幾個關(guān)于防火墻的問題

kunlunsnow

1.一個B類子網(wǎng)通過防火墻做NAT訪問Internet，現(xiàn)在考慮內(nèi)網(wǎng)主機訪問外網(wǎng)的情況，防火墻在做NAT時，需要將內(nèi)網(wǎng)主機的地址/端口轉(zhuǎn)換為外網(wǎng)的地址/端口，如果防火墻只有一個公網(wǎng)地址，那么所有的內(nèi)網(wǎng)對外網(wǎng)的訪問都只能通過這個地址訪問外網(wǎng)了，這時只能通過端口來區(qū)別內(nèi)網(wǎng)的主機。而NAT使用的端口范圍為1024——65535，當內(nèi)網(wǎng)中主機較多，在訪問的高峰期，是否會出現(xiàn)端口不夠用而將部分訪問阻斷的情況？

2.防火墻在透明模式下工作時，它的作用相當于一個網(wǎng)橋，而網(wǎng)橋是一個二層設(shè)備，只在鏈路層對數(shù)據(jù)包進行處理就將其轉(zhuǎn)發(fā)了，而包過濾是在網(wǎng)絡(luò)層實現(xiàn)的。要使防火墻在透明模式下對數(shù)據(jù)包進行包過濾，必須使數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)層的處理，這是否意味著防火墻在透明模式下工作時，它是一個“偽網(wǎng)橋”，不僅要進行鏈路層的處理，還要進行網(wǎng)絡(luò)層的處理，而不是一個純粹的網(wǎng)橋。

3.對于/proc/sys/net/ipv4/ip_forward選項，防火墻在路由模式和NAT模式下，是否一定要設(shè)置為1，在透明模式下呢？

對這幾個問題有點困惑，請高手多多指教！謝了先。

zhangzzs

這些是不是都是linux下面的IPTABLES呀?這些我都不懂.

拔劍出鞘

1:可以利用防火墻的雙向NAT功能.現(xiàn)在的防火墻基本上都有這樣的功能了.2:其實通明模式還是要對包進行處理的.要不他怎么可以進行訪問控制呢!如果是抓包處理的方式的話.就只能分析了而不能做處理了.所以你的偽網(wǎng)橋這樣理解也是對的.3:這個問題你可以問大鷹了.不過在防火墻里調(diào)試你也用不用知道這么細.因為可以在界面里調(diào)試的;

bingocn

[quote]原帖由 "kunlunsnow"]1.一個B類子網(wǎng)通過防火墻做NAT訪問Internet，現(xiàn)在考慮內(nèi)網(wǎng)主機訪問外網(wǎng)的情況，防火墻在做NAT時，需要將內(nèi)網(wǎng)主機的地址/端口轉(zhuǎn)換為外網(wǎng)的地址/端口，如果防火墻只有一個公網(wǎng)地址，那么所有的內(nèi)網(wǎng)對外網(wǎng)的訪問都只能?.........[/quote 發(fā)表：


1/2/3你理解的都對，對于3，透明模式下應(yīng)該也設(shè)成1。

springwind

關(guān)于1的結(jié)果我是覺得nat對數(shù)據(jù)包響應(yīng)一般有個timeout的時間，這個時間決定了發(fā)出的包在timeout的時間內(nèi)是否被響應(yīng)，若是沒有回包，則會把這個分配的端口重新分配。而高峰的時間出現(xiàn)的問題，我個人認為可能性不大

gentoo

防火墻在透明模式--網(wǎng)橋，ebtables
/proc/sys/net/ipv4/ip_forward 不需要為1。

t920

其實第一個問題在實際中出現(xiàn)的機會應(yīng)該不大。

假設(shè)平均每個客戶端請求開100個端口，那大概應(yīng)該有500－600個點的網(wǎng)絡(luò)，甚至更大。

這樣的網(wǎng)絡(luò)怎么說也要做個nat池吧��！

kunlunsnow

[gentoo寫到]防火墻在透明模式--網(wǎng)橋，ebtables
/proc/sys/net/ipv4/ip_forward 不需要為1。[/quote]
能否說一下原因。在NAT模式下，如果ip_forward值設(shè)為0，我試過試肯定不行的。為什么在橋模式下可以呢？[/quote]