防火墙路由模式和NAT配置

NAT工作原理及其配置方法NAT（Network Address Translation）是一种网络协议，用于将多个内部（私有）IP地址映射到单个外部（公共）IP地址。

它的主要作用是允许多台设备通过共享一个公共IP地址同时访问互联网，从而解决IPv4地址不足的问题。

本文将详细介绍NAT的工作原理及其配置方法。

NAT的工作原理：NAT的工作原理可以总结为：将内部网络（LAN）的设备的私有IP地址转换为路由器的公共IP地址，以便与外部网络（WAN）进行通信。

NAT可以分为两种类型：静态NAT和动态NAT。

1.静态NAT：静态NAT将一个或多个内部私有IP地址映射到一个外部公共IP地址。

内部设备无需配置任何特殊设置，只需将默认网关设置为NAT设备的IP地址即可。

当内部设备与外部网络进行通信时，NAT设备会将指定的私有IP地址转换为公共IP地址，然后将其发送到外部网络。

2.动态NAT：动态NAT根据动态地识别内部设备的IP地址来执行映射。

当内部设备尝试与外部网络通信时，NAT设备会为其分配一个临时的公共IP地址，从而实现与外部网络通信。

这种方式允许多个内部设备同时使用一个公共IP地址与外部网络通信。

NAT的配置方法：配置NAT需要在路由器或防火墙上进行。

下面是配置NAT的步骤：1.登录路由器或防火墙的管理界面，进入配置页面。

2.创建一个NAT规则或策略。

根据所使用的设备和软件，可以在不同的位置找到此选项。

通常在“网络设置”、“WAN设置”或“防火墙设置”中可以找到。

3.静态NAT配置：a.将路由器的外部接口（WAN）与外部网络连接。

b.为内部设备分配静态IP地址。

c.在NAT规则中将内部设备的私有IP地址映射到路由器的公共IP地址。

4.动态NAT配置：a.定义要使用的内部地址池。

这些地址将分配给内部设备以进行与外部网络的通信。

b.创建NAT规则，将内部设备的私有IP地址映射到此地址池中的一个地址。

5.保存并应用配置更改，使其生效。

华依防火墙简明图文配置说明首先接通防火墙的电源，把管理机与防火墙的e0/0接口连接，管理机的IP 设置为192.168.1.2－192.168.1.254中的任意一个。

然后打开IE浏览器，输入http://192.168.1.1 即可打开WEB管理界面，默认的用户名：admin密码：admin，登录即可。

路由模式常见的拓扑配置说明上图是一个典型的网络结构，包括外网，服务器区以及客户端。

我们假设IP地址如下：客户端的地址为192.168.1.X网关为192.168.1.1掩码为255.255.255.0接防火墙的e0/0口服务器的地址为192.168.2.X 网关为192.168.2.1掩码为255.255.255.0 接防火墙的e0/1口外网的地址为202.101.1.2 网关为202.101.1.1掩码为255.255.255.252接防火墙的e0/2口服务器192.168.2.2对外提供WEB服务，对外的地址是202.101.1.2进入防火墙的界面，选择网络->接口，因为e0/0的接口地址与假定的地址一致，所以不用改动，如果实际不一致可以自行更改。

选择e0/1点一下后面笔的那个形状进行编辑，安全域类型选择第三层安全域，因为此接口接的是服务器，所以我们安全域选择DMZ，其他设置见图：同样设置e0/2接口，安全域选择untrust配置好后点击防火墙的路由菜单选择新建，设置如下，网关处填写的是运营商提供的地址。

配置好后，选择NAT->源NAT，选择新建基本配置出接口选择外网的接口，本例中是ethernet0/2口。

接下来做服务器对外的映射，首先到定义服务器的地址以及映射后的地址选择“对象”->地址薄->新建先建服务器的地址，名称可以填自己想要的名称，只是一种标识，其他的见图再建映射后的地址打开网络->NAT-目的NAT，选择新建端口映射，本例以WEB服务为例，如有其他服务，再新建即可。

防⽕墙与NAT55TCP Wrappers/etc/host.{allow | deny}#如果主机写进的是 allow 就是允许的，如果是 deny 就是被拒绝的。

