深入现实世界:包过滤网关配置指南
1. 从单机到网关
在之前的基础上,我们现在要进入更常规的领域——包过滤网关的设置。虽然本章的很多内容在单机设置中也可能有用,但我们现在的主要重点是搭建一个能处理常见网络服务的网关。
2. 简单网关与NAT
我们开始构建通常所说的防火墙,即一台至少为另一台机器充当网关的设备。它不仅要在不同网络之间转发数据包,还要提高所处理网络流量的信噪比,这就需要进行PF(Packet Filter)配置。
3. 网关配置的理论基础
在进行实际配置之前,我们需要了解一些理论知识。在单机设置中,网络流量要么通过规则允许流出,要么被过滤规则阻止,我们可以自主决定允许哪些外部流量进入。但设置网关时,视角发生了变化,我们要决定所有连接网络之间的流量走向。
网关通常有多个(至少两个)网络接口,每个接口连接一个独立的网络。当我们想让连接到re1的网络流量通过到连接到re0的网络主机时,可能会写出这样的规则:
pass in proto tcp on re1 from re1:network to re0:network port $ports keep state然而,这只是让流量进入网关本身,要让数据包继续传输到下一个网络,还需要匹配的规则:
pass out proto tcp on re0 from re1:network