2つの異なるISP接続があります。以前の「IT担当者」は次のようにファイアウォールを設定しました。
/etc/rc.local起動時に実行されると、特定のISP接続を使用するように特定の内部ホストをルーティングするために、一連のip rule addおよびip route addコマンドを実行しました。
次に、の終わりに/etc/rc.local、iptablesによって生成されたファイアウォールルールを実行しましたFirewall Builder。これらのiptablesルールには、ポリシーとNATルールの両方が設定されています。
私が理解していないのは、なぜ彼iproute2がルールとルートを指定するために使用したが、NATルールも指定したのiptablesですか?なぜ両方を使用するのではなく、どちらか一方だけですべてを実行しなかったのですか?彼はiproute2ルールとルートを削除して、それらすべての同じルールをiptablesNAT設定に入れることができましたか?
回答:
2つのツールの機能は一部重複していますが、ツールの1つからしか実行できないことがたくさんあります。 iproute2netfilterファイアウォールルールでは何もできません。 iptablesIPアドレスの割り当てなどはできません。
機能が重複しているように見える場所でも、実際には重複しません。たとえば、あなたは両方でアドレス変換を行うことができますiproute2し、iptables。ただし、iprouteで実行できるアドレス変換では、状態は考慮されず、パケットの書き換えはまったく行われません。FTP、SIP、H.323など、IPアドレスがヘッダーだけでなくパケット内に含まれるネットワークプロトコルがいくつかあります。アドレス変換にiprouteメソッドを使用すると、これらのタイプのプロトコルは機能しなくなります。Netfilterは、アドレス変換においてはるかに優れた働きをします。
機能が重複するほとんどの場合、機能はさまざまな方法で処理されます。モジュールでを使用してルーティングを行うことは可能ですiptablesが、前回、ほとんどのディストリビューションにモジュールが存在しないことを確認しiptablesて、ROUTEターゲットでnetfilter / パッチを適用していませんでした。そのターゲットが利用できない場合、独自のカーネルをコンパイルする気がない限り、ルーティングにnetfilterを使用できません。使用しているツールのバージョンは、実行しているツールのバージョンで機能が利用できないためです。ROUTEターゲットがあるとしても、私が理解していることから、ルーティングを決定するためにnetfilterを使用することは、標準のルーティングテーブルをiproute2操作してルーティングすることほど効率的ではありません。
その多くは、適切な仕事に適切なツールを使用しています。 iproute2は、主にコンピューター上のルーティングとアドレスを管理するために設計されています。 iptables/ Netfilterはファイアウォールのために構築されています。
人がどちらかのツールを使用できる場所では、彼らは通常、最も慣れているツールを使用すると思います。でiptables同じルールを記述できたとしても、のMARKターゲットを使用して、一方のルートまたは他方のルートのいくつかのパケットにフラグを立てることはわかっていますiproute2。