当收到⼀个数据包的时候，⾸先会到allow⾥去匹配。

如果匹配成功了，就不会到 deny⾥⾯去了。

如果没有在allow⾥匹配成功，就会到deny中去匹配，如果在deny中匹配成功了，就是拒绝的。

如果都没有匹配成功，则是允许通过的。

allow 和 deny的⽂件格式：sshd: 192.168.30.10只有⽀持了TCPwarppers模块的服务才可以在 /etc/hosts.{allow | deny}中设置格式：这⾥拿telnet说明：daemon名： 192.168.88.70daemon名： 192.168.88.daemon名： ## 名字后⾯冒号后必须⾄少有⼀个空格in.telnetd: 192.168.88.70in.telnetd: 192.168.88.in.telnetd: 如果在 allow 中 /etc/hosts.allowin.telnetd: 192.168.88.70: deny#拒绝⽣效，如果在 deny 中：allow 则匹配允许的。

in.telnetd: 192.168.88.70: spawn echo "11111" | mail -s "test" root## spawn 表⽰：如果匹配成功执⾏后⾯的命令。

in.telnetd: 192.168.88.70: spawn echo "%c access %s" mail -s "test" root# %c表⽰客户端，%s表⽰服务端in.telnetd: 192.168.88.70: twist echo "22222222222222222222"# twist：⽤在deny中。

应用场景：在网络的边界，如出口区域，在内网和外网之间增加防火墙设备，采用路由模式对局域网的整网进行保护。

路由模式一般不单独使用，一般会有以下功能的配合，如在内外网之间配置灵活的安全策略，或者是进行NAT内网地址转换。

功能原理：简介∙路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信优点∙能够支持三层网络设备的多种功能，NAT、动态路由、策略路由、VRRP等∙能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担缺点∙不能转发IPv6和组播包∙部署到已实施网络中需要重新改动原有地址和路由规划一、组网要求1、在网络出口位置部署防火墙卡，插在核心交换机的3号槽位，通过防火墙卡区分内外网，外网接口有两个ISP出口；2、在防火墙上做NAT配置，内网用户上外网使用私有地址段；二、组网拓扑三、配置要点要点1，配置防火墙∙创建互联的三层接口，并指定IP地址∙配置动态路由或静态路由∙创建作为NAT Outside的VLAN接口并指定IP∙配置NAT转换关系∙配置NAT日志要点2，配置交换机∙创建连接NAT Outside线路的VLAN并指定物理接口∙创建互联到防火墙的三层接口∙通过互联到防火墙的三层接口配置动态路由或静态路由四、配置步骤注意：步骤一、将交换机按照客户的业务需要配置完成，并将防火墙卡和交换机联通,并对防火墙卡进行初始化配置。

1）配置防火墙模块与PC的连通性：配置防火墙卡和交换机互联端口，可以用于防火墙的管理。

Firewall>enable ------>进入特权模式Firewall#configure terminal ------>进入全局配置模式Firewall(config)#interface vlan 4000 ------>进入vlan 4000接口FW1(config-if-Vlan 4000)#ip address 10.0.0.1 255.255.255.252------>为vlan 4000接口上互联IP地址Firewall(config-if)#exit ------>退回到全局配置模式Firewall(config)#firewall default-policy-permit ------>10.3（4b5）系列版本的命令ip session acl-filter-default-permit ，10.3（4b6）命令变更为 firewall default-policy-permit 防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包，配置以下命令可修改为默认转发所有包2）防火墙配置路由模式，交换机与防火墙联通配置。

详解防火墙的配置方法【编者按】防火墙的具体配置方法不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。

同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。

首先介绍一些基本的配置原则。

防火墙的具体配置方法不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。

同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。

首先介绍一些基本的配置原则。

一. 防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的：●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。

其实这也是任何事物的基本原则。

越简单的实现方式，越容易理解和使用。

而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。

每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。

但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。

但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。

实验：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。

}1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境。

配置IP地址，以及配置PC A 和B的缺省网关为202.0.0.1，PC C 的缺省网关为202.0.1.1，PC D 的缺省网关为202.0.2.1。

202.0.0.2/24202.0.1.2/24192.0.0.1/24192.0.0.2/24202.0.0.1/24202.0.1.1/24S0S0E0E0202.0.0.3/24202.0.2.2/24E1202.0.2.1/24AR18-12AR28-11交叉线交叉线A BCD图 13、在两台路由器上都启动RIP ，目标是使所有PC 机之间能够ping 通。

