ROS軟路由論壇 ROSABC.com

 找回密碼
 會員注冊
查看: 21245|回復: 139
打印 上一主題 下一主題

[Firewall防火墻] [NAT 介紹] 網絡地址翻譯是一種允許本地網絡主機使用一段 IP

  [復制鏈接]
跳轉到指定樓層
樓主
發表于 2013-4-21 03:10:33 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
ROS軟路由論壇
nat 介紹

網絡地址翻譯是一種允許本地網絡主機使用一段 IP 地址進行本地通信,使用另一段 IP 地址進行外部通信的因特網標準。一個使用網絡地址翻譯的局域網就被稱為 natted(已翻譯)網絡。為了使網絡地址翻譯進行工作必須在每個 natted 網絡都有一 個 nat 網關。nat 網關的作用就是在數據包進/出局域網時重寫 IP 地址的作用。

輸出數據包轉換的示例:
游客,如果您要查看本帖隱藏內容請回復



網絡地址翻譯包括兩種類型:

-- 源網絡地址翻譯或者 srcnat。這種類型的網絡地址翻譯工作在從一個 natted 網絡產生的數據包上。nat 路由器在 IP 包通過它的時候用一個新的公網 IP 地址代替了其私有源地址。相反的操作適用于響應包從相反方向通過路由器 時。

-- 目標網絡地址翻譯或者 dstnat。 這種類型的網絡地址翻譯工作在到達一個 natted 網絡的數據包上。它通常用于 使一個私有網絡上的主機能夠被因特網訪問。dstnat 路由器在 IP 包通過該路由器到達私有網絡時替換了 IP 包的目 標 IP 地址。

nat 缺點

在一個使用了網絡地址翻譯的路由器背后的主機并不擁有真實的端對端的連接。因此一些因特網協議就不在有網絡地址翻譯 的情況下工作。一些來私有用網絡外部或者無連接協議如 UDP 協議且需要 TCP 連接初始化的服務將被打斷。此外,一些協 議內在與 NAT 不兼容,一個鮮明的事例就是 IPsec 中的 AH 協議。

重定向與偽裝

重定向和偽裝分別是目的 nat 和源 nat 的特殊形式。重定向類似與普通的目的網絡地址翻譯就好比偽裝類似與源網絡地址翻譯——偽裝是一種不需要指定 to-addresses 的源網絡地址翻譯的特殊形式——對外接口地址將被自動使用。重定向同理——進入接口地址將被使用。注意,to-ports 對于重定向規則來說很有意義——這就是在路由器起上處理這些請求的的服 務端口。(比如:web 代理)

當數據包進行了目的網絡地址翻譯(dst-nat)時(不論 action=nat 或者 action=redirect),目的地址都將改變。有關 地址翻譯的任何信息(包括初始的目的地址)將被保存在路由器的內部維護表。當 web 請求被重定性到路由器的代理端口 時,工作在路由器上的透明 web 代理將訪問從內部表這個信息并從其中取得 web 服務器的地址。如果你正在對幾個不同的 代理服務器進行目的網絡地址翻譯,那你將不會從 IP 包頭找到 web 服務器的地址,因為 IP 包的目的地址之前是 web 服務 器的地址但現在已經變成了代理服務器的地址。從 HTTP/1.1 開始在 HTTP 請求中出現了特殊的可以告知 web 服務器地址 的包頭,于是代理服務器使用它取代了 IP 包的目的地址。如果沒有這樣的包頭(如:老版本的 HTTP),代理服務器將不能 確定 web 服務器地址也將無法工作。

這也就是說,對 HTTP 流從一個路由器到其他一些透明代理服務器進行正確的透明的重定向是有可能的。只有在路由器本身 添加透明代理并配置才是正確的方法,因此你的“真實的”代理就是上級代理。這種情況下你的“真實的”代理再也不用是 透明的,因為在路由器上的代理將成為透明的并將向“真正的”代理轉交代理方式請求(根據標準,這些請求包括了所有必 須的 web 服務器信息)。

