摘要:
Source NAT(SNAT)的主要應用,是让同一內部網路上的多部主机,可共用同一条Internet实体连線.直接与Internet相连的闸道器,可使用SNAT(搭配连線追蹤)来来改写內部网络与Internet之间的来往封包的来源位址。出境封包的来源位址,会被改成闸遭器在Internet端的固定I 阅读全文
摘要:
当封包流经NAT電腦時,其位址/通訊端口會被修改,以達到改变包目的地(或旅程),或是让目的地误以为包是源自NAT电脑的效果。換言之,对封包执行NAT的电脑,可以成为新包的来源或目的地,或是成为真正来源与目的地之间的中继站。 ***************************** 警告: NAT需 阅读全文
摘要:
对於每一条规则,核心各自设置两个专属的计数器,用于累计符合该条件的封包数,以及这些封包的总位元组数。这两项资讯可用於统计网路用量。 举例来說,假设有一台Internet闸道器路,eth0接内部网络,eth1接Internet;使用下列规则可使其核心自动累计内外网路所交換的封包数与资料量: iptab 阅读全文
摘要:
「负戴平衡」的作用是将连線平均分散给一组伺服器,以充分利用资源。最简单的作法是利用「通讯端口转接」技术,使其以循环顺序选择目的地位址。 设定iptables的组态 各家Linux系统的iptables组态设定程序都不太一样,本节提供通用的作法,以及Red Hat 特有的设定方法。 「规则」的储存与回 阅读全文
摘要:
「偽装」是一种特殊的SNAT操作:将来自其它电脑的包的来源位址改成自己的位址:请注意,由於入替的来源位址是自动決定的(执行SNAT的主机的IP位址)。所以,如果它改变了,仍在持续中的旧连線将会失效。「偽装」的主要用途是让多部使用private Ip的电脑(通常是透过DHCP动态取得)可以共用同一个p 阅读全文
摘要:
是一种特殊的DNAT操作,其作用是让一部电脑(通常是防火牆)担任其它电脑的代理伺服器(proxy)。防火牆接收外界网络接传给它自己的包,然后改写包的目的地位址或目的端口,使其像是要送到內部网路其它电脑的樣子,然后才修改好的包送往新目的地。此外,来自內部网路的相关回复包,也会被防火牆改写成像是从防火牆 阅读全文
摘要:
NAT是一种涉及修改来源位址,目的地位址、来源端口、目的地端口之特殊「包修改」。对於只修改来源位址/通讯端口的操作,称为「Source NAT」(或简称为S-NAT或SN AT);若只修改目的地位址/通讯端口,则称为「Destination NAT」(或简称为D-NAT或DNAT)。某些形式的NAT 阅读全文
摘要:
「连線追蹤」:提供可用於判断包相关性的额外资讯。举例来說,一次FTP session同时需要两条分离的连線,控制与资料传输各一;用於追蹤FTP连線的扩充模组,运用对於FTP恊定的认知,从控制连線上流动的封包资料中,分析出足以便识资料连線的资讯(於何时建立、双方所用的TCP port),然后将查出的资 阅读全文
摘要:
iptables可让你设置多种过滤条件,但是某些条件需要核心有提供相关功能才行。Iptables本身內建一般性的Internet Protocol (IP) 过滤条件,也就是說,即时沒载入任何扩充模组,你也可以用IP包标头的「传输协定类型」、「来源位址」、「目的地位址」等栏位为过滤条件。关於一般性的 阅读全文
摘要:
iptables的每一条规则(rule),都是由两部分组成的,第一部分包含一或多个「过滤条件」其作用是检查包是否符合处理条件(所有条件都必须成立才算数) ;第而部分称为「目标」,用於決定如何处置符合条件的包。 对於每一条规则,iptables各维护两个计数器:一个计算符合条件的封包数,称为packe 阅读全文