7.4. FORWARD 和 NAT 规则

多数机构从它们的 ISP 处得到数量有限的可公开选路的 IP 地址。鉴于这种限额，管理员必须创建性地积极寻求分享互联网服务的方法，而又不必把稀有的 IP 地址分配给 LAN 上的每一台机器。使用专用 IP 地址是允许 LAN 上的所有机器正确使用内部和外部网络服务的常用方法。边缘路由器（如防火墙）可以接收来自互联网的进入交通，并把这些分组选路发送它们意图发送的 LAN 节点上；同时，防火墙/网关还可以把来自 LAN 节点的输出请求选路发送到远程互联网服务中。这种转发网络交通行为有时会很危险，特别是随着能够假冒内部 IP 地址、使远程攻击者的机器成为你的 LAN 上的一个节点的现代攻击工具的出现。为防止此类事件的发生，iptables 提供了选路发送和转发策略，你可以实施它们来防止对网络资源的变相利用。

上面是一段介绍iptables的文字，我的问题是，它上面提到外部IP假冒内部IP，但在两个网络的连接处，明显是分别通过两个不同的网络接口把两个网络连接起来的啊，外部的IP怎么可以做到假冒内部的IP呢？

fierygnu, 期待你的精彩解答。

1、外网节点是通过发送源IP属于内网网段的IP包来仿冒内部IP
2、普通网关收到该报文后，只会根据目的IP进行路由，不检查源IP的路由出口是否与此报文的入口一致，这就被仿冒了
3、如果内网的某些服务只是以报文的源IP网段作为认证标准，则认证通过
4、内网服务器以为该内部IP请求了服务，做出响应，该响应被路由给真正拥有该IP的内网设备，可能导致DoS攻击

这个跟几个网卡没有关系。

guosha贴的那段文字，翻译水平。。。

网络接口并不知道 从外面口的的是 假冒IP. 它只辨认是否是一个网段。是则认为是"自己人"

有情支持，这个问题也是我想问的。
我觉得如果LAN和WAN使用一个网卡的话，外部的IP包都是可以假冒。但是如果LAN和WAN使用两个不同的网卡，外部的IP包只能传送到WAN的网卡，不能被LAN接收的话，应该就不能假冒了吧。
——————————————————————————————
《精通Unix下C语言编程与项目实践》
本书以实际应用为目标，直接讲述在产生中最有可能知识，并提供可直接使用的应用编程模板，对初学者尤其有帮助。
本人博客地址：http://zhuyunxiang.csai.cn