第25章 NAT服务器配置和管理

25.5.2
Windows客户端配置
25.2.2
静态地址转换NAT
静态地址转换NAT，需要管理员手工在NAT表中，为 每一个需要转换的内部本地地址创建转换条目，映射为固定 的内部全局地址。这种方式主要用在内部网络中有提供对外 服务的服务器，如WWW、MAIL、FTP等。这些服务器必 须使用固定的IP地址，以便外部用户可以访问这些服务。这 种方式的缺点是需要独占全局IP地址，造成IP地址的浪费。 因为一旦该全局IP地址被NAT静态定义后，就只能供某个固 定的客户端永久使用，即使该客户端没在使用也无法提供给 其他客户端使用。
25.1
NAT简介
NAT能实现私网IP地址和公网IP地址之间的转换，转 换后内网主机即可与外网主机建立连接并进行通信。它通过 更改IP数据包中的地址信息来完成地址的转换，整个过程对 使用者来说都是完全透明的。
25.1.1
NAT概述
随着Internet迅速发展，接入Internet 的计算机和网络 设备急剧增加，人们发现IPv4标准的IP地址数量已经无法满 足计算机网络未来的发现需要，可供注册使用的Internet公 网IP地址正逐渐地被耗尽。为了能减少对这些宝贵的公网IP 地址的使用，人们开发出了一种可以在不同网络中转换IP地 址的技术——NAT（ Network Address Translation，网 络地址转换）。 NAT是一个根据RFC1631开发的IETF（Internet Engineering Task Force，互联网工程任务组）标准。通 过NAT，可以把局域网内部的私网IP地址翻译成合法的公网 IP地址，所有的客户端都通过同一个公网IP地址访问 Internet。
要在Linux客户端上使用NAT服务进行地址转换，需要 把客户端的网关地址更改为NAT服务器的内网IP地址，这可 以通过图形界面完成。在系统面板上选择【系统】|【管理 】|【网络】命令，打开如图25.7所示的【网络配置】对话 框，然后按照以下步骤进行操作： （1）在该对话框中选择【设备】标签，进入【设备】 选项卡。在其中选择网络设置eth0，单击工具栏中的【编辑 】按钮，打开【以太网设备】对话框。 （2）最后单击【确定】按钮，完成Linux客户端的配 置。
25.4.1
应用案例
Internet
NAT服务器 内网IP地址：10.0.1.11 公网IP地址1：58.63.236.154 公网IP地址2：58.63.236.155
局域网
. . .
WWW服务器 10.0.1.11 Windows客户端 10.0.0.132 Linux客户端 10.0.0.167
内部本地地址 10.0.0.82 10.0.0.132 10.0.1.67 内部全局地址 202.204.65.31 202.204.65.32 202.204.65.33
动态NAT服务器
局域网客户端10.0.0.82源自客户端 10.0.0.132
客户端10.0.1.67
25.2.4
网络地址端口转换NAT
25.4.2
NAT服务器配置步骤
NAT服务器需要配置3张网卡，分别为eth0、eth1和 eth2，其中eth0用于与内部网络计算机的通信，eth1专门 用于WWW服务器与公网的通信，eth2供内部员工计算机访 问互联网使用。
25.4.3
编写NAT管理脚本
为了方便NAT的配置和测试，可以把上述代码写成一 个脚本文件，通过执行脚步文件用来控制NAT功能的开启和 禁用。使用VI或图形环境的文本编辑工具创建一个名为 nat.sh的shell脚步文件，并在其中加入脚本内容，接下来 将该脚本分成几个部分进行说明，用户只需要顺序地把内容 加入到脚本文件nat.sh中即可。
25.1.1
NAT概述
Internet
NAT服务器 局域网
Windows客户端1
Windows客户端2
Linux客户端
25.1.2
NAT工作原理
在IP数据包的包头中保存有源主机和目的主机的IP地址 以及端口的信息，通过某些技术手段可以对数据包中的包头 信息进行更改。而NAT的基本工作原理就是当内网主机和公 网主机通信的IP包经过NAT服务器时，将IP包中的源IP地址 或目的IP地址在内网IP和公网IP之间进行转换，并更改数据 包中的IP地址信息。
与前面介绍的那两种NAT方式不同，网络地址端口转 换NAT不是IP地址间一对一的地址转换，而是把内部本地地 址映射到一个内部全局地址的端口上。它的最大优点就是可 以多个内部主机共用一个全局地址访问外网，而这些主机被 分别映射到了该全局地址的不同端口上。这种方式适用于仅 有少量甚至只有一个内部全局地址，却经常有很多用户需要 同时上网的企业或机构。只需要从ISP处申请一个合法的公 网IP地址，即可为多个用户提供访问互联网的服务。 。
25.2.2
静态地址转换NAT
Internet
静态NAT表 内部本地地址 10.0.0.10 10.0.0.20 10.0.0.30 内部全局地址 202.204.65.20 202.204.65.21 202.204.65.22
静态NAT服务器
局域网
客户端10.0.0.10
客户端10.0.0.20
25.4
配置实例
为了帮助读者更好地理解NAT服务器的配置以及工作 原理，本节通过一个配置实例介绍NAT服务器端的完整配置 过程，配置包括实现内网员工计算机的共享上网，以及 WWW服务器的静态IP地址转换。
25.4.1
应用案例