请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。

（5分）AR28-11[Quidway]interface e0/0[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial0/0[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip[Quidway-rip]network 0.0.0.0 AR18-12[Router]interface e0[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface s0[Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router -Ethernet0]quit [Router]rip[Router -rip]network all4、在AR18和/或AR28上完成防火墙配置，使满足下述要求：（1） 只有PC 机A 和B 、A 和C 、B 和D 之间能通信，其他PC 机彼此之间都不能通信。

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（内网端口）处于NAT模式时，防火墙Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源IP 地址和源端口号。

防火墙使用Untrust 区（外网或者公网）接口的IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射IP (MIP)和虚拟IP (VIP)地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2层交换机或者桥接器，防火墙对于用户来说是透明的。

H3C secpath F100-C防火墙配置一、应用背景公司一个固定的IP (1.1.1.1 /24/1.1.1.2 DNS 114.114.114.114)给内网用户192.168.28.0/24上网，ethernet0/0内网，ethernet0/4 外网二、确定配置模式可以确定的配置模式是路由模式，配置个NAT三、命令行输入1.用console线连接电脑和防火墙，并在超级终端下能够显示防火墙内部命令；2.配置内网接口在配置模式下进行配置interface ethernet 0/0 –ip add 192.168.28.1 255.255.255.0—dhcp enable—dhcp server ip-pool server—network 192.168.28.1 mask 255.255.255.0—gateway-list 192.168.28.1 –dhcp server forbidden-ip 192.168.28.1 192.168.28.50 –dns-list 114.114.114.114内网接口配置成功，可以实现DHCP 功能；3.定义natacl number 2000—rule 0 peimit source 192.168.28.0 0.0.0.255 –rule 1 deny4.配置外网接口地址interface ethernet 0/4 ---ip add 1.1.1.1 255.255.255.0—nat outbound 2000—ip route 0.0.0.0 0.0.0.0 1.1.1.2 preference 60—quit—save5.nat配置结束，测试下能不能上网6.附注：H3C清空所有配置在尖括号模式下reset save ---选择yes—reboot—yes过一段时间就可以恢复出厂配置了。

防⽕墙部署及等保三级要求配置⼀：防⽕墙部署 防⽕墙常见的部署有三种：透明模式也叫桥模式、路由模式也叫⽹关模式或三层模式、NAT模式。

（1）透明模式（桥模式）： 最简单的⽹络由客户端和服务器组成，客户端和服务器处于同⼀⽹段。

为了安全⽅⾯的考虑，在客户端和服务器之间增加了防⽕墙设备，对经过的流量进⾏安全控制。

正常的客户端请求通过防⽕墙送达服务器，服务器将响应返回给客户端，⽤户不会感觉到中间设备的存在。

⼯作在桥模式下的防⽕墙没有IP地址，当对⽹络进⾏扩容时⽆需对⽹络地址进⾏重新规划，但牺牲了路由、VPN等功能。

个⼈理解简化：防⽕墙在客户端和服务器之间相当于连通的线，对所流经的流量进⾏完全控制（拦截和过滤）。

（2）路由模式（⽹关模式或三层模式）： 适⽤于内外⽹不在同⼀⽹段的情况，防⽕墙设置⽹关地址实现路由器的功能，为不同⽹段进⾏路由转发。

⽹关模式相⽐桥模式具备更⾼的安全性，在进⾏访问控制的同时实现了安全隔离，具备了⼀定的私密性。

个⼈理解简化：防⽕墙相当于⼀个路由器，控制内外⽹两个⽹段的通信流量，同时实现安全隔离。

（3）NAT模式： NAT(Network Address Translation)地址翻译技术由防⽕墙对内部⽹络的IP地址进⾏地址翻译，使⽤防⽕墙的IP地址替换内部⽹络的源地址向外部⽹络发送数据;当外部⽹络的响应数据流量返回到防⽕墙后，防⽕墙再将⽬的地址替换为内部⽹络的源地址。

