内网:192.168.1.2,内网服务器:192.168.1.254
外网:10.0.0.2
不开启nat hairpin,访问流量路径是:从192.168.1.2直接走内网访问服务器192.168.1.254。
在端口开启nat hairpin enable后,路径就是192.168.1.2到NAT端口10.0.0.2转换后再访问192.168.1.254。相当于从外网NAT接口绕了一圈再访问192.168.1.254。
这样做的好处就是,所有访问服务器的流量都是经过防火墙控制,从而拒绝了来自内网的内部攻击(防止内鬼)。
brctlhairpin默认不开启。因为brctl可能版本不支持 hairpin命令,所以brctlhairpin默认不开启。
brctl 用来管理以太网桥,在内核中建立、维护、检查网桥配置。一个网桥一般用来连接多个不同的网络,这样这些不同的网络就可以像一个网络那样进行通讯。网桥是一种在链路层实现中继,对帧进行转发的技术,根据MAC分区块,可隔离碰撞,将网络的多个网段在数据链路层连接起来的网络设备。网桥工作在数据链路层,将两个LAN连起来,根据MAC地址来转发帧,可以看作一个“底层的路由器。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)