# 第九章、防火墻與 NAT 服務器
# 第九章、防火墻與 NAT 服務器
最近更新日期:2011/07/22
從第七章的圖 7.1-1 我們可以發現防火墻是整個封包要進入主機前的第一道關卡,但,什么是防火墻?Linux 的防火墻有哪些機制? 防火墻可以達到與無法達到的功能有哪些?防火墻能不能作為區域防火墻而不是僅針對單一主機而已呢?其實,Linux 的防火墻主要是透過 Netfilter 與 TCP Wrappers 兩個機制來管理的。其中,透過 Netfilter 防火墻機制,我們可以達到讓私有 IP 的主機上網 (IP 分享器功能) ,并且也能夠讓 Internet 連到我內部的私有 IP 所架設的 Linux 服務器 (DNAT 功能)!真的很不賴喔! 這一章對您來說,也真的有夠重要的啦!
- 9.1 [認識防火墻](#firewall)
- 9.1.1 [開始之前來個提醒事項](#firewall_before)
- 9.1.2 [為何需要防火墻](#firewall_why)
- 9.1.3 [Linux 系統上防火墻的主要類別](#firewall_type)
- 9.1.4 [防火墻的一般網絡布線示意](#firewall_topo)
- 9.1.5 [防火墻的使用限制](#firewall_limit)
- 9.2 [TCP Wrappers](#tcp_wrappers)
- 9.2.1 [哪些服務有支持](#tcp_wrappers_program): [ldd](#ldd)
- 9.2.2 [/etc/hosts.{allow|deny} 的設定方式](#tcp_wrappers_setup)
- 9.3 [Linux 的封包過濾軟件: iptables](#netfilter)
- 9.3.1 [不同 Linux 核心版本的防火墻軟件](#netfilter_version)
- 9.3.2 [封包進入流程:規則順序的重要性!](#netfilter_iptables)
- 9.3.3 [iptables 的表格 (table) 與鏈 (chain)](#netfilter_chain)
- 9.3.4 [本機的 iptables 語法](#netfilter_syntax)
- 9.3.4-1 [規則的觀察與清除](#netfilter_syntax_clean)
- 9.3.4-2 [定義預設政策 (policy)](#netfilter_syntax_policy)
- 9.3.4-3 [封包的基礎比對:IP, 網域及接口裝置](#netfilter_syntax_comp): [信任裝置](#trust_dev), [信任網域](#trust_net)
- 9.3.4-4 [TCP, UDP 的規則比對:針對埠口設定](#netfilter_syntax_tcp)
- 9.3.4-5 [iptables 外掛模塊:mac 與 state](#netfilter_syntax_state)
- 9.3.4-6 [ICMP 封包規則的比對:針對是否響應 ping 來設計](#netfilter_syntax_icmp)
- 9.3.4-7 [超陽春客戶端防火墻設計與防火墻規則儲存](#netfilter_syntax_simple)
- 9.3.5 [IPv4 的核心管理功能:/proc/sys/net/ipv4/\*](#netfilter_kernel)
- 9.4 [單機防火墻的一個實例](#local)
- 9.4.1 [規則草擬](#local_rule)
- 9.4.2 [實際設定](#local_script)
- 9.5 [NAT 服務器的設定](#nat)
- 9.5.1 [什么是 NAT? SNAT? DNAT?](#nat_what)
- 9.5.2 [最陽春 NAT 服務器: IP 分享功能](#nat_ip_share)
- 9.5.3 [iptables 的額外核心模塊功能](#nat_modules)
- 9.5.4 [在防火墻后端之網絡服務器 DNAT 設定](#nat_dnat)
