linux课件第九章节代理与路由服务幻灯片.pptVIP

馋死 PPT研究院 POWERPOINT ACADEMY * * * * 静态转换 静态转换是最简单的一种转换方式，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址之间一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。 动态转换 动态转换增加了网络管理的复杂性，但也提供了很大的灵活性。它将可用的全局地址地址集定义成NAT池（NAT pool）。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或防火墙将会动态地从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接时动态建立，而在连接终止时会被释放。这样网络的灵活性大大增强了，所需要的全局地址数量进一步减少。 端口地址转换 端口地址转换（NAPT—Network address port translatin），是动态转换的一种变形。它可以使多个内部节点共享一个全局IP地址，而使用源和目的的TCP/UDP的端口号来区分NAT表中的转换条目及内部地址，这样就更节省了地址空间。　 NAT技术使用的几种地址的类型 Inside Local IP address: 指内部网络主机的私有地址 Inside Global IP address: 代表一个或更多内部IP到外部世界的合法IP Outside Global IP address: 外部网络主机的合法IP Outside Local IP address: 外部网络的主机地址 9.2.3 NAT适用的几种情况 连接到Internet，但却没有足够的合法地址分配给内部主机，这是最常适用的一种形式。 更改到一个需要重新分配地址的ISP，这时ISP的所有修改在NAI服务器之外完成，不会影响到内部网络，简化了内部管理。 有相同的IP地址的两个Internat合并。 支持负载均衡。 9.2.4 NAT服务的使用1.NAT服务配置基础 Netfilter是Linux 核心中一个通用架构，它提供了一系列的“表”(tables)，每个表由若干“链”(chains)组成，而每条链中可以有一条或数条规则(rules)组成。系统缺省的表是“filter”。但是在使用NAT的时候，所使用的表不再是“filter”，而是“nat”表，所以必须使用“-t nat”选项来显式地指明这一点。 Nat表也有三条缺省的“链”(chains)，这三条链也是规则的容器，分别是: PREROUTING:定义进行目NAT的规则，因为路由器进行路由时只检查数据包的目的IP地址，所以为了使数据包得以正确路由，必须在路由之前就进行目地址的转换。 POSTROUTING:定义进行源NAT的规则，系统在决定了数据包的路由以后、传出本主机之前执行该链中的规则。 OUTPUT:定义对本地产生的数据包的目的NAT规则。 2.NAT服务配置的命令和参数 (1) 对规则的操作命令 -A：加入一个新规则到一个链的最后。 -I：在链内某个位置插入一个新规则，通常是插在最前面。 -R：在链内某个位置替换一条规则。 -D：在链内某个位置删除一条规则。 (2) 指定源地址和目的地址 通过“- -source”或“- -src”或“-s”参数来指定源地址，通过“- -destination”或“- -dst”或“-d”来指定目的地址。 (3) 指定网络接口 可以使用 “- -in-interface”或“-i”或“- -out-interface”或“-o”来指定网络接口。 (4) 指定协议及端口 可以通过“- -protocol”或“-p”选项来指定协议 3.源NAT(SNAT)服务配置实例 图9-2 SNAT实例 4.目的NAT(DNAT)服务配置实例 图9-3 DNAT配置实例 5.透明代理配置实例 (1)/etc/squid/squid.conf文件做如下更改： http_port :3128 transparent //和之前版本实现透明代理的方式有区别 cache_effective_user squid cache_effective_group squid http_access allow all //允许所有用户访问 cache_dir ufs /usr/local/squid/cache 500 16 256 //代理缓存目录设置 重新启动Squid。 (2)设置iptables： Echo “1”/proc/sys/net/ipv4/ip_forward Itables –t nat –A PREROUTING –i eth0 –p tcp –dprot 80 –j REDIRECT –-to-port 3128 Iptables –t nat –A