web-dev-qa-db-ja.com

ファイアウォール:ポリシー、NATとルートの違いは何ですか?

私は一般的にfwbuilderとファイアウォールを学んでいます。ポリシー、NATとルートの違いがわかりません。これらはすべて、データが何であり、どこから来ているかに応じて、データの行き先を伝えるための単なる方法のようです。

本当の違いは何ですか?適切に構成されたファイアウォールは、3つすべて(ポリシー、NATおよびルート))を利用していますか、それとも同じことを実現するための3つの異なる方法であり、そのうちの1つだけが必要ですか?

1
Jake Wilson

Fwbuilderに精通していませんが、それらはすべてネットワーキングにおいてより具体的な意味を持っています。これが、一般的なネットワーキングのために頭のてっぺんからそれらを定義する方法です。

NATおよびPAT:
TCP/UDPのIP宛先または送信元および/またはポートを変更します。最も一般的な用途は、複数のユーザーがパブリックIPを共有したり、サービスのパブリックIPをプライベートIPにマップしたりできるようにすることです。

ポリシー:
さまざまなネットワークレベルのあらゆる種類のプロパティに基づく特定の要件を満たすパケットをどうするか。たとえば、それらを削除するか、ICMPメッセージをリクエスターに送信して閉じていることを伝えます。ここでの主な用途は、ネットワークを保護するためのセキュリティです。

IPルート:
宛先IP(またはポリシーベースのルーティングについて話す場合はより高度なもの)に応じて、トラフィックを送信するインターフェイスを決定します。ここでの使用法は、これがインターネットとほとんどの主要なコンピュータネットワークがどのように機能するか、そしてより高いレベルであるということです。通常、NATはルーティングの前に発生するため、パケットはNATによって変更され、結果に従ってルーティングされます。

一般vs.特定:
「データが何であり、どこから来ているかに応じて、どこに行くかをデータに伝える方法」の一般化は、おおよそ「ネットワーキング」とは何かです。より高いレベルに持っていくと、私にとっては、「データを移動して操作するだけなのに、なぜこれらのコンピュータの単語がすべてあるのか」と言っているようなものです:-)これらの用語はすべて、フルタイムである可能性のあるネットワーキングの特定の側面です。職業。

2
Kyle Brandt

ポリシー[〜#〜] nat [〜#〜]、およびルーティングはfwbuilderの用語です。

Policyは、INPUT、FORWARD、およびOUTPUTチェーンで構成されるiptables filterテーブルと同等です。これは、ファイアウォールを通過できるパケットを決定するだけです。

[〜#〜] nat [〜#〜]は、PREROUTING、POSTROUTING、およびOUTPUTチェーンで構成されるiptables natテーブルと同等です。これは、パケットストリームの照合(DNAT)と散乱(SNAT)を行います。

ルーティング同等のiptablesはありません。一部のルーター(主にCisco)のルーティングテーブルに使用されます。

fwbuilderにはiptablesmangleテーブルに相当するものがありません。これは、他の2つのテーブルでは不可能または適切でない可能性のあるあらゆる種類の愚かなパケットトリックを実行するために使用されます。