- 9.6 [重點回顧](#hint)
- 9.7 [本章習題](#ex)
- 9.8 [參考數據與延伸閱讀](#reference)
- 9.9 [針對本文的建議:http://phorum.vbird.org/viewtopic.php?p=114475](http://phorum.vbird.org/viewtopic.php?p=114475)
- - - - - -
- 鳥哥的Linux私房菜:服務器架設篇 第三版
- 第一部份:架站前的進修專區
- 作者序
- 第一章、架設服務器前的準備工作
- 1.1 前言: Linux 有啥功能
- 1.2 基本架設服務器流程
- 1.3 自我評估是否已經具有架站的能力
- 1.4 本章習題
- 第二章、基礎網絡概念
- 2.1 網絡是個什么玩意兒
- 2.2 TCP/IP 的鏈結層相關協議
- 2.3 TCP/IP 的網絡層相關封包與數據
- 2.4 TCP/IP 的傳輸層相關封包與數據
- 2.5 連上 Internet 前的準備事項
- 2.6 重點回顧:
- 2.7 本章習題
- 2.8 參考數據與延伸閱讀
- 第三章、局域網絡架構簡介
- 3.1 局域網絡的聯機
- 3.2 本書使用的內部聯機網絡參數與通訊協議
- 第四章、連上 Internet
- 4.1 Linux 連上 Internet 前的注意事項
- 4.2 連上 Internet 的設定方法
- 4.3 無線網絡--以筆記本電腦為例
- 4.4 常見問題說明
- 4.5 重點回顧
- 4.6 本章習題
- 4.7 參考數據與延伸閱讀
- 第五章、 Linux 常用網絡指令
- 5.1 網絡參數設定使用的指令
- 5.2 網絡偵錯與觀察指令
- 5.3 遠程聯機指令與實時通訊軟件
- 5.4 文字接口網頁瀏覽
- 5.5 封包擷取功能
- 5.6 重點回顧
- 5.7 本章習題
- 5.8 參考數據與延伸閱讀
- 第六章、 Linux 網絡偵錯
- 6.1 無法聯機原因分析
- 6.2 處理流程
- 6.3 本章習題
- 6.4 參考數據與延伸閱讀
- 第二部分:主機的簡易資安防護措施
- 第七章、網絡安全與主機基本防護:限制端口, 網絡升級與 SELinux
- 7.1 網絡封包聯機進入主機的流程
- 7.2 網絡自動升級軟件
- 7.3 限制聯機埠口 (port)
- 7.4 SELinux 管理原則
- 7.5 被攻擊后的主機修復工作
- 7.6 重點回顧
- 7.7 課后練習
- 7.8 參考數據與延伸閱讀
- 第八章、路由觀念與路由器設定
- 8.1 路由
- 8.2 路由器架設
- 8.3 動態路由器架設:quagga (zebra + ripd)
- 8.4 特殊狀況:路由器兩邊界面是同一個 IP 網段: ARP Proxy
- 8.5 重點回顧
- 8.6 本章習題
- 8.7 參考數據與延伸閱讀
- 第九章、防火墻與 NAT 服務器
- 9.1 認識防火墻
- 9.2 TCP Wrappers
- 9.3 Linux 的封包過濾軟件:iptables
- 9.4 單機防火墻的一個實例
- 9.5 NAT 服務器的設定
- 9.6 重點回顧
- 9.7 本章習題
- 9.8 參考數據與延伸閱讀
- 第十章、申請合法的主機名
- 10.1 為何需要主機名
- 10.2 注冊一個合法的主機名
- 10.3 重點回顧
- 10.4 本章習題
- 10.5 參考數據與延伸閱讀
- 第三部分:局域網絡內常見的服務器架設
- 第十一章、遠程聯機服務器SSH / XDMCP / VNC / RDP
- 11.1 遠程聯機服務器
- 11.2 文字接口聯機服務器: SSH 服務器
- 11.3 最原始圖形接口: Xdmcp 服務的啟用
- 11.4 華麗的圖形接口: VNC 服務器
- 11.5 仿真的遠程桌面系統: XRDP 服務器
- 11.6 SSH 服務器的進階應用
- 11.7 重點回顧
- 11.8 本章習題
- 11.9 參考數據與延伸閱讀
- 第十二章、網絡參數控管者: DHCP 服務器
