Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
1、常规设置
- 启用 SYN-flood 防御:防止SYN-flood攻击,这是一个拒绝服务攻击,攻击者通过发送大量半连接请求来耗尽服务器资源。勾选后,防火墙会检测并阻止这种攻击。
- 丢弃无效数据包:
- 丢弃那些违反TCP/IP协议的无效数据包,这有助于减少不必要的网络流量,提升安全性。
- 通常建议启用,防止恶意数据包对网络产生负面影响。
- 入站数据:
- 控制进入网络的数据包规则。在这里你可以选择“接受”、“拒绝”或“丢弃”外部进入的流量。
- 默认值为“接受”,允许外部流量进入指定区域。
- 出站数据:
- 控制从本地网络发出的数据包规则。通常情况下,允许出站流量,但可以根据需要限制某些类型的流量。
- 默认值为“接受”,允许内部流量发往外部。
- 转发:
- 控制数据包在不同网络接口之间的转发行为。
- 默认设置为“拒绝”,防止未经授权的网络转发,保证网络隔离。
- 启用 FullCone-NAT:
- FullCone NAT使外部设备可以通过同一个IP和端口多次访问内网设备。这对P2P应用和某些游戏会话连接比较友好。
- 兼容模式:通常是对常规NAT模式的优化,兼顾兼容性和网络性能。
2、端口转发
- 注意:常规设置中,转发设为拒绝,影响的是全局,但是端口转发规则的优先级高于转发,针对特定的端口转发规则允许通行。
- 举例说明:比如我把大门关着,对外宣称所有人都不可以通行,但是针对部分有通行证的人(设置了端口转发规则)还是可以放行的。
- 一般情况下的端口转发
- Docker中的端口转发
- 这种情况下,我们可以简单的理解:Docker相当于一另一台独立的主机,它也有一个内部端口和外部端口,如果我们想要访问docker里面的镜像,需要映射好Docker的端口,然后再做好端口转发,这时候软路由/路由器的内部端口和Docker映射端口可以理解为同一端口。
- 举例说明:例如Docker中有个镜像设置端口映射为5001:5000,如果我们想访问该镜像,就需要添加一个端口转发规则:外部端口(自定义):5001
- 注意:如果Docker使用的是本机网络,则不需要设置端口转发,直接设置通信规则即可
- 设置模板(根据自己实际情况填写)
3、通信规则
- 通信规则设置的优先级高于常规设置下的转发,虽然转发设置了拒绝,但是如果设置了通信规则,它会优先匹配所设置的通信规则。
- 通信规则有点像我们平常的服务器防火墙规则设置,只是通信规则它可以设置的条件会更多,针对满足条件的流量,实行丢弃、接受、拒绝等操作。
- 下图,以最简单的放行指定端口为例
4、NAT(网络地址转换)规则
- NAT规则和端口转发、通信规则同理,优先级高于常规设置
- 主要作用是通过修改数据包的源或目标IP地址来实现内网和外网的通信。具体作用如下:
- 共享公共IP地址:NAT允许多个局域网设备共享一个公共IP地址访问互联网。通过NAT,路由器可以将内网设备的私有IP地址转换为路由器的公共IP地址,从而让多个设备在外网看来只有一个IP地址。
- 隐藏内网结构:NAT隐藏了内网设备的真实IP地址。外部网络只能看到路由器的公共IP,而看不到内网设备的私有IP,从而增加了网络安全性,防止外网直接访问内网设备。
- 端口转发:NAT规则可以用来将外部网络的特定端口请求转发到内网的某个设备。比如,你可以设置NAT规则,将外部访问路由器的某个端口的请求转发到内网的某个服务器,允许外网用户访问内网资源。
- 地址重写(Masquerading):NAT可以自动重写数据包的源IP地址为路由器的外部IP。这种机制确保内网设备的数据包可以顺利通过路由器访问外部网络,而外网返回的流量也能正确转发回到内网设备。
- 跨网络通信:NAT 还可以用于两个不同网络(例如不同子网之间)的通信,帮助在网络之间转发流量。
- 注意:本规则一般情况下保持默认即可,如果安装了Docker镜像,需要用公网IP的情况下,需要把这个取消启用,等连接上,在把它启用回来
5、IP集合
- 防火墙的IP集合(IP sets)是一种高效的方式来管理大量的IP地址、网络段或主机的集合。
6、自定义规则
- 自定义规则可以实现前面所有的功能,相对更加个性化
