第18章 Iptables与代理服务器(中).ppt

* * * * LINUX高级企业服务器管理 Linux Advanced Enterprise Server Management Redhat5的安装与桌面的使用 常用命令与文本编辑器vi Linux的文件系统 Linux下硬件管理 用户和组的管理 Linux下软件的安装与管理 Linux网络基础与网络服务的管理 打印服务器 文件服务器NFS与samba 引导服务器dhcp和NIS 《 LINUX高级企业服务器管理》课程结构 LINUX高级企业服务器管理 Dns服务器 apache服务器 Mail服务器 ftp服务器 Ldap服务器 远程管理工具 Mysql数据库 Iptables与代理服务器 Linux系统的自动化任务 Linux下数据备份与恢复 Linux内核编译与shell基础 《 LINUX高级企业服务器管理》课程结构 LINUX高级企业服务器管理(续) 常用命令参考(附录) 第18章 Iptables与代理服务器(中) 本章学习目标 NAT表的配置 NAT+防火墙的配置 NAT介绍 NAT的定义 NAT英文全称是Network Address Translation，称是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。 NAT介绍 NAT的类型 静态NAT(Static NAT) 静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 动态地址NAT(Pooled NAT) 动态地址NAT是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。 动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。 网络地址端口转换NAPT（Port－Level NAT） NAPT是把内部地址映射到外部网络的一个IP地址的不同端口上。 最熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。 Linux的Netfilter/iptables内核的默认表 NAT的基本操作 对于POSTROUTING的目标动作 -j SNAT –to IP1[-IP2] : [port1][-port2] IP1-IP2,指定IP地址范围 port1-port2,指定端口范围 例如: iptables –t nat -A POSTROUTING -o eth0 -j SNAT --to 0 NAT的基本操作 对于PREROUTING的目标动作 -j DNAT –to IP1[-IP2] : [port1][-port2] IP1-IP2,指定IP地址范围 port1-port2,指定端口范围 例如: iptables –t nat -A POSTROUTING -d 0 -j DNAT --to 39 NAT配置实例-局域网上网 拓扑图 NAT配置实例-局域网上网 配置说明-使用NAT带动局域网上网 以WanServer提供web服务为例 NAT服务未开启前 PC使用Web服务器提供的服务，建立的连接是： 37 port# 00 port# WanServer上看到的连接是： 00 port# 37 port# NAT服务未开启后 PC使用Web服务器提供的服务，建立的连接是： 37 port# 00 port# WanServer上看到的连接是： 00 port# 0 port# NAT配置实例-局域网上网 NAT服务未开启前 在内网的计算机上 NAT配置实例-局域网上网 NAT服务未开启前 在公网的计算机上 NAT配置实例-局域网上网 配置NAT 在内网的计算机上 在公网的计算机上 NAT配置实例-局域网发布服务 配置说明-使用NAT发布局域网内的服务 以LanServer提供服务为例 NAT未发布服务前，公网上的计算机是无法访问内网的计算机 NAT发布服务后，WanServer使用telnet登录到LanServer上，建立的连接是： 00 port# 0 port# NAT配置实例-局域网发布服务 配置NAT