幾個(gè)關(guān)于防火墻的問(wèn)題

kunlunsnow

1.一個(gè)B類子網(wǎng)通過(guò)防火墻做NAT訪問(wèn)Internet，現(xiàn)在考慮內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)的情況，防火墻在做NAT時(shí)，需要將內(nèi)網(wǎng)主機(jī)的地址/端口轉(zhuǎn)換為外網(wǎng)的地址/端口，如果防火墻只有一個(gè)公網(wǎng)地址，那么所有的內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問(wèn)都只能通過(guò)這個(gè)地址訪問(wèn)外網(wǎng)了，這時(shí)只能通過(guò)端口來(lái)區(qū)別內(nèi)網(wǎng)的主機(jī)。而NAT使用的端口范圍為1024——65535，當(dāng)內(nèi)網(wǎng)中主機(jī)較多，在訪問(wèn)的高峰期，是否會(huì)出現(xiàn)端口不夠用而將部分訪問(wèn)阻斷的情況？\r\n\r\n2.防火墻在透明模式下工作時(shí)，它的作用相當(dāng)于一個(gè)網(wǎng)橋，而網(wǎng)橋是一個(gè)二層設(shè)備，只在鏈路層對(duì)數(shù)據(jù)包進(jìn)行處理就將其轉(zhuǎn)發(fā)了，而包過(guò)濾是在網(wǎng)絡(luò)層實(shí)現(xiàn)的。要使防火墻在透明模式下對(duì)數(shù)據(jù)包進(jìn)行包過(guò)濾，必須使數(shù)據(jù)包經(jīng)過(guò)網(wǎng)絡(luò)層的處理，這是否意味著防火墻在透明模式下工作時(shí)，它是一個(gè)“偽網(wǎng)橋”，不僅要進(jìn)行鏈路層的處理，還要進(jìn)行網(wǎng)絡(luò)層的處理，而不是一個(gè)純粹的網(wǎng)橋。\r\n\r\n3.對(duì)于/proc/sys/net/ipv4/ip_forward選項(xiàng)，防火墻在路由模式和NAT模式下，是否一定要設(shè)置為1，在透明模式下呢？\r\n\r\n對(duì)這幾個(gè)問(wèn)題有點(diǎn)困惑，請(qǐng)高手多多指教！謝了先。

zhangzzs

這些是不是都是linux下面的IPTABLES呀?這些我都不懂.

拔劍出鞘

1:可以利用防火墻的雙向NAT功能.現(xiàn)在的防火墻基本上都有這樣的功能了.2:其實(shí)通明模式還是要對(duì)包進(jìn)行處理的.要不他怎么可以進(jìn)行訪問(wèn)控制呢!如果是抓包處理的方式的話.就只能分析了而不能做處理了.所以你的偽網(wǎng)橋這樣理解也是對(duì)的.3:這個(gè)問(wèn)題你可以問(wèn)大鷹了.不過(guò)在防火墻里調(diào)試你也用不用知道這么細(xì).因?yàn)榭梢栽诮缑胬镎{(diào)試的;

bingocn

[quote]原帖由 \"kunlunsnow\"]1.一個(gè)B類子網(wǎng)通過(guò)防火墻做NAT訪問(wèn)Internet，現(xiàn)在考慮內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)的情況，防火墻在做NAT時(shí)，需要將內(nèi)網(wǎng)主機(jī)的地址/端口轉(zhuǎn)換為外網(wǎng)的地址/端口，如果防火墻只有一個(gè)公網(wǎng)地址，那么所有的內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問(wèn)都只能?.........[/quote 發(fā)表：\n\r\n\r\n1/2/3你理解的都對(duì)，對(duì)于3，透明模式下應(yīng)該也設(shè)成1。

springwind

關(guān)于1的結(jié)果我是覺(jué)得nat對(duì)數(shù)據(jù)包響應(yīng)一般有個(gè)timeout的時(shí)間，這個(gè)時(shí)間決定了發(fā)出的包在timeout的時(shí)間內(nèi)是否被響應(yīng)，若是沒(méi)有回包，則會(huì)把這個(gè)分配的端口重新分配。而高峰的時(shí)間出現(xiàn)的問(wèn)題，我個(gè)人認(rèn)為可能性不大

gentoo

防火墻在透明模式--網(wǎng)橋，ebtables\r\n/proc/sys/net/ipv4/ip_forward 不需要為1。

t920

其實(shí)第一個(gè)問(wèn)題在實(shí)際中出現(xiàn)的機(jī)會(huì)應(yīng)該不大。\r\n\r\n假設(shè)平均每個(gè)客戶端請(qǐng)求開(kāi)100個(gè)端口，那大概應(yīng)該有500－600個(gè)點(diǎn)的網(wǎng)絡(luò)，甚至更大。\r\n\r\n這樣的網(wǎng)絡(luò)怎么說(shuō)也要做個(gè)nat池吧��！

kunlunsnow

[gentoo寫(xiě)到]防火墻在透明模式--網(wǎng)橋，ebtables \r\n/proc/sys/net/ipv4/ip_forward 不需要為1。[/quote]\r\n能否說(shuō)一下原因。在NAT模式下，如果ip_forward值設(shè)為0，我試過(guò)試肯定不行的。為什么在橋模式下可以呢？[/quote]