朋友們,我想在某些情況下測試我的防火牆流量,並想知道我是否可以用一台電腦來完成它。我在電腦中設定了以下IP位址(單網卡,2個ip位址)
192.168.1.50
192.156.1.60
我在我的電腦中配置了以下網關(這兩個都是我的防火牆)
192.168.1.1
192.156.1.1
我的電腦上有一台 ftp 伺服器。它可以通過192.168.1.50和訪問192.156.1.60
我可以使用以下命令打開終端機並打開 ftp 會話ftp 192.156.1.60
當我發出上述命令時,我想使用192.168.1.50ftp 用戶端和192.156.1.60ftp 伺服器的 IP 並透過防火牆路由流量。即,192.168.1.1 必須接受客戶端流量,而 192.156.1.1 必須發回伺服器流量。防火牆之間192.168.1.50和192.156.1.60防火牆之外不應發生任何通訊。這可能嗎?請幫忙。
答案1
首先,您不應該使用公共網際網路位址進行測試,例如192.156.1.60指派給「USMC 網路營運中心」的位址。
您的場景不反映典型的防火牆場景。由於您的兩個位址都是本機位址,因此流量不會通過 FORWARD 鏈。
Netfilter資料包流程圖顯示封包將通過防火牆的 INPUT 鏈,然後傳遞到本機進程。
INPUT / OUTPUT 和 FORWARD 鏈的行為有些不同。因此最好使用FORWARD鏈進行測試。
為了使用 FORWARD 鏈進行測試,您需要設定虛擬機器或容器來託管服務和用戶端,並在它們之間添加防火牆。