第九章、防火墙与 NAT 服务器

最近更新日期：2011/07/22

从第七章的图 7.1-1 我们可以发现防火墙是整个封包要进入主机前的第一道关卡，但，什么是防火墙？Linux 的防火墙有哪些机制？ 防火墙可以达到与无法达到的功能有哪些？防火墙能不能作为区域防火墙而不是仅针对单一主机而已呢？其实，Linux 的防火墙主要是透过 Netfilter 与 TCP Wrappers 两个机制来管理的。其中，透过 Netfilter 防火墙机制，我们可以达到让私有 IP 的主机上网 (IP 分享器功能) ，并且也能够让 Internet 连到我内部的私有 IP 所架设的 Linux 服务器 (DNAT 功能)！真的很不赖喔！ 这一章对您来说，也真的有够重要的啦！

• 9.1 认识防火墙
  • 9.1.1 开始之前来个提醒事项
  • 9.1.2 为何需要防火墙
  • 9.1.3 Linux 系统上防火墙的主要类别
  • 9.1.4 防火墙的一般网络布线示意
  • 9.1.5 防火墙的使用限制
• 9.2 TCP Wrappers
  • 9.2.1 哪些服务有支持： ldd
  • 9.2.2 /etc/hosts.{allow|deny} 的设定方式
• 9.3 Linux 的封包过滤软件： iptables
  • 9.3.1 不同 Linux 核心版本的防火墙软件
  • 9.3.2 封包进入流程：规则顺序的重要性！
  • 9.3.3 iptables 的表格 (table) 与链 (chain)
  • 9.3.4 本机的 iptables 语法
  • 9.3.4-1 规则的观察与清除
  • 9.3.4-2 定义预设政策 (policy)
  • 9.3.4-3 封包的基础比对：IP, 网域及接口装置： 信任装置, 信任网域
  • 9.3.4-4 TCP, UDP 的规则比对：针对埠口设定
  • 9.3.4-5 iptables 外挂模块：mac 与 state
  • 9.3.4-6 ICMP 封包规则的比对：针对是否响应 ping 来设计
  • 9.3.4-7 超阳春客户端防火墙设计与防火墙规则储存
  • 9.3.5 IPv4 的核心管理功能：/proc/sys/net/ipv4/*
• 9.4 单机防火墙的一个实例
  • 9.4.1 规则草拟
  • 9.4.2 实际设定
• 9.5 NAT 服务器的设定
  • 9.5.1 什么是 NAT？ SNAT？ DNAT？
  • 9.5.2 最阳春 NAT 服务器： IP 分享功能
  • 9.5.3 iptables 的额外核心模块功能
  • 9.5.4 在防火墙后端之网络服务器 DNAT 设定
• 9.6 重点回顾
• 9.7 本章习题
• 9.8 参考数据与延伸阅读
• 9.9 针对本文的建议：http://phorum.vbird.org/viewtopic.php?p=114475