服务器映射究竟是什么呢?#黑洞路由#
静态映射(natserver)
Natserver也叫内部服务器功能,用户的公网地址来访问服务器的私网地址时进行转换,将防火墙的公网地址来代替服务器地址,给予用户进行访问。通俗地说,与dns十分相似。就如下图
用户访问..1.1,在防火墙转换为..1.1进行访问服务器,外部用户完全不知道服务器的具体地址,只是知道防火墙上的公网地址。
Natserver可以通过两种方式进行转换,一种是静态ip,一个是动态ip(接口ip),这两种说在于的区别是,静态是自己进行对他的端口一一配置的,你走同一个私网地址的80端口,就只能走80。动态不一样,它可以形成正反两个severmap表项,不受端口影响。但是都受安全策略的影响,动态的优势在,ip的利用率高。
值得注意的是,这个natsever是需要配置黑洞路由的,为什么这么说呢?
路由黑洞
就如上图一样,外网用户要访问1.1.1.2的网段,但是呢,防火墙它在内网没有这个网段,所以会根据他本来的缺省路由(其他网段都去另一条路)进行匹配,跑回去路由器,路由器它也要访问1.1.1.2啊,就必须往防火墙上走。于是就形成了一条闭环回路,路由器和防火墙会发送了大量arp报文,造成防火墙的资源消耗。黑客入侵的手段之一。于是就需要一个黑洞,把这些没用的报文吃掉,就是黑洞路由。
这是怎么实现的呢?
一般的报文都是24位的,就如同1.1.1.2/24一样。于是我就安排黑洞路由1.1.1.1/32,如果路由发起的报文变成32位,便会被防火墙直接都丢掉,不再访问路由表。
目的NAT
这个大多出现在以前的海外版诺基亚啊之类的海淘手机,因为手机里面有一个wap的一个上网网关,但是中国和外国的上网网关是不同的。比如中国要9.9.9.9才能上网,你这个外国手机的网关确实8.8.8.8,所以没法上网。
于是呢,国内的运营商就将你这个8.8.8.8,通过防火墙的目的nat,发向9.9.9.9,就能实现连通。
当下美版有锁的苹果怎么就不能?
因为运营商防止你违约,怕你用了其他运营商的SIM卡,就如同移动合约机一样,只能用移动卡,而且运营商将IMSI写在写在基带里面没法修改。
以上就是我的分享,有什么不懂的可以评论区留言哦