屬性描述

action (accept | add-dst-to-address-list | add-src-to-address-list | dst-nat | jump | log | masquerade | netmap | passthrough | redirect | return | same | src-nat; 默認: accept) -如果數據 包與規則匹配 action 將啟用

accept - 接收數據包。不進行任何動作。例如:數據包通過而且沒有其他任何適用于它的規則 add-dst-to-address-list - 向 address-list 參數指定的地址表中添加 IP 包的目的地址 add-src-to-address-list - 向 address-list 參數指定的地址表中添加 IP 包的源地址

dst-nat - 用 to-addresses 及 to-ports 參數指定的變量取代 IP 包的目的地址

jump - 跳轉到由 jump-target 參數指定的鏈

log - action 的每個匹配都將對系統日志添加一條消息

masquerade - 以一個路由策略自動分配的 IP 地址取代 IP 包的源地址

netmap - 創造一個 IP 地址從一端到另一端的靜態 1:1 映像。通常用于分配公用 IP 地址到專用內網的主 機上

passthrough - 忽略次條規則并轉到下一個規則

redirect - 把 IP 包的目的地址替換成一個路由器的本地地址

return -返回到跳轉發生的鏈

same - 從允許范圍內分配給特定客戶每個連接相同的源/目的 IP 地址。這種情況通常用于來自期望相同客 戶的相同客戶地址對多重連接的服務。

src-nat - 把 IP 包的源地址替換成由 to-addresses 和 to-ports 參數指定的值

address-list (名稱) -指定地址列表的名稱以收集使用了 action=add-dst-to-address-list 或

action=add-src-to-address-list 動作規則的 IP 地址。

address-list-timeout (時間; 默認: 00:00:00) - 在 address-list 參數指定的地址列表刪除地址之后的 時間間隔。與 add-dst-to-address-list 或 add-src-to-address-list 動作一起起使用

00:00:00 - 從地址列表中永久刪除

chain (dstnat | srcnat | name) – 選擇或者定義一個規則的鏈。由于不同的數據流通過不同的鏈,所以為 新規則選擇正確的鏈必須很小心。如果輸入一個與默認鏈名(srcnat 和 dstnat)不匹配,那么會生產一個新的 鏈。

dstnat - 在這個鏈中的規則會在路由前被應用。代替 IP 包目的地址的規則應放在這里。 srcnat - 在這個鏈中的規則會在路由后被應用。代替 IP 包源地址的規則應放在這里。 comment (文本) - 對規則的描述性注解。一條注解能被用于從腳本中識別規則。

connection-bytes (整型-整型) - 當且僅當一定給定量字節從特定連接傳輸時與數據包進行匹配。

0 - 代表無窮大。例如:connection-bytes=2000000-0 如果大于 2MB 數據從相關連接傳輸就與規則 匹配。

connection-limit (整型, 子網掩碼) - 限制每個地址或地址群的連接限度。

connection-mark (名稱) - 與通過 mangle 機制標記的特定連接數據包進行匹配

connection-type (ftp | gre | h323 | irc | mms | pptp | quake3 | tftp) - 與基于連接跟蹤助手信息的 相關連接的包進行匹配。相關連接助手必須在/ip firewall service-port 下啟用

content (文本) - 文本數據包必須按順序排列以與匹配規則   dst-address (IP 地址/掩碼 | IP address-IP address) - 指定 IP 包的目的地址范圍 address/netmask – 對合法網絡地址的換算,例如:1.1.1.1/24 被轉換為 1.1.1.0/24

dst-address-list (名稱) - 在用戶自定義的地址列表中匹配數據包的目的地址

dst-address-type (unicast | local | broadcast | multicast) - 在 IP 包的目的地址類型中匹配其中之一

unicast - 用于點對點傳輸的 IP 地址。這種情況僅限于一個發送者和一個接受者

local -與分配到路由器接口的地址匹配

broadcast - 這個 IP 包從 IP 子網的一個點到其他所有點發送信號

multicast - 這種類型的 IP 地址負責從一個或多個點到其他一系列點的傳輸

dst-limit (整型/時間{0,1},整型, dst-address | dst-port | src-address{+},time{0,1}) - 在每個目的 IP 或者每個目的端口庫上限制每秒數據包綠(pps)。與 limit 匹配相反,每個目的 IP 地址/目的端口都有自己 的限度。其選項如下(按出現次序):

