Linux双网卡NAT配置.docVIP

Linux双网卡NAT配置 引言 局域网为了方便管理，分配给用户的IP地址都是伪IP（内部IP），这时候就可以通过NAT来提供这种服务了。防火墙的部网卡上绑定多个合法IP地址或端口，然后通过NAT内部伪装成该合法IP包。 NAT全称Network Address Translation，NAT就是防火墙NAT是防火墙子集。 是一个IETF标准，允许一个机构（包括多个网络节点）以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址 的使用。 NAT有三种类型：静态NAT(Static NAT)、网络地址端口转换DNAT（NAT）、动态地址NAT(Pooled NAT)。我们主要讨论前面种 静态NAT解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT设备维护一个状态表（路由表，所以也称NAT为软路由），用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。 网络地址端口转换NAT也叫做反向NAT，他解决问题的方法是：在内部网络中，使用内部地址的计算机开设了网络服务（80，21等），当外部IP想访问这些服务时，NAT网关把外部访问IP翻译成内部IP，也就是说，把内部开设的服务，映射到一个合法的IP和端口上，已供外部访问。 进一步了解他的工作原理，NAT其实就是一种IP包欺诈，也可以说是对IP报头的修改NAT网关收到本地局域网内的客户机发来的IP数据，先判断是否是本地子网中发来的，假如通过，则按照她的目的IP地址查找本地路由表进行转发，NAT在包被继续向前送出之前转换32位源地址。相应的，IP包往回传时依据相同的地址进行转换。 网络拓扑结构如图1-1所示。管理服务器具备双网卡，该网卡的外部地址211.155.253.82，外网网关为211.155.253.254，接入Internet，内网地址10.0.38.1接内网交换机，10.0.38.2-254为最终分配给内网的IP地址段。通过启用NAT服务使内网10.0.38.0网段的终端用户访问Internet。 图1-1 网络拓扑示意图 服务器端网络配置 eth0配置外网IP地址，配置如下： DEVICE=eth0 ONBOOT=yes BOOTPROTO=none IPADDR=211.155.253.82 #外网IP地址 NETMASK=255.255.255.0 TYPE=ETHERNET NETWORK=192.168.0.0 BROADCAST＝192.168.0.255 eth1配置内网IP地址配置如下：（注意不设网关） DEVICE=eth0 ONBOOT=yes BOOTPROTO=none IPADDR=10.0.38.1 #内网IP地址 NETMASK=255.255.255.0 TYPE=ETHERNET NETWORK=10.0.38.0 BROADCAST＝ 上述eth0与eth1配置完成后网卡的配置已经完成。接下来完成其他配置： 设置DNS服务器 vi /etc/resolv.conf 格式为nameserver ip 如：nameserver 211.155.253.66 都设置好后，–n）如下： Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.38.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 211.155.253.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 211.155.253.254 0.0.0.0 UG 0 0 0 eth0 设置IP地址以后重启网络，/etc/init.d/network restart，路由表自动更新，不再用route add命令添加新路由。注意一定要把外网路由设置为缺省路由，体现在eth0的配置文件中GATEWAY=211.155.253.254。 最后开启IP转发功能。echo 1 /proc/sys/net/ipv4/ip_forward IP转发功能在重启网络之后会自动关闭，可以把它写入到配置文件中。 vi /etc/sysctl.conf 设置net.ipv