作者simonxander (显显)
看板PangSir
标题Re: [ CN ] HW3 - firewall
时间Fri Dec 28 19:53:39 2012
※ 引述《coquelicot (蚯蚓)》之铭言:
: ※ 引述《simonxander (显显)》之铭言:
: : 如果正常的使用 echo + reply 的话应该在NAT之内也可以正常的执行
: : echo 个数没有限制
: : 时间方面因为ping的两边都是自己写的,没有timeout 的问题
: : 以下是我的 iptables,你可以参考看看
: : Chain OUTPUT (policy DROP)
: : target prot opt source destination
: : ACCEPT icmp -- anywhere anywhere
: : ACCEPT all -- anywhere localhost
: : 也就是对外全数DROP除了连localhost 或 icmp 之外
: : 这样我的程式是可以正常执行的
: 抱歉不是很懂助教的设定QQ.
: 助教的设定是在 FILTER 的 OUTPUT 上,
: 可是这样限制的应该是本机对外的连线吧?
: 如此并没有 NAT 的机制?
: 还是我误会了什麽 OAO. 我想像中应该是这样
: VM1 -> VM2(router, nat, firewall) -> host -> internet
: VM2 要用 NAT 把 VM1 藏起来, 然後顺便把一些封包挡掉, 是吧 @@?
对 理论上应该会有一台vm当作firewall,不过这样会需要3台vm
为了简化测试程序,vm2就是在NAT外面的电脑了
firewall的功能就由vm1自己来模拟,所以是限制output
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 101.12.53.13
1F:推 coquelicot:可是这样并没有真的测试到NAT吧?? 12/28 23:31
2F:→ coquelicot:NAT 会有 mapping 的问题 @@ 12/28 23:31
3F:→ simonxander:因为这次作业主要是让同学实作ICMP的protocal 12/29 21:07
4F:→ simonxander:所以测试的部分并没有限制的非常严格 12/29 21:08
5F:→ simonxander:mapping 的问题是什麽呢? 如果有正常的实作 icmp 的话 12/29 21:09
6F:→ simonxander:应该就算在 NAT 底下 也是可以正常的接收icmp reply的 12/29 21:09
7F:推 coquelicot:我的问题就在於, 有时可以有时不行阿 QQ 12/30 11:27