Linux操作系统安全配置 课件 04-004-使用NAT技术防护企业内部服务器.pptx

单击此处编辑母版标题样式使用NAT技术防护企业内部服务器

学习内容应用场景0102NAT技术03防护企业内部服务器04总结

应用场景1某公司需要Internet接入，由ISP分配IP地址。采用iptables作为NAT服务器接入网络，内部采用/24地址，外部采用/24地址。为确保安全需要配置防火墙功能，要求从外部网络地址http://能访问内部Web服务器，为实现负载均衡，内部2台Web服务器分别为01:8080和02:8080，两台Web服务器提供的服务相同。NAT服务器通过端口映射方式对外提供服务。

应用场景1

NAT技术2NAT（NetworkAddressTranslation，网络地址转换）恰恰是出于某种特殊需要而对数据包的源IP地址、目的IP地址、源端口、目的端口进行改写的操作。NAT位于使用专用地址的Intranet和使用公用地址的Internet之间，主要具有以下几种功能。（1）从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。（2）从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。（3）支持多重服务器和负载均衡。（4）实现透明代理

NAT技术2（1）NAT的分类①SNAT（SourceNAT，源地址转换）。SNAT指修改第一个包的源IP地址。SNAT会在包送出之前的最后一刻做好Post-Routing的动作。Linux中的IP伪装（MASQUERADE）就是SNAT的一种特殊形式。所谓SNAT就是改变转发数据包的源地址。②DNAT（DestinationNAT，目的地址转换）。DNAT是指修改第一个包的目的IP地址。DNAT总是在包进入后立刻进行Pre-Routing动作。端口转发、负载均衡和透明代理均属于DNAT。DNAT就是改变转发数据包的目的地址。

NAT技术2（2）NAT原理

NAT技术2（2）NAT原理用户使用iptables命令设置NAT规则，这些规则都存储在nat表中。设置的这些规则都具有目标动作，它们告诉内核对特定的数据包做什么操作。根据规则所处理的信息包类型，可以将规则分组存放在链中。①要做源IP地址转换的数据包的规则被添加到POSTROUTING链中。②要做目的IP地址转换的数据包的规则被添加到PREROUTING链中。③直接从本地出去的数据包的规则被添加到OUTPUT链中。

NAT技术2（3）NAT命令语法iptables[-t表名]-A链名[-i/o网卡名称][-p协议类型][-s源IP地址/子网][--sport源端口号][-d目标IP/子网][--dport目标端口][-j动作]①对规则的操作-A：加入（append）一个新规则到一个链的最后；-I：在链内某个位置插入（insert）一个新规则，通常是插在最前面；-R：在链内某个位置替换（replace）一条规则；-D：在链内某个位置删除（delete）一条规则。

NAT技术2（3）NAT命令语法iptables[-t表名]-A链名[-i/o网卡名称][-p协议类型][-s源IP地址/子网][--sport源端口号][-d目标IP/子网][--dport目标端口][-j动作]②指定源地址和目的地址通过--source/--src/-s来指定源地址，通过--destination/--dst/-s来指定目的地址。可以使用以下四中方法来指定IP地址:使用完整的域名，如“”；使用IP地址，如“”；用X.X.X.X/X.X.X.X指定一个网络地址，如“/”；用X.X.X.X/X指定一个网络地址，如“/24”这里的24表明了子网掩码的有效位数，缺省的子网掩码数是32。IP：等效于/32。

防护企业内部服务器3在Linux服务器上分别设置ens33和ens37两块网卡的IP地址

防护企业内部服务器3在/etc/rc.d/目录下生成空的脚本文件dnat.sh，并对该文件添加可执行权限。

防护企业内部服务器3编辑/etc/rc.d/rc.local文件，使dnat.sh脚本能在系统启动时自动执行

防护企业内部服务器3修改/etc/sysctl.conf文件内容，添加“net.ipv4.ip_forward=1”。开启内核转发，系统在每次开机后能自动激活IP数据包转发功能。

防护企业内部服务器3执行以下命令来启用sysctl.conf文件中的改变

防护企业内部服务器3增加访问规则，编辑/etc/rc.d/d