NAT模式能够实现外部⽹络不能直接看到内部⽹络的IP地址，进⼀步增强了对内部⽹络的安全防护。

同时，在NAT模式的⽹络中，内部⽹络可以使⽤私⽹地址，可以解决IP地址数量受限的问题。

个⼈理解简化：防⽕墙相当于中间介质，外⽹访问内⽹时，外⽹流量到防⽕墙，然后防⽕墙再映射到内⽹主机实现访问，使外部⽹络不能直接看到内部⽹络的IP地址增强了对内部⽹络的安全防护。

⼆：防⽕墙等保三级要求配置： 1、周期性备份 2、重命名 3、修改默认密码 4、记录⽇志（操作⽇志、运⾏⽇志、安全⽇志） 5、策略不能存在any到any 6、登录失败处理（可采取结束会话、限制⾮法登录次数和当⽹络登录连接超时⾃动退出等措施） 7、更新（规则库和版本更新到最新） 8、⽤户权限分离 9、IP限制 10、关闭不必要的服务（尽量能使⽤https，改端⼝）。

防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；③ 内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

VPN设备在部署时，经常会需要与防火墙配合使用，下面我们来介绍一下主要的几种部署方式，客户可结合自己的网络状况及应用需求，选择适合的部署方案。

一、串联模式串联模式下,分为防火墙透明模式/路由模式、防火墙NAT模式。

1、防火墙透明模式、防火墙路由模式：即将VPN部署在防火墙前面，置于网络的公网出口，如图一所示：图一防火墙透明模式、路由模式在防火墙透明模式下和路由模式下，VPN放置在网络的公网出口上，其特点就是客户的网络设备(包括主机、路由器、工作站等)和所有计算机的设置（包括IP地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，用户管理也非常简便。

2、防火墙NAT模式即将VPN设备接在防火墙与内网交换机之间。

如图二所示：图二防火墙NAT模式此模式下，对于内网中的计算机，也不需要做改动，用户管理很方便。

因VPN设备是放在防火墙的后面的，没有公网地址，所以远程管理不是很方便。

在此模式下做部署时，需要详细了解防火墙的设置，因为在防火墙的权限没有放开的情况下，会导致VPN设备不可用。

如果两个均部署在防火墙后面的VPN设备需要互访，需通过第三方（有公网IP地址的VPN设备）中转，如果连接点较多，应使用一台高性能的第三方设备以减轻压力。

在此模式下，要求VPN设备支持NAT-T协议。

串连模式下部署的不足，是增加了单点故障，并可能造成性能上的瓶颈。

二、并联模式：并联方式即指将VPN设备与防火墙、路由器并行接入原有网络，如图三所示：图三VPN设备和防火墙并行并联方式需要多个公网IP地址或多根公网线路，在用户IP及线路资源充裕情况下,可以采用此部署方法，VPN设备与防火墙设备各走各路，互不干扰。

串连模式下部署的不足，是在客观上造成多个公网出口，病毒等的入侵渠道会有所增加。

三、单臂技术所谓单臂技术是指：VPN设备只接一个WAN口到内网交换机中，LAN口不需要接线，即把VPN设备当作一台内网服务器或主机，专门处理VPN报文的加解密。

【电脑知识】：防火墙的三种工作模式是什么？今天小编为大家带来的是关于防火墙的三种工作模式介绍，下面我们一起来看看吧!防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。

如果防火墙以第三层对外连接(接口具有IP 地址)，则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无IP 地址)，则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP 地址，某些接口无IP 地址)，则防火墙工作在混合模式下。

防火墙三种工作模式的简介1、路由模式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。

如下图所示，防火墙的Trust区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连。

值得注意的是，Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。

采用路由模式时，可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。

然而，路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等)，这是一件相当费事的工作，因此在使用该模式时需权衡利弊。

2. 透明模式如果防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。

也就是说，用户完全感觉不到防火墙的存在。

采用透明模式时，只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可，无需修改任何已有的配置。

与路由模式相同，IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变)，内部网络用户依旧受到防火墙的保护。