Count - 最大平均包率。以 pps 衡量,除非跟隨在 Time 選項之后。

Time - 指定包率衡量的時間間隔 Burst - 以成組方式匹配的包數量 Mode - 包率限制分類方式

Expire - 指定已記錄的 IP 地址/端口將被刪除的過期時間,時間間隔。

dst-port (整型: 0..65535-整型: 0..65535{*}) - 目的端口數或范圍

hotspot (多選項: from-client | auth | local-dst) - 從各種不同的 Hot-Spot 中匹配從客戶獲得的包。所有 值都可以被取消。

from-client - 如果一個包來自于 HotSpot 客戶則為真

auth - 如果一個包來自驗證用戶則為真

local-dst - 如果一個包擁有本地目的 IP 地址則為真

icmp-options (整型:整型) - 與 ICMP 的 Type:Code 域匹配

in-interface (name) - interface the packet has entered the router through

ipv4-options (any | loose-source-routing | no-record-route | no-router-alert | no-source-routing

| no-timestamp | none | record-route | router-alert | strict-source-routing | timestamp) - 與 ipv4

標題選項匹配

any - 與 ipv4 選項中至少一個匹配

loose-source-routing - 與發射源路由選項的包進行匹配。次選項一般用于路由基于源提供信息的因特網 數據報

no-record-route - 以無記錄路由選項匹配包。次選項一般用于路由基于源提供信息的因特網數據報

no-router-alert - 以無路由警報選項匹配包 no-source-routing - 以無源路由選項匹配包 no-timestamp - 以無時間印章選項匹配包 record-route - 以記錄路由選項匹配包 router-alert - 以路由警報選項匹配包

strict-source-routing - 以嚴密的源路由選項匹配包

timestamp - 以時間印章選項匹配包

jump-target (dstnat | srcnatname) - 將要跳轉的目標鏈名稱,如果使用了動作 action=jump limit (整型/時間{0,1},整型) - 按給定限度限制包匹配率。對于減少日志信息數量有用

Count - 最大平均包率。以 pps 衡量,除非跟隨在 Time 選項之后。

Time - 指定包率衡量的時間間隔

Burst - 以成組方式匹配的包數量

log-prefix (文本) - 所有寫入日志的信息都包含次中指定的前綴。與 action=log 一起使用。

nth (整型, 整型: 0..15,整型{0,1}) - 與特定的由規則獲取的第 N 個包匹配。16 個可用計數器之一可被用 來計算包數

Every - 匹配每第 Every+1 個包。例如:如果 Every=1 那么規則匹配每第二個包

Counter - 指定要使用的計數器。

Packet - 以給定包的數量進行匹配。顯然地,這個值必須在 0 和 Every 之間。如果這個選項用于一個給定 的計數器,那么在這個選項里必須至少有 Every+1 個規則,以包含所有在 0 和 Every 之間的值

out-interface (name) - 離開路由器的包的接口

packet-size (整型: 0..65535-整型: 0..65535{0,1}) - 按字節匹配指定大小或大小范圍的包

Min - 指定大小范圍或獨立的值的下限

Max - 指定大小范圍的上限

phys-in-interface (name) -與添加到一個橋設備的橋端口物理輸入設備匹配。僅在數據包從橋到達并通過 路由器時有用

phys-out-interface (name) - 與添加到一個橋設備的橋端口物理輸出設備匹配。僅在數據包從橋離開路由 器時有用

protocol (ddp | egp | encap | ggp | gre | hmp | icmp | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah

| ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp | 整型) - 與由 協議名稱或編號指定的特定 IP 協議匹配。如果你想指定端口就應該進行這個配置。

