伺服器映射究竟是什麼呢?#黑洞路由#
靜態映射(nat server)
Nat server 也叫內部伺服器功能,用戶的公網地址來訪問伺服器的私網地址時進行轉換,將防火牆的公網地址來代替伺服器地址,給予用戶進行訪問。通俗地說,與dns十分相似。就如下圖
用戶訪問202.202.1.1,在防火牆轉換為192.168.1.1進行訪問伺服器,外部用戶完全不知道伺服器的具體地址,只是知道防火牆上的公網地址。
Nat server 可以通過兩種方式進行轉換,一種是靜態ip,一個是動態ip(接口ip),這兩種說在於的區別是,靜態是自己進行對他的埠一一配置的,你走同一個私網地址的80埠,就只能走80。動態不一樣,它可以形成正反兩個sever map 表項,不受埠影響。但是都受安全策略的影響,動態的優勢在,ip的利用率高。
值得注意的是,這個nat sever 是需要配置黑洞路由的,為什麼這麼說呢?
路由黑洞
就如上圖一樣,外網用戶要訪問1.1.1.2的網段,但是呢,防火牆它在內網沒有這個網段,所以會根據他本來的預設路由(其他網段都去另一條路)進行匹配,跑回去路由器,路由器它也要訪問1.1.1.2啊,就必須往防火牆上走。於是就形成了一條閉環迴路,路由器和防火牆會發送了大量arp報文,造成防火牆的資源消耗。黑客入侵的手段之一。於是就需要一個黑洞,把這些沒用的報文吃掉,就是黑洞路由。
這是怎麼實現的呢?
一般的報文都是24位的,就如同1.1.1.2/24一樣。於是我就安排黑洞路由1.1.1.1/32,如果路由發起的報文變成32位,便會被防火牆直接都丟掉,不再訪問路由表。
目的NAT
這個大多出現在以前的海外版諾基亞啊之類的海淘手機,因為手機裡面有一個wap的一個上網網關,但是中國和外國的上網網關是不同的。比如中國要9.9.9.9才能上網,你這個外國手機的網關確實8.8.8.8,所以沒法上網。
於是呢,國內的運營商就將你這個8.8.8.8,通過防火牆的目的nat,發向9.9.9.9,就能實現連通。
當下美版有鎖的蘋果怎麼就不能?
因為運營商防止你違約,怕你用了其他運營商的SIM卡,就如同移動合約機一樣,只能用移動卡,而且運營商將IMSI寫在寫在基帶裡面沒法修改。
以上就是我的分享,有什麼不懂的可以評論區留言哦