防火墙透明模式的典型组网方式如下：如上图所示，防火墙的Trust 区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连，需要注意的是内部网络和外部网络必须处于同一个子网。

nat防火墙如何设置nat防火墙我们也会用的，那么要怎么样去设置nat呢?下面由店铺给你做出详细的nat防火墙设置方法介绍!希望对你有帮助!nat防火墙设置方法一：第做做NAT与端口关(我指企业级路由器比CISCO家用设备)取决于用途2. 需要网共享路由器端口网情况需要使用NAT,比E1端口连接互联网其电脑需要通网情况需要NAT3. 连接局域支交换机等情况仅作路由使用情况需要启用NAT比E2端口连接级交换机nat防火墙设置方法二：如果连接路由器，取决于网络用途。

我解释下2种模式，你可以更好的理解NAT模式，NAT中文意思为地址转换，为什么要转换呢? 因为你办理上网之后，通常电信都会给你账号密码(拨号方式)或者固定IP方式，当设置OK后，就可以上网，哪台电脑设置，就哪台电脑上网。

那如何让其他电脑可以同时上网呢，那就要用NAT(路由器在这个应用下，作NAT模式，其他共享上网方式也都是NAT模式)，就是将内部的地址转换成电信的IP。

2。

路由模式，当2个或更多的网络连接在一起的时候，不同网络之间是不通的，举个例子，192.168.1.0/24 段的网络跟192.168.2.0/24的网络是不通的，这种情况下将路由器设置为路由模式，就可以打通2个网络的路径。

nat防火墙设置方法三：1.先看防火墙有没有对你的bt放行，这一点不同的杀毒软件，不同的防火墙设置有不同的操作流程(其他原因的解决操作也是可能对应好几种，这也正是本问题的解决有无数种操作的原因)我用的xp自带的防火墙：开始——控制面板——windows防火墙(从安全中心也找得到)——例外，看里面有没有你的bt，有的话直接在前面打勾，没的话点添加程序，找到你的bt执行程序加上去。

2.如果你的防火墙设置没有问题的话，一定是你的监听端口映射没有弄对，如果你的bt软件是bitcomet,最简单的解决办法——简单得让你惊讶:打开你的bt——选项——网络连接点监听端口那一项的“选择随机端口”，bt软件会帮你自动检测并选择一个合适的。

将centOS变成路由服务器众所周知，linux最强大的功能就是网络功能，但是学习linux 却不仅仅是为了搭建服务器，鉴于linux是一套非常稳定的操作系统，用linux搭建各种服务器是不二的选择。

下面针对三种不同的上网环境，详细介绍一下在centOS 6.5上搭建一个路由服务器。

实验一：Linux为静态IP实验环境示意图AP图1 实验一环境Step 1：配置linux网卡参数本实验环境使用的linux硬件环境有两块网卡，分别为eth0和eth1。

默认情况下，将eth0设为WAN口，将eth1设为LAN口，本实验也是如此。

配置eth0和eth1有两种方式：一是可以编辑配置文件，二是直接可以利用图形界面对其进行配置。

建议使用第一种，因为好多linux是没有X Window界面的。

WAN口（eth0）配置如下：MAC地址XX:XX:6F:1E:XX:XXIP地址192.168.X.XXX子网掩码255.255.255.0默认网关192.168.0.254DNS：X.X.X.X, 8.8.8.8LAN口（eth1）配置如下：IP地址192.168.1.1子网掩码255.255.255.0下面以配置eth0为例。

打开终端，获得root权限之后，输入命令：vim /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0TYPE=EthernetUUID=XXX…ONBOOT=yesNM_CONTROLLED=yes （NM_CONTROLLED是network manger 的参数，实时生效，修改后无需要重启网卡立即生效）BOOTPROTO=noneHWADDR=xxx…（网卡本身的硬件地址）MACADDR= XX:XX:6F:1E:XX:XXIPADDR=192.168.0.203PREFIX=24（此语句可用‘NETMASK=255.255.255.0’替换）GATEWAY=192.168.0.254DNS1=X.X.X.XDNS2=8.8.8.8DEFROUTE=yesIPV4_FAILURE_FATAL=yesIPV6INIT=noNAME=”System eth0”配置eth1时只需要将其IP地址设为192.168.1.1或者非eth0网段地址，其他不用配置。

路由器的工作模式有路由模式和透明模式；防火墙的工作模式有路由模式、透明模式、混合模式。

NATNAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。

顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。

通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。

这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。

如图2所示。

这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。

一种网络技术，可以实现不同路径的转发）。

虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。

NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。

而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。