几个关于防火墙的问题

kunlunsnow

1.一个B类子网通过防火墙做NAT访问Internet，现在考虑内网主机访问外网的情况，防火墙在做NAT时，需要将内网主机的地址/端口转换为外网的地址/端口，如果防火墙只有一个公网地址，那么所有的内网对外网的访问都只能通过这个地址访问外网了，这时只能通过端口来区别内网的主机。而NAT使用的端口范围为1024——65535，当内网中主机较多，在访问的高峰期，是否会出现端口不够用而将部分访问阻断的情况？\r\n\r\n2.防火墙在透明模式下工作时，它的作用相当于一个网桥，而网桥是一个二层设备，只在链路层对数据包进行处理就将其转发了，而包过滤是在网络层实现的。要使防火墙在透明模式下对数据包进行包过滤，必须使数据包经过网络层的处理，这是否意味着防火墙在透明模式下工作时，它是一个“伪网桥”，不仅要进行链路层的处理，还要进行网络层的处理，而不是一个纯粹的网桥。\r\n\r\n3.对于/proc/sys/net/ipv4/ip_forward选项，防火墙在路由模式和NAT模式下，是否一定要设置为1，在透明模式下呢？\r\n\r\n对这几个问题有点困惑，请高手多多指教！谢了先。

zhangzzs

这些是不是都是linux下面的IPTABLES呀?这些我都不懂.

拔剑出鞘

1:可以利用防火墙的双向NAT功能.现在的防火墙基本上都有这样的功能了.2:其实通明模式还是要对包进行处理的.要不他怎么可以进行访问控制呢!如果是抓包处理的方式的话.就只能分析了而不能做处理了.所以你的伪网桥这样理解也是对的.3:这个问题你可以问大鹰了.不过在防火墙里调试你也用不用知道这么细.因为可以在界面里调试的;

bingocn

[quote]原帖由 \"kunlunsnow\"]1.一个B类子网通过防火墙做NAT访问Internet，现在考虑内网主机访问外网的情况，防火墙在做NAT时，需要将内网主机的地址/端口转换为外网的地址/端口，如果防火墙只有一个公网地址，那么所有的内网对外网的访问都只能?.........[/quote 发表：\n\r\n\r\n1/2/3你理解的都对，对于3，透明模式下应该也设成1。

springwind

关于1的结果我是觉得nat对数据包响应一般有个timeout的时间，这个时间决定了发出的包在timeout的时间内是否被响应，若是没有回包，则会把这个分配的端口重新分配。而高峰的时间出现的问题，我个人认为可能性不大

gentoo

防火墙在透明模式--网桥，ebtables\r\n/proc/sys/net/ipv4/ip_forward 不需要为1。

t920

其实第一个问题在实际中出现的机会应该不大。\r\n\r\n假设平均每个客户端请求开100个端口，那大概应该有500－600个点的网络，甚至更大。\r\n\r\n这样的网络怎么说也要做个nat池吧！！

kunlunsnow

[gentoo写到]防火墙在透明模式--网桥，ebtables \r\n/proc/sys/net/ipv4/ip_forward 不需要为1。[/quote]\r\n能否说一下原因。在NAT模式下，如果ip_forward值设为0，我试过试肯定不行的。为什么在桥模式下可以呢？[/quote]