根据我们国情,大型局域网环境一般是用私有地址空间;所以内网与INTERNET之间的交互应该有一个NAT转换和FORWARD路由过程,假定应用场景如下:
局域网拥有私有地址段:192.168.100.0/24
局域网服务器对外提供服务:
webServer:192.168.100.251
80,
443,
22
mailServer:192.168.100.252
25
110
443
出站数据包理解为内网用户访问INTERNET,入站数据包理解为Internet用户访问内网服务器;
如果在网络边界部署一部LINUX netfilter防火墙,那出入站数据包分别以一个怎样的先后次序通过netfilter表链结构的?
我的理解是如下,希望高人指正!!
出站数据包:经过FITER表的FORWARD链和NAT表的POSTROUTING链,以实现源地址伪装;
入站数据包:经过NAT表的PREROUTING链和FILTER表的FORWARD链,以实现目标重定向。
这个流程正确吗?
--------------------next---------------------
阅读(466) | 评论(0) | 转发(0) |