简易 NAT 服务器.docVIP

简易 NAT 服务器 　 NAT是 Network Address Transmission 的缩写，他可以让 Linux 提供至少最简单的 IP 分享器的功能！让一部 Linux 主机可以提供整个局域网络(LAN)内的计算机来分享网络频宽，也就是区域内部的计算机通通都可以透过 NAT 主机来达到多人上网的目的！ 什么是 NAT： NAT 其实是 Network Address Transmission 的简写，字面上的意思是『网络地址的传送』，他主要的功能就是在提供内部私有网络的计算机之频宽分享。简单的说，NAT 的功能就是『 IP 分享器』！(注：NAT 主机的功能相当的多，不过，这里我们仅说明频宽分享的部分！)。 　NAT 的功能 　  我们由 网络基础 当中知道，要能够连接上 Internet 必须要具有『公共 IP (Public IP)』才行，内部私有 IP (Private IP) 是不能直接与 Internet 进行资料沟通的。好了，今天假设您是一家公司的主管，或者是一间学校的信息主任，而且您所负责的单位内有 20 部计算机好了，这 20 部计算机都需要能够连上 Internet ，并可以进行任何 Internet 的服务要求，请问您是否需要具备有 20 个公共 IP 呢？如果真的要提供 20 个公共 IP 的话，以最经济的价格来说，我们可以申请 Seednet 的 512/64 (下载/上传) 拨接制 ADSL ，每个专线都可以具有五个 IP ，因为我们有 20 部主机，所以就需要四条电话线～呵呵！怕了吧！光是接线与申请 ADSL 的流程就会让人崩溃，更不用说申请到之后还需要在每一部计算机上面设定拨接、管制计算机使用性、进行防毒等等的工作，光是用想的，就已经很头大了，更不用说实际去作..... 　 那么应该要怎么办呢？比较聪明的朋友已经想到要去买 IP 分享器来分享网络频宽了！那么 Linux 是否能够达到 IP 分享器的功能！？当然可以啦！那就是 NAT 主机的能力之一啰！我们在之前的 Router 设定当中，提过路由的概念了，封包的传送主要是透过路由的信息，但是，私有路由是不能直接与 Internet 沟通的啊！因此用 Linux 作为 Router 时，如果 Linux 主机本身就是仅有私有 IP ，自然也就无法直接连接到 Internet 上面去了。 　  TCP 封包里头有来源与目的地的 IP 及 port 的信息在 Header 里面，那么如果透过某些技术，来改变 TCP 封包的 header 呢？如果能够将 TCP 封包的来源 IP 由本来的 Private IP 变成 Public IP 的话，不就可以连接到 Internet 了吗？！NAT 主机的重要功能之一就是将来自内部 Client 端计算机封包的 Header 的 IP 『伪装』成公共 IP ，而提供 Client 端连上 Internet 的一个方法！(注：当然啦， IP 分享器也是使用同样的道理！)。那么 Linux 是用什么机制达到这样的功能？还记得简易防火墙设定当中提到的 iptables 吧？！iptables 可以进行封包的分析，当然，他还可以进行封包信息的修改呢！那么整个流程是如何呢？如下图所示，当我的区域内的具有 00 的 client 要对外联机的时候： 　 　 这个 client 的 gateway 设定为 NAT 主机，所以当要连上 Internet 的时候，该封包就会被送到 NAT 主机啦，这个时候的封包 Header 之 source IP 为 00 喔； 而透过这个 NAT 主机，她会将 client 的对外联机封包的 source? IP ( 00 ) 伪装成 ppp0 ( 假设为拨接情况 )这个接口所具有的公共 IP 啰，因为是公共 IP 了，所以这个封包就可以连上 Internet 了！同时 NAT 主机并且会记忆这个联机的封包是由哪一个 ( 00 ) client 端传送来的； 由 Internet 传送回来的封包，当然由 NAT 主机来接收了，这个时候， NAT 主机会去查询原本记录的路由信息，并将目标 IP 由 ppp0 上面的公共 IP 改回原来的 00 ； 最后则由 NAT 主机将该封包传送给原先发送封包的 Client ！ 　 如果是在iptables的内建 table 当中，与 NAT 有关的就是 nat table 的 POSTROUTING 那个链了！就是简易防火墙当中的图九的示意图！也就是说，整个封包其实只有经过 NAT 主机的 iptables 机制在伪装 IP 与修改路由信息而已，并没有进入 NAT 主机内部！ ^_^！由上面的信息