科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Linux下的NAT及防火墙的混合应用(5)

Linux下的NAT及防火墙的混合应用(5)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

主要讲述Linux系统下的NAT(网络地址转换)和基于NAT的防火墙技术。首先由Linux系统的安装引入,着重介绍LINUX下的NAT的网络配置(服务端和客户端),以及防火墙配置原则。

作者:51CTO.COM 2007年11月8日

关键字: 防火墙 redhat Linux NAT

  • 评论
  • 分享微博
  • 分享邮件

  iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 -d 192.168.0.2/32 -j SNAT -to 192.168.0.1

  语句解释:当192.168.0.1-255这个范围的ip访问192.168.0.2这个ip的时候,当数据包离开的时候修改源ip地址为 192.168.0.1,这相当于在局域网内部,又作了一次NAT转换。局域网内部通过192.168.0.1作为转发,而不是直接进行通信,这就避免了无法访问局域网内部ip的情况。

  目前,nat的功能就已经实现,但是并没有对包进行过滤。

  三.网络攻击和防火墙

  3.1什么事网络攻击

  当混乱的Internet和你良好的、有序的Linux服务器网络之间进行连接时,你最好能知道哪些东西可以进入你的大门。这就需要制定包过滤策略,既然是包过滤,肯定是要过滤掉那些对网络有害的或者是无用的包,但哪些包是有害的呢?我们既然是在防守,不妨听听敌人的想法。

  作为一个老练的入侵者,他并不会盲目的展开攻击和入侵,他首先会确定自己的目标,当然,确定目标的方法有2种,一是根据个人的好恶或审美观点确定目标,二是根据广义扫描器(反馈结果简单,但是速度很快的扫描器)的反馈结果,选择整体安全性不高的网络作为攻击目标。

  接下来要做的就是了解这个网络服务器,就象和人交往一样,你对那个人越了解,就越清楚那个人的弱点,从而你对它的伤害就越致命。对人的了解通过交谈,对服务器的了解要通过扫描;首先要确定的是这台服务器都开有什么服务,这很简单,通过tcp协议的3次握手:

  1. 当请求端对要扫描的服务器端口送一个包含SYN标志的TCP报文,这个报文指明客户端使用的端口以及TCP连接的初始端口。

  2.服务器在接受到客户端的SYN包问候,假如客户端请求连接的端口存在,则返回一个SYN+ACK的报文,表示客户端的请求被接受。同时TCP序号被加一。那么扫描器接受到SYN+ACK报文后,会向入侵者报告,扫描的这个端口是打开的,从而使入侵者判断这是什么服务。

  3. 客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。

  4. 假如服务器的这个端口不存在,或者没有返回SYN+ACK报文,则扫描端发出一个FIN标志报文,撤销这个TCP连接。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章