第25章节 NAT服务器配置和管理.ppt

第25章 NAT服务器配置和管理 NAT是一种把内部私网IP地址转换为合法的公网IP地址的技术，在一定程度上解决了公网IP地址不足的问题。经过NAT转换后，外部网络用户无法获得内部网络的IP地址，有效地把内部网络和外部网络隔离开。本章介绍如何在Linux系统中通过防火墙iptables来配置和管理NAT服务器，以满足各种的NAT功能需求。 25.1 NAT简介 NAT能实现私网IP地址和公网IP地址之间的转换，转换后内网主机即可与外网主机建立连接并进行通信。它通过更改IP数据包中的地址信息来完成地址的转换，整个过程对使用者来说都是完全透明的。 25.1.1 NAT概述 随着Internet迅速发展，接入Internet 的计算机和网络设备急剧增加，人们发现IPv4标准的IP地址数量已经无法满足计算机网络未来的发现需要，可供注册使用的Internet公网IP地址正逐渐地被耗尽。为了能减少对这些宝贵的公网IP地址的使用，人们开发出了一种可以在不同网络中转换IP地址的技术——NAT（ Network Address Translation，网络地址转换）。 NAT是一个根据RFC1631开发的IETF（Internet Engineering Task Force，互联网工程任务组）标准。通过NAT，可以把局域网内部的私网IP地址翻译成合法的公网IP地址，所有的客户端都通过同一个公网IP地址访问Internet。 25.1.1 NAT概述 25.1.2 NAT工作原理 在IP数据包的包头中保存有源主机和目的主机的IP地址以及端口的信息，通过某些技术手段可以对数据包中的包头信息进行更改。而NAT的基本工作原理就是当内网主机和公网主机通信的IP包经过NAT服务器时，将IP包中的源IP地址或目的IP地址在内网IP和公网IP之间进行转换，并更改数据包中的IP地址信息。 25.1.2 NAT工作原理 25.2 NAT地址转换方式 根据地址转换方式的不同，NAT可以分为3种类型：静态地址转换NAT、动态地址转换NAT和网络地址端口转换NAT。本节将分别对这3种地址转换方式的转换过程、工作原理进行分析，并介绍与NAT地址相关的知识。 25.2.1 NAT地址相关概念 理解NAT的地址概念，对于理解NAT地址转换技术有很大的帮助，因此在进行进一步讲解前有必要先解释以下几个重要的地址概念。 内部本地地址（Inside local address）： 内网合法地址（Inside global address）： 外部本地地址（Outside local address）： 外部全局地址（Outside global address）： 25.2.2 静态地址转换NAT 静态地址转换NAT，需要管理员手工在NAT表中，为每一个需要转换的内部本地地址创建转换条目，映射为固定的内部全局地址。这种方式主要用在内部网络中有提供对外服务的服务器，如WWW、MAIL、FTP等。这些服务器必须使用固定的IP地址，以便外部用户可以访问这些服务。这种方式的缺点是需要独占全局IP地址，造成IP地址的浪费。因为一旦该全局IP地址被NAT静态定义后，就只能供某个固定的客户端永久使用，即使该客户端没在使用也无法提供给其他客户端使用。 25.2.2 静态地址转换NAT 25.2.3 动态地址转换NAT 动态地址转换NAT是定义一系列的内部全局地址，组成全局地址，当内部主机需要访问外部网络时，则动态地从内部全局地址池中选择一个未使用的IP地址，进行临时的地址转换。当用户断开后，这个IP地址就会被释放以供其他用户使用。 25.2.4 网络地址端口转换NAT 与前面介绍的那两种NAT方式不同，网络地址端口转换NAT不是IP地址间一对一的地址转换，而是把内部本地地址映射到一个内部全局地址的端口上。它的最大优点就是可以多个内部主机共用一个全局地址访问外网，而这些主机被分别映射到了该全局地址的不同端口上。这种方式适用于仅有少量甚至只有一个内部全局地址，却经常有很多用户需要同时上网的企业或机构。只需要从ISP处申请一个合法的公网IP地址，即可为多个用户提供访问互联网的服务。 。 25.2.4 网络地址端口转换NAT 25.3 NAT配置 Linux系统内核中集成了iptables防火墙软件，通过ipstables可以实行NAT地址转换功能。iptables提供了一系列的表（table），每个表由若干链（chain）组成，每条链中包括了一条或多条规则（rule）。其默认的表是“filter”，但如果使用NAT，则需要使用“nat”表。 每个iptables的表都有3条默认的链，它们是规则的容器，分别是PREROUTING、POSTROUTING和OUTPUT。 PR