psd (整型,時間,整型,整型) - 試圖探測 TCP 及 UDP 掃描。建議對高號碼端口分配低權重以減少被誤判的 頻率,例如來自被動模式的 FTP 遷移

WeightThreshold - 來自不同主機且被作為端口掃描序列的帶有不同目的端口的最新的 TCP/UDP 包的總 權重值

DelayThreshold - 來自同意主機且被當作可能端口掃描子序列帶有不同目的端口的包延遲

LowPortWeight - 特權目的端口(<=1024)的數據包權重值 HighPortWeight –非特權目的端口(<=1024)的數據包權重值 random (整型) - 以給定概率隨機匹配包

routing-mark (name) - 對 mangle 標記的特定路由的包進行匹配

same-not-by-dst (yes | no) - 當選擇要與 action=same 規則匹配的包的新源 IP 地址時指定是否對目 的 IP 地址進行計數

src-address (IP 地址/子網掩碼 | IP 地址 - IP 地址) - 指定源 IP 包產生的地址范圍。

src-address-list (name) - 與用戶定義的地址列表中的數據包源地址匹配

src-address-type (unicast | local | broadcast | multicast) - 與 IP 包的源地址類型中的一個匹配

unicast - 用于點對點傳輸的 IP 地址。這種情況僅限于一個發送者和一個接受者

local -與分配到路由器接口的地址匹配

broadcast - 這個 IP 包從 IP 子網的一個點到其他所有點發送信號 multicast - 這種類型的 IP 地址負責從一個或多個點到其他一系列點的傳輸 src-mac-address (MAC address) - 源 MAC 地址

src-port (整型: 0..65535-整型: 0..65535{*}) - 源端口數或范圍

tcp-mss (整型: 0..65535) - 與 IP 包的 TCP MSS 值匹配

time (時間-時間,sat | fri | thu | wed | tue | mon | sun{+}) - 允許產生基于數據包到達時間和日期的 過濾器,或者對于本地產生的數據包的離開時間和日期

to-addresses (IP address-IP address{0,1}; default: 0.0.0.0) -取代初始 IP 包地址的地址或地址范圍

to-ports (整型: 0..65535-整型: 0..65535{0,1}) - 取代初始 IP 包端口的端口或端口范圍

tos (max-reliability | max-throughput | min-cost | min-delay | normal) - 對 IP 頭服務類型(ToS) 域的值指定一個匹配

max-reliability – 最大的可靠性 (ToS=4) max-throughput – 最大的吞吐量 (ToS=8) min-cost – 最低的成本代價(ToS=2)

min-delay – 最小的延遲 (ToS=16)

normal – 普通服務 (ToS=0)

沙發
發表于 2013-5-28 08:52:24 | 只看該作者
ROS軟路由論壇
werewrewrewrewttwretrew
板凳
發表于 2013-6-21 22:23:55 | 只看該作者
YOUANLIMAFDSFEWFW
地板
發表于 2013-6-22 14:25:25 | 只看該作者
我覺得ROS里面IP -》》防火墻配置是最難得
5
發表于 2013-8-9 17:17:30 | 只看該作者
see  see  see  see  see
6
發表于 2013-8-13 14:44:22 | 只看該作者
7
發表于 2013-10-12 18:28:14 | 只看該作者
好東西,學習中
8
發表于 2013-10-15 08:23:17 | 只看該作者
avvdd22223DFFWE2455FG___
9
發表于 2013-10-15 10:11:41 | 只看該作者
愁死了壽司了高手快來指點江山吧。
10
發表于 2013-10-17 16:57:32 | 只看該作者
謝謝分享,謝謝!!
您需要登錄后才可以回帖 登錄 | 會員注冊

本版積分規則

ROS教程版塊已全面開放,
即使是新注冊的初級會員也可閱讀全部內容。

不良信息舉報Q:2000617

不良信息舉報Q:2000617|Archiver|小黑屋|ROS軟路由論壇 ROSABC.com

GMT+8, 2020-7-16 01:25 , Processed in 0.126838 second(s), 20 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
又黄又刺激的免费视频-又黄又免费的美女视频