問個防火墻iptables的返回的菜問題！謝謝回答

babywolfh

各位GGJJMMDD好 ：）
最近在看那個iptables的指南，有點問題想不明白，麻煩各位指導下，先謝謝了.

問題是：
假設(shè)現(xiàn)在我有個防火墻連接內(nèi)網(wǎng)和外網(wǎng)（Internet），對外只有一個合法的IP，就是防火墻那個對外的IP——$INET_IP，接口為$INET_IFACE 。防火墻還有一個內(nèi)網(wǎng)的IP——$LAN_IP，在防火墻的內(nèi)部假設(shè)有2個終端，他們的IP為$LAN_BOX1，$LAN_BOX2（肯定是內(nèi)網(wǎng)ip）。
現(xiàn)在2臺內(nèi)網(wǎng)的機子都與外網(wǎng)發(fā)起連接，那他們都先經(jīng)過防火墻SNAT轉(zhuǎn)換為防火墻的外網(wǎng)IP即
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

但是在外網(wǎng)應答時的目的IP地址為$INET_IP，那防火墻是怎么區(qū)分應該DNAT到是哪個內(nèi)網(wǎng)IP呢？也就是說它是根據(jù)什么標志來做DNAT轉(zhuǎn)換到內(nèi)網(wǎng)機器的呢

謝謝！

babywolfh

找了半天 也沒類似的 是不是防火墻自己的內(nèi)部代理功能程序做了這部分功能啊？
呵呵 網(wǎng)絡(luò)知識過于缺乏啊 哎！

babywolfh

呵呵 找到個如下的

TCP/IP協(xié)議規(guī)定了三類局域網(wǎng)保留IP地址，這三個地址段分別是: 10.x.x.x、172.16. x.x、192.168. x.x（X在0～255之間，注意實際用時網(wǎng)絡(luò)號部分不能為全0或全1）。這些IP地址可以在一個局域網(wǎng)內(nèi)部使用，但直接以這樣的內(nèi)網(wǎng)地址連接到Internet顯然是行不通的。

　　為此，當內(nèi)部的機器與外部的機器連接時，需要先通過有合法外網(wǎng)地址的主機把內(nèi)網(wǎng)IP地址轉(zhuǎn)換為合法的外網(wǎng)IP地址，這就是網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation），簡稱NAT。

　　使用NAT技術(shù)可以使一個或數(shù)個合法IP地址訪問Internet，從而節(jié)省了Internet上的合法IP地址；另一方面，通過地址轉(zhuǎn)換，可以隱藏內(nèi)網(wǎng)上主機的真實IP地址，從而提高網(wǎng)絡(luò)的安全性。

　　比如，連接外網(wǎng)的電腦或設(shè)備，通過固定或動態(tài)獲取得到了一個合法的IP地址，如219.254.38.180，它還需要有一個網(wǎng)絡(luò)內(nèi)部的地址比如192.168.0.1，用來充當其他電腦的網(wǎng)關(guān)。如果局域網(wǎng)內(nèi)部的一臺電腦IP地址是192.168.0.2：4000（4000是它的端口號），想訪問Internet上某個主機，192.168.0.2：4000的請求先傳到主機192.168.0.1上，主機把這個IP地址轉(zhuǎn)換為219.254.38.180：9000。然后以端口號為9000的這個IP地址向Internet上的那個主機發(fā)出請求，回答的數(shù)據(jù)流則傳回給主機219.254.38.180：9000，主機接收到數(shù)據(jù)后，會查找與9000這個端口號相關(guān)聯(lián)的內(nèi)部IP地址，當它發(fā)現(xiàn)是192.168.0.2：4000后，就把數(shù)據(jù)傳給192.168.0.2：4000，這樣，IP地址的轉(zhuǎn)換就完成了。


我還想問下“查找與9000這個端口號相關(guān)聯(lián)的內(nèi)部IP地址” 這個是內(nèi)部程序完成的嗎？ 還是有個什么映射表呢？？

liubinbj

這個不用你操心，有狀態(tài)記錄，如果非要找要看源代碼，沒看過，說不好。

babywolfh

呵呵  謝謝了  大致明白了

platinum

有個 NAT 表，會記錄 $LAN_BOX、$LAN_IP、$INET_ETH、$INET_IP、$S_PORT、$D_PORT、$PROTO
當數(shù)據(jù)報回來的時候，如果匹配到了，就發(fā)給內(nèi)網(wǎng)，對號入座，如果 NAT 表里找不到，就丟掉或者返回一個 TCP 的 RST