Linux系统运维的防火墙（二）

　　为了史好地提高内部网络安全性,可以采用络地址转换技术。与外,P地的不足使多用户使用私有P地来搭建络,私有网络中的IP地址应遵循RFC1597中为私有网络分配的地址,其范国为10.0.0.0-16.255.255255、172.16.0.0-172.16.255255成192.16800-192168.255255,而使用私有地址不能直接与Intetnet互联。为了使这样的网络能够访问Internet,可以用地址转换技术解决这一问题。

　　网络地址转換将一个成一组IP地址转为另一个成一组IP地址,转换内网或者外的P地止。由络地址的缺乏和出于安全等国素的考,许多内部网络使用私有IP地址建立,在与Internet互联时,通过带有NAT功能的路由器或防火墙,实现私有IP与合法IP地址的转换,对外表现为合法的P地比,NAT表的主要用处是网络地址转换。

　　其实信息包在在NAT表中的穿越过程,即实现原理。轴出(DNATY由器NA)处che(轴出信息包在NAT表中的穿越过程做过NAT操作的数据包的地址就被改变,当然这种改变是根据规则进行的,属于一个流的包只会经过这个表一次。

　　如果第1个包被允许执行NAT或Masqueraded,那么余下的包都会自动地执行相同的操作。即余下的包不会再通过这个表,一个一个地被NAT,而是自动完成,这就是为什么不应该在这个表中做任何过滤的主要原因。

　　PREROUTING链的作用是在包刚刚到达防火墙时改变其目的地址,如果需要,OUTPUT链改变本地产生的包的目的地址。POSTROUTING链在包就要离开防火墙之前改变其源地址,此表仅用于NAT,即转换包的源或目标地址。

　　注意,只有流的第1个包会被这个链匹配。其后的包会自动被做相同的处理,实际的操作分为DNAT、SNAT和MASQUERADE。DNAT操作主要用于一个合法的P地址,要把对防火墙的访问重定向到其他的机器。

　　小编结语：改变的是目的地址,以使包能重路由到某台主机（计算机）。SNAT改变包的源地址,这在极大程度上可以隐藏本地网各或者DM1Z等。一个很好的例子是用户知道防火墙的外部地址,但必须用这个地址替换本地屑络地址。有了这个操作,防火墙就能自动地对包做SNAT和De-SNAT(反向的SNAT),以使LAN能连接到Intemet.如果使用类似192.168.0.024这样的地址,不会从Internet得到任何回应。