- 12.1 DHCP 運作的原理
- 12.2 DHCP 服務器端的設定
- 12.3 DHCP 客戶端的設定
- 12.4 DHCP 服務器端進階觀察與使用
- 12.5 重點回顧
- 12.6 本章習題
- 12.7 參考數據與延伸閱讀
- 第十三章、文件服務器之一:NFS 服務器
- 13.1 NFS 的由來與其功能
- 13.2 NFS Server 端的設定
- 13.3 NFS 客戶端的設定
- 13.4 案例演練
- 13.5 重點回顧
- 13.6 本章習題
- 13.7 參考數據與延伸閱讀
- 第十四章、賬號控管: NIS 服務器
- 14.1 NIS 的由來與功能
- 14.2 NIS Server 端的設定
- 14.3 NIS Client 端的設定
- 14.4 NIS 搭配 NFS 的設定在叢集計算機上的應用
- 14.5 重點回顧
- 14.6 本章習題
- 14.7 參考數據與延伸閱讀
- 第十五章、時間服務器: NTP 服務器
- 15.1 關于時區與網絡校時的通訊協議
- 15.2 NTP 服務器的安裝與設定
- 15.3 客戶端的時間更新方式
- 15.4 重點回顧
- 15.5 本章習題
- 15.6 參考數據與延伸閱讀
- 第十六章、文件服務器之二: SAMBA 服務器
- 16.1 什么是 SAMBA
- 16.2 SAMBA 服務器的基礎設定
- 16.3 Samba 客戶端軟件功能
- 16.4 以 PDC 服務器提供賬號管理
- 16.5 服務器簡單維護與管理
- 16.6 重點回顧
- 16.7 本章習題
- 16.8 參考數據與延伸閱讀
- 第十七章、區網控制者: Proxy 服務器
- 17.1 什么是代理服務器 (Proxy)
- 17.2 Proxy 服務器的基礎設定
- 17.3 客戶端的使用與測試
- 17.4 服務器的其他應用設定
- 17.5 重點回顧
- 17.6 本章習題
- 17.7 參考數據與延伸閱讀
- 第十八章、網絡驅動器裝置: iSCSI 服務器
- 18.1 網絡文件系統還是網絡驅動器
- 18.2 iSCSI target 的設定
- 18.3 iSCSI initiator 的設定
- 18.4 重點回顧
- 18.5 本章習題
- 18.6 參考數據與延伸閱讀
- 第四部分:常見因特網服務器架設
- 第十九章、主機名控制者: DNS 服務器
- 19.1 什么是 DNS
- 19.2 Client 端的設定
- 19.3 DNS 服務器的軟件、種類與 cache only DNS 服務器設定
- 19.4 DNS 服務器的詳細設定
- 19.5 協同工作的 DNS: Slave DNS 及子域授權設定
- 19.6 DNS 服務器的進階設定
- 19.7 重點回顧
- 19.8 本章習題
- 19.9 參考數據與延伸閱讀
- 第二十章、WWW 伺服器
- 20.1 WWW 的簡史、資源以及伺服器軟體
- 20.2 WWW (LAMP) 伺服器基本設定
- 20.3 Apache 伺服器的進階設定
- 20.4 登錄檔分析以及 PHP 強化模組
- 20.5 建立連線加密網站 (https) 及防砍站腳本
- 20.6 重點回顧
- 20.7 本章習題
- 20.8 參考資料與延伸閱讀
- 第二十一章、文件服務器之三: FTP 服務器
- 21.1 FTP 的數據鏈路原理
- 21.2 vsftpd 服務器基礎設定
- 21.3 客戶端的圖形接口 FTP 聯機軟件
- 21.4 讓 vsftpd 增加 SSL 的加密功能
- 21.5 重點回顧
- 21.6 本章習題
- 21.7 參考數據與延伸閱讀
- 第二十二章、郵件服務器: Postfix
- 22.1 郵件服務器的功能與運作原理
- 22.2 MTA 服務器: Postfix 基礎設定
- 22.3 MRA 服務器: dovecot 設定
- 22.4 MUA 軟件:客戶端的收發信軟件
- 22.5 郵件服務器的進階設定
- 22.6 重點回顧
- 22.7 本章習題
- 22.8 參考數據與延伸閱讀