假设某企业有一台WWW服务器对外提供Web服务，IP 地址为10.0.1.11。同时有若干台员工办公使用的计算机， 操作系统包括Windows和Linux，这些计算机都属于 10.0.0.0/24网段。考虑安全原因，系统管理员把WWW服务 器放在了内部网络中，由NAT服务器10.0.1.12进行地址转 换后提供对公网用户的Web服务，为此专门申请了一个合法 的公网IP地址58.63.236.154供WWW服务器专用，另外还申 请了一个IP地址58.63.236.155供10.0.0.0/24网段中办公计 算机共享上网使用。
互联网的WWW服务器 IP地址： 166.111.80.211
2
源地址
目的地址
202.204.65.14 166.111.80.211
2
25.2
NAT地址转换方式
根据地址转换方式的不同，NAT可以分为3种类型：静 态地址转换NAT、动态地址转换NAT和网络地址端口转换 NAT。本节将分别对这3种地址转换方式的转换过程、工作 原理进行分析，并介绍与NAT地址相关的知识。
25.5
NAT客户端配置
Linux NAT服务器可同时支持Linux和Windows客户 端的访问，要设置客户端通过NAT服务器进行地址转换与外 部网络进行通信，需要把客户端的网关指向NAT服务器的内 网IP地址。本节分别介绍Linux和Windows客户端的NAT配 置步骤。
25.5.1
Linux客户端配置
25.2.4
网络地址端口转换NAT
Internet
端口NAT表
内部本地地址 10.0.0.41:3294 10.0.1.37:3412 10.0.1.122:2932 内部全局地址 202.204.65.55:2910 202.204.65.55:2954 202.204.65.55:3101
端口转换NAT服务器 局域网
25.2.1
NAT地址相关概念
理解NAT的地址概念，对于理解NAT地址转换技术有 很大的帮助，因此在进行进一步讲解前有必要先解释以下几 个重要的地址概念。 内部本地地址（Inside local address）： 内网合法地址（Inside global address）： 外部本地地址（Outside local address）： 外部全局地址（Outside global address）：
第25章
NAT服务器配置和管理
NAT是一种把内部私网IP地址转换为合法的公网IP地 址的技术，在一定程度上解决了公网IP地址不足的问题。经 过NAT转换后，外部网络用户无法获得内部网络的IP地址， 有效地把内部网络和外部网络隔离开。本章介绍如何在 Linux系统中通过防火墙iptables来配置和管理NAT服务器 ，以满足各种的NAT功能需求。
客户端10.0.0.41
客户端10.0.1.37
客户端10.0.1.122
25.3
NAT配置
Linux系统内核中集成了iptables防火墙软件，通过 ipstables可以实行NAT地址转换功能。iptables提供了一 系列的表（table），每个表由若干链（chain）组成，每条 链中包括了一条或多条规则（rule）。其默认的表是 “filter”，但如果使用NAT，则需要使用“nat”表。 每个iptables的表都有3条默认的链，它们是规则的容 器，分别是PREROUTING、POSTROUTING和OUTPUT。 PREROUTING：定义目的NAT的规则。 POSTROUTING：定义源NAT的规则。 OUTPUT：定义本地数据包的目的NAT规则。
2522静态地址转换natinternet局域网静态nat服务器客户端100010客户端100020客户端100030内部本地地址内部全局地址100010202204652010002020220465211000302022046522静态nat表2523动态地址转换nat动态地址转换nat是定义一系列的内部全局地址组成全局地址当内部主机需要访问外部网络时则动态地从内部全局地址池中选择一个未使用的ip地址进行临时的地址转换
25.1.2
1
源地址 10.0.0.30
NAT工作原理
目的地址 166.111.80.211
1
客户端PC IP地址：10.0.0.30
4
源地址 166.111.80.211
目的地址 10.0.0.30
4
3
源地址
目的地址
166.111.80.211 202.204.65.14
3
NAT服务器 私网IP地址：10.0.0.11 公网IP地址：202.204.65.14
客户端10.0.0.30
25.2.3
动态地址转换NAT
动态地址转换NAT是定义一系列的内部全局地址，组成 全局地址，当内部主机需要访问外部网络时，则动态地从内部 全局地址池中选择一个未使用的IP地址，进行临时的地址转换 。当用户断开后，这个IP地址就会被释放以供其他用户使用。
Internet
动态NAT表
25.5.1
Linux客户端配置
25.5.2
Windows客户端配置
要在Windows客户端上使用NAT服务进行地址转换， 需要把客户端的网关地址更改为NAT服务器的内网IP地址。 在桌面上选择【开始】|【设置】|【控制面板】命令，打开 【控制面板】窗口，然后按照以下步骤进行操作： （1）单击【网络连接】图标，打开【网络连接】窗口 。在【本地连接】图标上右击，打开【本地连接 属性】对 话框。 （2）在其中双击【Internet协议（TCP/IP）】选项， 打开【Internet协议（TCP/IP）属性】对话框。 （3）最后单击【确定】按钮完成客户端配置。