免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3462 | 回复: 7
打印 上一主题 下一主题

几个关于防火墙的问题 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2004-06-09 15:29 |只看该作者 |倒序浏览
1.一个B类子网通过防火墙做NAT访问Internet,现在考虑内网主机访问外网的情况,防火墙在做NAT时,需要将内网主机的地址/端口转换为外网的地址/端口,如果防火墙只有一个公网地址,那么所有的内网对外网的访问都只能通过这个地址访问外网了,这时只能通过端口来区别内网的主机。而NAT使用的端口范围为1024——65535,当内网中主机较多,在访问的高峰期,是否会出现端口不够用而将部分访问阻断的情况?\r\n\r\n2.防火墙在透明模式下工作时,它的作用相当于一个网桥,而网桥是一个二层设备,只在链路层对数据包进行处理就将其转发了,而包过滤是在网络层实现的。要使防火墙在透明模式下对数据包进行包过滤,必须使数据包经过网络层的处理,这是否意味着防火墙在透明模式下工作时,它是一个“伪网桥”,不仅要进行链路层的处理,还要进行网络层的处理,而不是一个纯粹的网桥。\r\n\r\n3.对于/proc/sys/net/ipv4/ip_forward选项,防火墙在路由模式和NAT模式下,是否一定要设置为1,在透明模式下呢?\r\n\r\n对这几个问题有点困惑,请高手多多指教!谢了先。

论坛徽章:
0
2 [报告]
发表于 2004-06-09 16:16 |只看该作者

几个关于防火墙的问题

这些是不是都是linux下面的IPTABLES呀?这些我都不懂.

论坛徽章:
0
3 [报告]
发表于 2004-06-10 11:37 |只看该作者

几个关于防火墙的问题

1:可以利用防火墙的双向NAT功能.现在的防火墙基本上都有这样的功能了.2:其实通明模式还是要对包进行处理的.要不他怎么可以进行访问控制呢!如果是抓包处理的方式的话.就只能分析了而不能做处理了.所以你的伪网桥这样理解也是对的.3:这个问题你可以问大鹰了.不过在防火墙里调试你也用不用知道这么细.因为可以在界面里调试的;

论坛徽章:
0
4 [报告]
发表于 2004-06-10 12:47 |只看该作者

几个关于防火墙的问题

[quote]原帖由 \"kunlunsnow\"]1.一个B类子网通过防火墙做NAT访问Internet,现在考虑内网主机访问外网的情况,防火墙在做NAT时,需要将内网主机的地址/端口转换为外网的地址/端口,如果防火墙只有一个公网地址,那么所有的内网对外网的访问都只能?.........[/quote 发表:\n\r\n\r\n1/2/3你理解的都对,对于3,透明模式下应该也设成1。

论坛徽章:
0
5 [报告]
发表于 2004-06-11 01:34 |只看该作者

几个关于防火墙的问题

关于1的结果我是觉得nat对数据包响应一般有个timeout的时间,这个时间决定了发出的包在timeout的时间内是否被响应,若是没有回包,则会把这个分配的端口重新分配。而高峰的时间出现的问题,我个人认为可能性不大

论坛徽章:
0
6 [报告]
发表于 2004-06-11 09:04 |只看该作者

几个关于防火墙的问题

防火墙在透明模式--网桥,ebtables\r\n/proc/sys/net/ipv4/ip_forward 不需要为1。

论坛徽章:
0
7 [报告]
发表于 2004-06-11 09:40 |只看该作者

几个关于防火墙的问题

其实第一个问题在实际中出现的机会应该不大。\r\n\r\n假设平均每个客户端请求开100个端口,那大概应该有500-600个点的网络,甚至更大。\r\n\r\n这样的网络怎么说也要做个nat池吧!!

论坛徽章:
0
8 [报告]
发表于 2004-06-14 16:41 |只看该作者

几个关于防火墙的问题

[gentoo写到]防火墙在透明模式--网桥,ebtables \r\n/proc/sys/net/ipv4/ip_forward 不需要为1。[/quote]\r\n能否说一下原因。在NAT模式下,如果ip_forward值设为0,我试过试肯定不行的。为什么在桥模式下可以呢?[/quote]
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP