Firewalld防火墙作为网关配置NAT转发

firewalld firewall-cmd --list-all 解析firewalld是Linux操作系统上的一个动态防火墙管理工具，它提供了一个面向对象的D-Bus接口，用于管理和配置网络防火墙。

firewalld使用一个规则集的集合来定义网络策略，可以实现端口层面的策略控制，以及网络地址转换(NAT)和端口地址转换(PAT)等高级网络功能。

firewalld提供了一个命令行工具firewall-cmd，用于配置和管理防火墙。

其中的一个常用命令是"firewall-cmd list-all"，它可以列出当前防火墙的所有规则和配置。

在本篇文章中，我们将详细解析这个命令的输出结果，以便更好地理解当前系统上的防火墙配置。

首先，我们需要了解输出结果的结构。

执行"firewall-cmd list-all"命令后，输出结果可能类似于以下内容：public (active)target: defaulticmp-block-inversion: nointerfaces: enp0s3sources:services: dhcpv6-client sshports: 80/tcpprotocols:masquerade: noforward-ports:source-ports:icmp-blocks:rich rules:输出结果中的每一行都代表一个防火墙规则或配置的属性。

现在，我们来一步一步地解析每个属性的含义和作用。

1. public (active)这是防火墙的一个区域(zone)。

firewalld根据不同的区域对不同的网络连接应用不同的策略。

例如，public区域适用于公共网络，而trusted 区域适用于受信任的本地网络。

这里的"(active)"表示该区域当前处于活动状态。

2. target: default这是防火墙的目标(target)，指定了当前所采用的默认策略。

firewalld 流量控制规则摘要：1.引言2.firewalld 简介3.流量控制规则的配置4.流量控制规则的示例5.结论正文：【引言】防火墙是网络安全的重要组成部分，它可以控制网络流量，保护网络不受到攻击。

firewalld 是一个Linux 防火墙管理工具，它可以方便地配置和管理防火墙规则。

在本文中，我们将介绍如何使用firewalld 配置流量控制规则。

【firewalld 简介】firewalld 是一个用于管理Linux 防火墙的工具，它可以在系统启动时自动启动防火墙，并且支持多种网络协议，包括TCP、UDP、ICMP 等。

firewalld 通过将防火墙规则添加到/etc/firewalld/firewalld.conf文件中来配置防火墙规则。

【流量控制规则的配置】firewalld 提供了多种流量控制规则，包括NAT、反向代理、端口转发等。

以下是一些常用的流量控制规则的配置方法：1.NAT（Network Address Translation）：NAT 可以将内部网络的IP 地址转换为外部网络的IP 地址，从而实现内部网络与外部网络的通信。

要配置NAT，需要使用以下命令：```firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" accept"firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="udp" accept"firewall-cmd --reload```2.反向代理：反向代理可以代理外部请求，将其转发到内部服务器。

windows防火墙如何去设置nat有时候我想用windows防火墙来设置下nat，那么该怎么样去设置呢?下面由店铺给你做出详细的windows防火墙设置nat方法介绍!希望对你有帮助!windows防火墙设置nat方法一：1.先看防火墙有没有对你的bt放行，这一点不同的杀毒软件，不同的防火墙设置有不同的操作流程(其他原因的解决操作也是可能对应好几种，这也正是本问题的解决有无数种操作的原因)我用的xp自带的防火墙：开始——控制面板——windows防火墙(从安全中心也找得到)——例外，看里面有没有你的bt，有的话直接在前面打勾，没的话点添加程序，找到你的bt执行程序加上去。

2.如果你的防火墙设置没有问题的话，一定是你的监听端口映射没有弄对，如果你的bt软件是bitcomet,最简单的解决办法——简单得让你惊讶:打开你的bt——选项——网络连接，点监听端口那一项的“选择随机端口”，bt软件会帮你自动检测并选择一个合适的。

你是动态ip的话可能每次重新上网后都需要这样点一下。

总的来讲，虽然实际原因可能各有不同，但从原理上来讲只有一个，就是你的bt端口有没有被连出去。

所以如果你用的其他bt软件也可照此依样画葫芦。

windows防火墙设置nat方法二：更认识NAT技术我先解所涉及几概念1.内部局部址内部网配主机IP址址能网络信息(NIC)或服务提供商所配合IP址2.内部全局址合IP址(由NIC或服务供应商配)应外部世界或本IP 址3.外部局部址现网络内外部主机IP址定合址内部网路由址空间进行配4.外部全局址由主机拥者外部网配给主机IP址该址全局路由址或网络空间进行配图1展示NAT相关术语图解于NAT技术提供4种翻译址式所示1.静态翻译内部局部址内部全局址间建立映射2.态翻译内部局部址外部址池间建立种映射3.端口址翻译超载内部全局址通允许路由器局部址配全局址局部址映射全局址某端口称端口址翻译(PAT)4.重叠址翻译翻译重叠址内部网使用内部局部址与另外内部网址相同通翻译使两网络连接通信保持实际使用通需要几种翻译式配合使用现我见Cisco路由器例阐述典型应用NAT技术实现1.配置共享IP址应用需求：您需要允许内部用户访问Internet没足够合IP址使用配置共享IP址连接InternetNAT转换式图2配置内部网络10.10.10.0/24通重载址172.16.10.1./24访问外部网络全程外部址利用态翻译进行转换做说明清单1展示具体配置NAT路由器配置清单1interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.10.64 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24!-- 定义名ovrldNAT址池址池重址172.16.10.1ip nat inside source list 1 pool ovrld overload!--指 access-list 1 允许源址转换NAT址池ovrld址并且转换内部机器重载相同IP址access-list 1 permit 10.10.10.0 0.0.0.31!-- Access-list 1 允许址10.10.10.010.10.10.255进行转换NAT路由器配置清单2interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.20.254 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat inside source static 10.10.10.1 172.16.20.1!-- 指定址10.10.10.1静态转换172.16.20.1适用范围：种情况适合于通信都由内部用户向Internet发起应用例型企业用户通共享xDSL连接Internet另外用软件进行NAT转换Windows 2000操作系统功能至于内部用户数量较情况建议使用代理服务器2.配置Internet发布服务器应用需求：您需要内部设备发布Internet使用配置Internet发布服务器NAT转换式图3内部网络邮件服务器(IP址10.10.10.1/24)发布外部网络全程使用静态翻译实现种转换清单2展示具体配置适用范围：种情况适合于访问外部网络向内部设备发起应用3.配置端口映射应用需求：假设您Internet发布台内部网络Web服务器服务器配置监听8080端口您需要外部网络Web服务器80端口访问请求重定向图4配置端口映射示意图清单3展示具体配置4.配置TCP传输应用需求：TCP传输装载共享与址匮乏关问题数设备址映射虚拟设备址实现设备间负载均衡图5址10.10.10.210.10.10.15真实设备映射虚拟10.10.10.1址全程清单4展示具体配置5.真实应用案例应用需求：笔者所单位内部局域网已建并稳定运行着各种应用系统随着业务发展需要实施数据外单位新应用于安全面考虑能够现网络结构进行调整改;另外由于资金面原需要尽能节省设备等面投入应用现状：我单位内部网结构：具3VLANVLAN 1(即10.1.1.X)使用单位内部应用系统与数据没数据交换;VLAN 2(即10.2.2.X)使用数据提供应用系统约100台机器;VLAN 3(即10.3.3.X)用2台机器使用数据提供应用别10.3.3.110.3.3.2数据提供台Cisco 3640Serial口与数据通HDSL连接配址别192.168.252.1255.255.255.252FastEthernet口与单位内部局域网连接配址别192.168.1.0255.255.255.0实施案：由于打算更改内部网结构所内部网址作内部局部址数据配址作内部全局址实施NAT应用另外NAT需要两端口做inside另做outside考虑使用FastEthernet口做insideSerial口做outside图6 本单位NAT技术应用图利用设置我功实现内部址翻译转换并实现改变现网络结构情况与数据连网目标三、比较选择1.与代理服务器比较用户经NAT代理服务器相混淆NAT设备源机器目标机器都透明址翻译网络边界进行代理服务器透明源机器知道需要通代理服务器发请求且需要源机器做相关配置目标机器则代理服务器发请求源机器并数据直接发送代理服务器由代理服务器数据转发源机器NAT路由器配置清单3interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.30.254 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80 !-- 指定址10.10.10.8:8080静态转换172.16.30.8:80NAT路由器配置清单4interface ethernet 0ip address 10.10.10.17 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 10.10.10.254 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts !--定义址池real-hosts址范围10.10.10.210.10.10.15!--指定址址池real-hosts转换10.10.10.1access-list 1 permit 10.10.10.1代理服务器工作OSI模型第4层传输层NAT则工作第3层网络层由于高层协议比较复杂通说代理服务器比NAT要慢些NAT比较占用路由器CPU资源加NAT隐藏IP址跟踪起比较困难利于管理员内部用户外部访问跟踪管理审计工作所NAT技术适用于内部用户数量较少应用访问外部网络用户数量且管理员内部用户访问策略设置访问情况跟踪应用使用代理服务器较些NAT路由器配置清单5interface fastethernet 1/0ip nat inside!-- 定义内部转换接口interface serial 0/0ip address 192.168.252.1 255.255.255.252ip address 192.168.1.254 255.255.255.0 secondaryip nat outside!-- 节省端口数据提供址全部绑Serial口ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24ip nat inside source list 1 pool ToCenter!-- 建立态源址翻译指定前步定义访问列表access-list 1 permit 10.3.3.1access-list 1 permit 10.3.3.2access-list 1 permit 10.2.2.0 0.0.0.255!-- 定义标准访问列表允许访问数据址进行翻译2.与防火墙比较防火墙或组安全系统网络间执行访问控制策略防火墙流经网络通信数据进行扫描能够滤掉些攻击免其目标计算机执行防火墙关闭使用端口禁止特定端口流通信封锁特洛伊木马等禁止自特殊站点访问防止自明入侵者所通信般防火墙都具NAT功能或者能NAT配合使用应用防火墙技术NAT 技术别IP址隐藏起外界发现使外界直接访问内部网络设备作网络安全重要手段选用单纯NAT技术带NAT技术防火墙要几面考虑：您企业运营机构何运用访问控制策略明确拒绝除于连接网络至关重服务外所服务访问提供种计量审计;二您企业网需要何种程度监视、冗余度及控制水平;三则财务考虑高端完整防火墙系统十昂贵否采用防火墙需要易用性、安全性预算间做平衡决策四、安全安全我几面窥视NAT技术安全性问题1.NAT址进行转换进行其操作您建立与外部网络连接NAT阻止任何外部返恶意破坏信息2.虽NAT隐藏端端IP址并隐藏主机信息例您通NAT设备访问Windows Streaming Media服务器您发现服务器记录仅您主机名您内部IP址操作系统3.Internet恶意攻击通针机器熟知端口HTTP80端口、FTP21端口POP110端口等虽NAT屏蔽向外部网络放端口针面向熟知端口攻击能力4.许NAT设备都记录外部网络内部网络连接使您受自外部网络攻击由于没记录追查您根本发觉自受攻击NAT隐藏内部IP址使其具定安全性面析我知道能NAT作网络单安全防范措施。

网络防火墙的网络地址转换（NAT）配置指南随着互联网的普及和发展，网络防火墙在保护企业网络安全方面扮演着至关重要的角色。

而网络地址转换（NAT）作为一种网络安全机制，被广泛应用于网络防火墙的配置中。

本文旨在为读者提供一个网络地址转换配置指南，帮助企业理解和实施该机制。

引言在介绍NAT的配置指南之前，我们先要明确NAT的基本概念及其在网络安全中的作用。

NAT是一种将一个IP地址转换为另一个IP地址的技术，它主要用于在私有网络与公共网络之间进行通信。

通过将私有IP地址转换为公共IP地址，可以提高网络的安全性，同时实现更高效的资源利用。

一、了解NAT的基本原理在配置NAT之前，我们应该先了解NAT的基本原理。

NAT主要包括源NAT和目标NAT。

源NAT用于将内部网络的私有IP地址转换为公共IP地址，以在公共网络上进行通信。

目标NAT则是将公共IP地址转换为内部网络的私有IP地址，以使公共网络上的数据包能够正确传递到内部网络中的特定主机。

二、配置源NAT源NAT的配置是非常关键的，它需要在企业防火墙设备上进行。

以下是配置源NAT的步骤：1. 确定需要进行源NAT的内部网络。

根据企业的实际情况，确定哪些内部网络需要进行源NAT转换以与公共网络通信。

2. 为每个需要进行源NAT的内部网络选择一个公共IP地址池。

这个公共IP地址池可以是由企业自己拥有的IP地址，也可以是从ISP 提供的IP地址中选择。

确保公共IP地址池能够满足企业的需求，并且不会与其他网络冲突。

3. 配置源NAT规则。

在防火墙设备上，设置源NAT规则，将内部网络的私有IP地址映射到相应的公共IP地址。

这样当内部网络发起外部通信时，数据包将会被源NAT转换，并以公共IP地址为源地址进行传输。

三、配置目标NAT与源NAT类似，配置目标NAT也需要在企业防火墙设备上进行。

以下是配置目标NAT的步骤：1. 确定需要进行目标NAT的公共网络。

根据企业的需求，确定哪些网络需要进行目标NAT转换以与内部网络通信。

实验：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。

}1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境。

配置IP地址，以及配置PC A 和B的缺省网关为202.0.0.1，PC C 的缺省网关为202.0.1.1，PC D 的缺省网关为202.0.2.1。

202.0.0.2/24202.0.1.2/24192.0.0.1/24192.0.0.2/24202.0.0.1/24202.0.1.1/24S0S0E0E0202.0.0.3/24202.0.2.2/24E1202.0.2.1/24AR18-12AR28-11交叉线交叉线A BCD图 13、在两台路由器上都启动RIP ，目标是使所有PC 机之间能够ping 通。

请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。

（5分）AR28-11[Quidway]interface e0/0[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial0/0[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip[Quidway-rip]network 0.0.0.0 AR18-12[Router]interface e0[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface s0[Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router -Ethernet0]quit [Router]rip[Router -rip]network all4、在AR18和/或AR28上完成防火墙配置，使满足下述要求：（1） 只有PC 机A 和B 、A 和C 、B 和D 之间能通信，其他PC 机彼此之间都不能通信。

