Назад | Перейти на главную страницу

Брандмауэры: в чем разница между политикой, NAT и маршрутами?

Изучаю fwbuilder и фаерволы в целом. Я не понимаю различий между политикой, NAT и маршрутами. Все они кажутся просто способами указать данным, куда идти, в зависимости от того, что это такое и откуда они берутся.

В чем разница? Использует ли правильно настроенный брандмауэр все три (политика, NAT и маршруты) или это всего лишь три разных способа достижения одного и того же, и вам нужен только один из них?

Не знаком с fwbuilder, но все они имеют более конкретное значение в сети, вот как я бы определил их в общих чертах:

NAT и PAT:
Изменяет IP-адрес назначения или источника и / или порты в TCP / UDP. Чаще всего используется, чтобы несколько человек могли использовать общедоступный IP-адрес или сопоставить общедоступные IP-адреса с частными IP-адресами для служб.

Политика:
Что делать с пакетами, отвечающими определенным требованиям, основанным на всевозможных свойствах на различных уровнях сети. Например, отбросьте их или отправьте ICMP-сообщение запрашивающей стороне о закрытии. Здесь основное использование - безопасность для защиты вашей сети.

IP-маршруты:
Решите, какой интерфейс отправлять трафик в зависимости от IP-адреса назначения (или, возможно, более сложных вещей, когда вы говорите о маршрутизации на основе политик). Смысл здесь в том, что так работают Интернет и большинство крупных компьютерных сетей и на более высоких уровнях. Как правило, NAT выполняется до маршрутизации, поэтому пакет изменяется с помощью NAT, а затем маршрутизируется в соответствии с результатом.

Общие и частные:
Ваше обобщение «способов сообщить данным, куда идти в зависимости от того, что это такое и откуда они поступают» - это примерно то, что есть «сеть». Чтобы поднять это на более высокий уровень, для меня это почти как сказать: «Почему существуют все эти компьютерные слова, когда все, что они делают, это перемещают и манипулируют данными» :-) Все эти термины являются специфическими аспектами сети, которые могут быть постоянными призвание.

Политика, NAT, и Маршрутизация являются условиями fwbuilder.

Политика эквивалентно iptables filter таблица, состоящая из цепочек INPUT, FORWARD и OUTPUT. Это просто решает, каким пакетам разрешено проходить через брандмауэр.

NAT эквивалентно iptables nat таблица, состоящая из цепочек PREROUTING, POSTROUTING и OUTPUT. Это выполняет сортировку (DNAT) и рассредоточение (SNAT) потоков пакетов.

Маршрутизация не имеет эквивалента в iptables. Он используется для таблиц маршрутизации некоторых маршрутизаторов (в основном Cisco).

fwbuilder не имеет эквивалента iptables mangle table, который используется для выполнения всевозможных трюков с глупыми пакетами, для которых две другие таблицы могут не поддерживать или не подходить.