一般来说,我正在学习fwbuilder和防火墙。 我不明白政策,NAT和路由之间的差异。 他们似乎只是告诉数据去哪里的方式,取决于它是什么以及它来自哪里。
真正的区别是什么? 是一个正确configuration的防火墙利用所有三个(策略,NAT和路由),或者他们只是三种不同的方式来完成相同的事情,你只需要其中之一?
不熟悉fwbuilder,但是他们在networking方面都有更多具体的含义,下面是我如何将它们定义为一般networking的顶端:
NAT和PAT:
在TCP / UDP中更改IP目标或源和/或端口。 最常见的用途是让多个人可以共享一个公共IP,或者将公共IP映射到私人服务。
政策:
基于各种networking级别的各种属性,满足一定要求的数据包有什么作用。 例如,放下它们,或发送一个ICMP消息给请求者,说它closures了。 这里的主要用途是为了保护您的networking安全。
IP路由:
根据目标IP确定将stream量发送出去的接口(或者在讨论基于策略的路由时可能更高级的东西)。 这里使用的是这个互联网和大多数主要的计算机networking如何工作和更高的层次。 通常情况下,NAT在路由之前发生,因此,数据包由NAT进行更改,然后根据结果进行路由。
一般与具体:
你的“告诉数据去哪里取决于它是什么和它来自哪里”的概括大致是“networking”的意思。 把它提升到更高的层次,对我来说,就像是说“为什么有这些计算机的话,他们所做的只是移动和操纵数据”:-)这些术语都是networking的特定方面,可以是全职的职业。
策略 , NAT和路由是fwbuilder术语。
策略等同于由INPUT,FORWARD和OUTPUT链组成的iptables filter表。 这只是决定哪些数据包可以穿越防火墙。
NAT等同于由PREROUTING,POSTROUTING和OUTPUT链组成的iptables nat表。 这是数据包stream的归类(DNAT)和散射(SNAT)。
路由没有等效的iptables。 它用于某些路由器(主要是Cisco)的路由表。
fwbuilder没有与iptables mangle表相同的function,它用来做其他两个表可能不适合或不适合的各种愚蠢的包技巧。