网络防火墙的网络地址转换(NAT)配置指南随着互联网的普及和发展，网络安全问题变得越来越重要。

为了保护网络的安全，网络防火墙起到了非常重要的作用。

其中，网络地址转换(NAT)作为网络防火墙的一项关键功能，对于网络安全的提升起到了积极作用。

一、NAT的基本概念和作用网络地址转换(NAT)是指将一组IP地址映射到另一组IP地址的过程。

它的基本作用是在内部局域网和外部公网之间建立一道有效的隔离层，保护内部网络的安全和隐私。

NAT可以将内网的私有IP地址转换成公网的公有IP地址，从而在公网上隐藏了内网的真实IP地址，提高了网络的安全性。

同时，NAT还可以实现多台计算机共享一个公网IP地址的功能，节约了IP地址资源。

二、配置NAT的方式和步骤1. 确定内网和外网的网卡接口，一般情况下，内网使用私有IP 地址，外网使用公有IP地址。

2. 配置内网和外网的IP地址和子网掩码，确保其处于同一个网段。

3. 配置NAT的转换规则，指定内网IP地址和外网IP地址之间的映射关系。

4. 配置NAT的端口映射，实现内网IP地址和外网端口之间的映射关系。

5. 启动NAT服务，使配置生效。

6. 进行网络测试，验证NAT配置是否成功。

三、NAT配置的注意事项1. NAT配置需要谨慎进行，因为一旦配置错误，可能导致网络无法正常工作。

在进行NAT配置之前，应仔细了解网络设备的功能和参数，确保配置的正确性。

2. NAT配置需要考虑网络的安全性，需要合理设置转换规则和端口映射，限制外部访问内网的权限，保护内网的隐私。

3. NAT配置需要根据具体的网络环境和需求进行调整，不同的网络环境和需求可能需要不同的配置方案，需要灵活运用NAT功能。

四、NAT配置的案例分析为了更好地理解NAT的配置过程，下面以企业内网与外网之间的通信为例进行分析。

假设企业内部有多台计算机需要访问外部服务器，但是只有一个公网IP地址可供使用。

这时，可以通过NAT配置来实现多台计算机共享一个公网IP地址的功能。

防火墙Firewall设置方法Firewall 防火墙，工作在网络或主机的边缘，对进出本网络或主机的数据包根据事先设置好的规则进行检查并且能够在数据包匹配到之后由预置的动作进行处理的组件的组合，有规则(符合条件，就有规则指定的动作进行处理)，下面是小编整理的相关知识！主机防火墙：管理本主机;网络防火墙：管理整个网络;防火墙的分类：1、包过滤型防火墙：工作在TCP/IP层,根据tcp首部或ip首部数据进行判断，安全性较低，效率较高;1、简单包过滤;2、带状态检测的包过滤;1)NEW状态;-建立连接;2)ESTABLISHED状态;-建立连接并传输数据;3)INVALID状态(无法识别的状态);4)RELATED(相关联的状态);2、应用层网关防火墙：工作在应用层，根据数据包传输的实际数据进行判断，安全性较高，效率较低;防火墙工作在内核空间，需要在内核空间开口子去定义规则(只有管理员可以定义规则，命令是否正确等)，在内核上开的口子称为Netfilter(网络过滤器);地址转换功能：NAT 网络地址转换;1)SNAT 源网络地址转换;在POSTROUTING上做转换;连接跟踪;2)DNAT目标地址转换;在PREROUTING上做转换;mangle 数据包每经过一次路由减1然后将ip首部打开修改TTL 值加1，让访问用户不知道有防火墙;raw----没多做解释;filter过滤在INPUT,OUTPUT和FORWARD接口上;nat地址转换在PREROUTING,POSTROUTING,OUTPUT接口上;mangle撕裂在PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING接口上;raw在PREOUTING和OUTPUT接口上;优先级排序：raw--->mangle--->nat--->filteriptables命令用法：iptables [-t TABLE] COMMAND CHAIN [creteria] -j ACTION-t {raw|mangle|nat|filter},默认filterCOMMAND的分类:规则管理类：-A 追加到最后一条(append);-I # 插入第几条(insert);-D # 表示删除第几条(delete);-R # 表示替换某条规则;链接管理类：-F 清空(flush)链中规则,加链表示清空某条链;-N 新建链(new),可以用-j跳转到这个链上;-X 删除自己定义的空链;-E 重命名(rename);默认策略：-P (policy);清空计数器：-Z (zero);每条规则(包括默认策略)都有两个计算器;1)被此规则匹配到的所有数据包的个数;2)被此规则匹配到的所有数据包的大小之和;查看类：-L (list)列表的格式显示;-L的子选项：-n (以纯数字的格式显示numeric);-v 详细的信息(verbose)，-vv或-vvv更详细;-x 显示精确信息不做单位换算(exactly);--line-numbers 规则显示行号;匹配条件creteria：基本匹配：-s SOURCE:(IP,NETWORK)或加!