Linux服务器配置与管理（第2版） 课件第18章 NAT 服务器配置.pptx

第18章NAT服务器配置Linux服务器配置与管理

今天，无数互联网用户可以尽情享受Internet带来的乐趣。通过互联网，个人用户可以浏览新闻、有哪些信誉好的足球投注网站资料、下载软件、广交新朋、分享信息，甚至于足不出户获取一切日常生活所需要的物品；企业用户可以利用互联网发布信息，传递资料和订单，提供技术支持，完成日常办公。然而，Internet在给亿万用户带来便利的同时，自身却面临一个致命的问题：构建这个无所不能的Internet的基础——IPv4协议已经不能再提供新的网络地址了。于是，人们开始考虑IPv4的替代方案，同时采取一系列的措施来减缓IPv4地址的消耗。正是在这样一个背景下，网络地址转换——NAT“闪亮登场”。NAT服务器配置

目录01NAT简介02NAT服务器配置及应用03信创任务实战

01NAT简介

NAT（NetworkAddressTranslation，网络地址转换）是一个IETF（InternetEngineeringTaskForce,Internet工程任务组）标准，允许一个整体机构以一个公用IP（InternetProtocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。因此我们可以认为，NAT在一定程度上，能够有效地解决公网地址不足的问题。NAT地址转换方式有以下3种类型。?静态转换（StaticNAT）。?动态转换（DynamicNAT）。?端口多路复用（OverLoad）。NAT简介

NAT简介动态转换动态转换是指将内部网络的私有IP地址转换为公有IP地址时，IP地址是不确定的，所有被授权访问的私有IP地址可随机转换为合法IP地址。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址时，IP地址对是一对一的，是一成不变的，某个私有IP地址只能转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。端口多路复用端口多路复用是指改变外出数据包的源端口并进行端口转换，在采用端口多路复用方式时，内部网络的所有主机均可共享一个外部IP地址以实现对Internet的访问，从而大限度地节约IP地址资源；同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。

02NAT服务器配置及应用

?拒绝让Internet的封包进入Linux主机的某些端口。拒绝让某些来源IP地址的封包进入。?拒绝让带有某些特殊标志（flag）的封包进入。?分析硬件地址（MAC）来提供服务。iptables抵挡封包的方式如下所述：iptables不是真正的防火墙，只是用来定义防火墙规则功能的“防火墙管理工具”，其将定义好的规则交由内核中的netfilter（即网络过滤器）来读取，从而真正实现防火墙功能。iptables简介

?PREROUTING：在进行路由判断之前所要进行的规则（DNAT/REDIRECT）。?INPUT：处理入站的数据包。?OUTPUT：处理出站的数据包。?FORWARD：处理转发的数据包。?POSTROUTING：在进行路由判断之后所要进行的规则（SNAT/MASQUERADE）。iptables命令中设置数据过滤或处理数据包的策略叫作规则，将多个规则合成一个链叫作规则链。规则链则依据处理数据包的位置不同而有以下分类。iptables简介

也可以写为如下格式：iptables–[A|I链][-i|o网络接口][-p协议][-s来源ip/网域][-d目标ip/网域]–j[ACCEPT|DROP]iptables中的规则表是用于容纳规则链的，规则表默认是允许状态的，那么规则链就是设置被禁止的规则，而反之如果规则表是禁止状态的，那么规则链就是设置被允许的规则。iptables命令的语法格式如下：iptables[-t表名]选项[链名][条件][-j控制类型]iptables简介

iptables常用参数及其说明如表所示。iptables常用参数说明iptables简介参数作用-P设置默认策略，如“iptables-PINPUT(DROP|ACCEPT)”-F清空规则链-L查看规则链-A在规则链的末尾加入新规则-Inum在规则链的头部加入新规则-Dnum删除某一条规则-s匹配来源地址IP/MA