Linux下的NAT及防火墙的混合应用(5)

　　iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 -d 192.168.0.2/32 -j SNAT -to 192.168.0.1

　　语句解释：当192.168.0.1-255这个范围的ip访问192.168.0.2这个ip的时候，当数据包离开的时候修改源ip地址为 192.168.0.1，这相当于在局域网内部，又作了一次NAT转换。局域网内部通过192.168.0.1作为转发，而不是直接进行通信，这就避免了无法访问局域网内部ip的情况。

　　目前，nat的功能就已经实现，但是并没有对包进行过滤。

　　三．网络攻击和防火墙

　　3.1什么事网络攻击

　　当混乱的Internet和你良好的、有序的Linux服务器网络之间进行连接时，你最好能知道哪些东西可以进入你的大门。这就需要制定包过滤策略，既然是包过滤，肯定是要过滤掉那些对网络有害的或者是无用的包，但哪些包是有害的呢？我们既然是在防守，不妨听听敌人的想法。

　　作为一个老练的入侵者，他并不会盲目的展开攻击和入侵，他首先会确定自己的目标，当然，确定目标的方法有2种，一是根据个人的好恶或审美观点确定目标，二是根据广义扫描器（反馈结果简单，但是速度很快的扫描器）的反馈结果，选择整体安全性不高的网络作为攻击目标。

　　接下来要做的就是了解这个网络服务器，就象和人交往一样，你对那个人越了解，就越清楚那个人的弱点，从而你对它的伤害就越致命。对人的了解通过交谈，对服务器的了解要通过扫描；首先要确定的是这台服务器都开有什么服务，这很简单，通过tcp协议的3次握手：

　　1． 当请求端对要扫描的服务器端口送一个包含SYN标志的TCP报文，这个报文指明客户端使用的端口以及TCP连接的初始端口。

　　2．服务器在接受到客户端的SYN包问候，假如客户端请求连接的端口存在，则返回一个SYN+ACK的报文，表示客户端的请求被接受。同时TCP序号被加一。那么扫描器接受到SYN+ACK报文后，会向入侵者报告，扫描的这个端口是打开的，从而使入侵者判断这是什么服务。

　　3． 客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。

　　4． 假如服务器的这个端口不存在，或者没有返回SYN+ACK报文，则扫描端发出一个FIN标志报文，撤销这个TCP连接。