表示取反(例：! -s NETWORK);(可以省略表示多有主机)-d DESTIONIP(目标地址);-p {tcp|udp|icmp};-i INTERFACE 表示从哪个网卡流进来;(仅用于INPUT,FORWARD,POSTROUTING)-o INTERFACE 表示从哪个网卡流出去;(仅用于OUTPUT,FORWARD,PRETROUTING)扩展匹配：指的是调用iptables的模块，以便扩展iptables的匹配功能;隐含扩展-p tcp--sport PORT--dport PORT--tcp-flags 检查tcp的标志位;只检查ACK,SYN,RST,FINSYN的简写--syn-p udp--sport PORT--dport PORT-p icmp--icmp-typeping命令的TYPE：echo-request请求用8代替; echo-reply 回应用0代替;3----自己查看TCP/IP详解书;显示扩展(必须用-m指定检测状态);-m state --state 检测状态-m multiport这个模块匹配一组源或目标端口,可以指定多达15个端口;--source-ports 22,53,80--destination-ports 22,53,80--ports 22,53,80-m iprange(指定ip范围)--src-range ip-ip--dst-range ip-ip-m connlimit(并发连接限定)--connlimit-above # (超过#个)-m limit--limit rate 限定速率;--limit-burst number 限定峰值;-m string 字符串匹配;--algo bm|kmp(算法);--string “STRING”-m time 时间限制;--timestart value(10:00);--timestop value--days lsitofday--datestart date--datestop date-j ACTION(ACTION的选项);ACCEPT 允许;DROP 拒绝(悄悄的丢弃);REJECT 拒绝(直接拒绝);SNAT 源地址转换;DNAT 目标地址转换;REDIRECT 重定向端口;RETURN 返回INPUT链;如何开放FTP服务：主动模式下：tcp 20(数据)，21(命令);被动模式下:tcp 21,>1023的端口;上述需要将RELATED(相关联的状态)打开;modprobe ip_nat_ftplsmod | grep tcpredhat中iptables的脚本文件为/etc/rc.d/init.d/iptablesservice iptables start 启用保存的规则;service iptables stop 清空链;/etc/sysconfig/iptables 保存规则的文件;/etc/sysconfig/iptables-config 向iptables脚本提供配置文件的文件;将规则保存到配置文件中的方法：1)service iptables save 将规则保存到配置文件中的命令;2)iptables-save > /etc/sysconfig/iptables-test (将生效的规则保存至自己指定文件中);iptables-restore < /etc/sysconfig/iptables-test (从另外自己指定的规则文件启用规则);地址转换：源地址转换：-j SNAT --to-source 192.168.100.1 指定源地址转换成其它地址;-j MASQUERADE(地址伪装，比SNAT占用更多的资源，当ADSL拨号上网做转换时比较常用);目标地址转换：一般要限定协议和端口;-j DNAT --to-destination 192.168.100.2PNAT端口转换：-j DNAT --to-destination 192.168.100.2[:port]请求的和转发的相同可省略，不相同不省略;-j LOG 转发日志;--log-prefix “DNAT for web”可以与-m limit --limit 3/minute --limit-burst 3合用;利用iptables的recent模块来抵御DOS攻击;(以拒绝服务的方式实现，很有限)-m recent--set --name SSH--update --seconds 300 --hitcount 3利用iptables的recent模块来抵御DOS攻击示例;ssh: 远程连接，iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j DROPiptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSHiptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP1.利用connlimit模块将单IP的并发设置为3，会误杀使用NAT 上网的用户，可以根据实际情况增大该值;2.利用recent和state模块限制单IP在300s内只能与本机建立3个新连接，被限制一分钟后即可恢复访问;下面对最后两句做一个说明：1.第一句是记录访问tcp 22端口的新连接，记录名称为SSH;--set 记录数据包的来源IP，如果IP已经存在将更新已经存在的条目;2.第三句是指SSH记录中的IP，300s内发起超过3次连接则拒绝此IP的连接;--update 是指每次建立连接都更新列表;--seconds必须与--rcheck或者--update同时使用;--hitcount必须与--rcheck或者--update同时使用;3.iptables的记录：/proc/net/ipt_recent/SSH。

