图文详解防火墙及NAT服务(2)

生产环境配置防火墙主要有两种模式：逛公园及看电影模式

• 逛公园模式：默认随便进出,对非法分子进行拒绝.企业应用：企业配置上网网关路由.
• 看电影模式：默认没票进不去,花钱买票才能够进入电影院.企业应用：服务器防火墙.

可以看出,还是第二种模式更加的严格和安全.其本质区别就是防火墙的默认规则是允许还是拒绝.

企业面试题：自定义链处理“syn”攻击

2. 工作中如何维护防火墙

实际生产中,一般第一次添加规则是以命令行或者脚本的方式进行,然后一次性的保存成配置文件,之后的维护工作就是围绕着对该配置文件的修来来进行.

3. 配置网关

第一步：首先,作为网关的主机除了要具备双网卡并且能够连接互联网等物理条件外,还要确保将内核的转发功能打开.
另外,还要求Filter表的“FORWARD”链允许通过.

第二步：确保网关主机的相关模块已经加载

第三步：内网服务器要能够Ping通网关主机的内外网卡.
第四步：在网关主机上配置规则(两种方法).

至此,Linux网关主机配置完毕.

还有一种应用,就是把外部IP地址及端口映射到内部服务器的地址及端口(和共享上网的环境一样).

要求：

企业应用场景：

• 把访问外网IP及端口的请求映射到内网某台服务器的地址及指定端口上(企业内部).
• 硬件防火墙,把访问LVS/Nginx外网VIP及80端口的请求映射到IDC负载均衡服务器内部IP及指定端口上(IDC机房的操作)
  iptables在企业中的应用小结：
• Linux主机防火墙(表：Filter
• 最为内网共享上网的网关(表：NAT,链：POSTROUTING)
• 由外到内的端口映射(表：NAT,链：PREROUTING)

指定地址段

4. 端口映射

连接跟踪表已满,开始丢包的解决办法：
一、关闭防火墙. 简单粗暴,直接有效
二、加大防火墙跟踪表的大小,优化对应的系统参数

（编辑：ASP站长网）