,如上图。
NAT防火墙
ZCT106165的博客
12-08 850
网络地址翻译@没文化的酒鬼 防火墙NAT NAT路由器是安装了NAT软件的路由器,拥有至少一个全球通用的外部IP。 在计算机网络中,NAT最直接的作用是IP映射:将内网终端A的IP和端口号经过NAT映射后,转成公网服务器B的IP和新端口号;当B接收到目的地终端C返回到B的应答之后,B将查找Translate Table,把C的应答转回给A。 防火墙的直接作用是数据包的过滤,拒绝一切主动请求与内网...
山石防火墙目的NAT配置举例.docx
08-31
山石防火墙目的NAT配置举例
CheckPoint防火墙Nat配置讲解
10-31
CheckPoint防火墙Nat配置讲解
防火墙 Juniper NAT配置专题
09-06
防火墙 Juniper NAT配置专题
设置Linux防火墙NAT主机相关命令文件的熟悉.pdf
11-05
设置Linux防火墙NAT主机相关命令文件的熟悉.pdf
设置Linux防火墙NAT主机相关命令文件的熟悉收集.pdf
02-08
设置Linux防火墙NAT主机相关命令文件的熟悉收集.pdf
设置Linux防火墙NAT主机相关命令文件的熟悉可用.pdf
01-23
设置Linux防火墙NAT主机相关命令文件的熟悉可用.pdf
华为防火墙基础NAT实验及配置
11-11
华为防火墙基础NAT实验及配置,包含基础配置及测试图片
防火墙NAT设置(神州数码)
04-20
很简单明了的NAT技术设置过程,估计大家都能看懂吧
五、防火墙NAT转换
weixin_45761101的博客
05-07 7611
网络地址转换原理 NAT技术的基本原理 NAT是将数据报文头中的一种地址转换成另一种ip地址的过程,主要是使用在内网地址访问公网地址,每一个NAT的设备都会有一个地址转换表,通过这个地址转换表可以实现地址转换。地址转换分为以下两种 内网网络主机IP地址和端口映射陈外网ip地址和端口 外网网络IP地址和端口映射成内网主机IP地址和端口 通常使用在内网和外网网络的交会地,常见设备有路由器、防火墙 NAT分类 NAT可以分为以下三类 静态映射(NAT Server):公网地址和私网地址一对一进行映射,用于公网用
防火墙NAT地址转换的四种应用实验与防火墙的双机热备实验
qq_68163788的博客
07-25 2643
NAT(Network Address Translation)地址转换是一种网络协议,用于将私有IP地址转换为公共IP地址,以便在互联网上进行通信。以下是四种常见的NAT地址转换场景:隐藏内部网络多对一映射,一对多映射,双向通信,防火墙双机热备是一种高可用性解决方案,通过在网络中部署两个防火墙设备,实现实时数据同步和状态同步。主防火墙负责处理网络流量和安全策略,备用防火墙处于待命状态。当主防火墙发生故障时,备用防火墙能够立即接管工作,保持网络的连通性和安全性。这种热备机制能够提供无缝切换,减少网络中断时间
防火墙NAT技术
qq_65975148的博客
03-27 674
防火墙nat

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值