NAT、PAT、DMZ、端⼝映射、端⼝转发、UPNP前⾔：⼀般运营商宽带分为“运营商公⽹宽带”和“运营商内⽹宽带”，企业或者家庭中⽤公⽹宽带可以实现⼀些对外的服务器环境，但因为全球⽹络设备的增多，ipv4⽆法给所有⽹络设备分配地址，这时候便出现了“运营商内⽹宽带”，通过NAT和内⽹（局域⽹）、公⽹的⽅法解决了ipv4地址紧张问题，⽬前家庭宽带⼀般都是内⽹宽带（电信、联通个⼈可以申请公⽹IP，移动基本⽆法申请成功），也正是因为“运营商内⽹宽带”，所以⼀般家⽤宽带现在均⽆法实现在家建设对外服务器，不过可以通过内⽹穿透等技术实现，本⽂不做过多阐述。

本⽂中的DMZ、端⼝映射、端⼝转发、UPNP只有在“运营商公⽹宽带”中⽤来做对外web服务器或远程跳板机等才有意义，所以⽤它们之前，你得有个公⽹宽带。

这⾥提供⼀种如何查看⾃⼰是否有公⽹IP的⽅法：打开百度输⼊“IP”进⾏搜索，会跳出来⼀个IP地址，然后你打开路由器设置界⾯，查看WAN的IP地址，如果这两个IP地址⼀模⼀样，那么恭喜你，你拥有⼀个公⽹IP。

如果不⼀样就不是公⽹IP。

下⾯是简单画的俩张运营商宽带⽹络图：对⽐这俩张图可以发现内⽹宽带⽐公⽹宽带在运营商那边多了⼀个NAT，相当于保留地址实际就是运营商那边的⼀个局域⽹IP，当然图⽚只是⽰意，运营商那边可能不⽌⼀个NAT（某动的宽带就有⼤量这种⾏为，⼀层⼀层的NAT，这也是为什么某动宽带有些⽹站打不开的原因之⼀），⽽这也是为什么内⽹宽带⽆法做对外服务器的原因，左图公⽹宽带只要设置路由器中的NAT（静态端⼝映射）内⽹IP+内⽹端⼝和公⽹IP+端⼝对应就能实现内⽹主机与公⽹主机的双向访问，⽽右图中尽管路由设置了NAT（静态端⼝映射），此时也只是实现了保留地址与局域⽹的对应关系，在运营商部分的NAT是PAT（动态端⼝映射），即⼀个公⽹IP，通过多个不同端⼝来映射内⽹设备，当没有连接时，映射将会取消，再次连接时再⾃动分配⼀个映射端⼝，且个⼈⽆法进⾏设置对应关系，所以内⽹IP+端⼝映射到最后的公⽹IP+未知端⼝上，此时局域⽹中的主机只能访问公⽹中其他主机，⽽公⽹中其他主机因为找不到局域⽹中映射的公⽹具体端⼝，不能访问局域⽹主机，针对这种情况，我个⼈有个想法，就是通过扫描最后的公⽹IP开放端⼝，然后⼀个端⼝⼀个端⼝进⾏连接测试，最终应该会找到映射的那个端⼝，不过这种⽅法不够现实。