NAT服务器架设实战.doc

Linux下的NAT服务器架设实战（上） ??? 【IT168 专稿】NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。因此我们可以认为，NAT在一定程度上，能够有效的解决公网地址不足的问题。 NAT工作原理??? NAT的基本工作原理是，当私有网主机和公共网主机通信的IP包经过NAT网关时，将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。如图1所示，NAT网关有2个网络端口，其中公共网络端口的IP地址是统一分配的公共 IP，为；私有网络端口的IP地址是保留地址，为。私有网中的主机向公共网中的主机00发送了1个IP包（Des=00,Src=）。当IP包经过NAT网关时，NAT会将IP包的源IP转换为NAT的公共IP并转发到公共网，此时IP包（Des=00，Src= ）中已经不含任何私有网IP的信息。由于IP包的源IP已经被转换成NAT的公共IP，响应的IP包（Des= ,Src=00）将被发送到NAT。这时，NAT会将IP包的目的IP转换成私有网中主机的IP，然后将IP包（Des=，Src=00）转发到私有网。对于通信双方而言，这种地址的转换过程是完全透明的。? 图 1 NAT工作原理图 路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设 置NAT功能，就可以实现对内部网络的屏蔽。，其他如Linux中的IP伪装（IP Masquerade），FreeBSD中的NATD或Windows98的Sygate软件和Windows 2000 、2003都包含了这一功能。 2.?NAT分类??? （1）?源NAT（Source NAT，SNAT）：修改数据包的源地址。源NAT改变第一个数据包的来源地址，它永远会在数据包发送到网络之前完成，数据包伪装就是一具SNAT的例子。 ??? （2）?目的NAT（Destination NAT，DNAT）：修改数据包的目的地址。Destination NAT刚好与SNAT相反，它是改变第一个数据懈的目的地地址，如平衡负载、端口转发和透明代理就是属于DNAT。 二、?Linux下NAT的工作原理1. netfilter/iptables 系统是如何工作的？??? netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的 链（chain）中。虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件 netfilter和 iptables 组成。 netfilter 组件也称为 内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为 用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。通过使用用户空间，可以构建自己的定制规则，这些规则存储在内核空间的信息包过滤表中。这些规则具有 目标，它们告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。如果某个信息包与规则匹配，那么使用目标 ACCEPT 允许该信息包通过。还可以使用目标 DROP 或 REJECT 来阻塞并杀死信息包。对于可对信息包执行的其它操作，还有许多其它目标。图2 用图形说明了这个信息包过滤过程。? 图 2 信息包过滤过程 ??? （1）用户使用iptables命令在用户空间设置NAT规则，通过使用用户空间iptables命令，可以构建用户自己的定制NAT规则。所有规则存储在内核空间的nat表中。根据规则所处理的信息包类型，将规则分组在链中。要做SNAT的信息包被添加到POSTROUTING链中。要做DNAT的信息包被添加到PREROUTING链中。直接从本地出站的信息包的规则被添加到OUTPUT 链中。 ?? （2）内核空间接管NAT工作?? 图 3是 数据包穿越nat表的流程图 图 3 数据包穿越nat表的流程图 图4 数据包穿越