【正文】 就如同直接通信一樣。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識(shí) 1． NAT的工作過程 （ 1）客戶機(jī)將數(shù)據(jù)包發(fā)給運(yùn)行 NAT的計(jì)算機(jī)。 （ 3）支持多重服務(wù)器和負(fù)載均衡。 ● POSTROUTING：數(shù)據(jù)包發(fā)送出去之前，修改該包。 ● PREROUTING：路由之前，修改接受的數(shù)據(jù)包。 nat表僅用于網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是轉(zhuǎn)換包的源或目標(biāo)地址，其具體的動(dòng)作有 DNAT、 SNAT以及 MASQUERADE，下面的內(nèi)容將會(huì)詳細(xì)介紹。它包含以下 3個(gè)內(nèi)置鏈。 ● OUTPUT：本地產(chǎn)生的數(shù)據(jù)包。 ① filter。 ●過濾。 ●內(nèi)置鏈（ Buildin Chains）?？梢葬槍?duì)裁切后的封包信息進(jìn)行監(jiān)控與過濾 Counter 可針對(duì)封包的計(jì)數(shù)單位進(jìn)行條件比對(duì) 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 （ 2）動(dòng)作（ target）。設(shè)置過濾數(shù)據(jù)包的具體條件，如 IP地址、端口、協(xié)議以及網(wǎng)絡(luò)接口等信息， iptables如表 條 件 說 明 Address 針對(duì)封包內(nèi)的地址信息進(jìn)行比對(duì)。 對(duì)于 Linux服務(wù)器而言，采用 filter/iptables數(shù)據(jù)包過濾系統(tǒng)，能夠節(jié)約軟件成本，并可以提供強(qiáng)大的數(shù)據(jù)包過濾控制功能，iptables是理想的防火墻解決方案。 Netfilter/iptables IP數(shù)據(jù)包過濾系統(tǒng)實(shí)際由 filter和 iptables兩個(gè)組件構(gòu)成。 （ 2）檢測(cè)合法性。 （ 3）由于校園網(wǎng)使用的是私有地址，需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，使校園網(wǎng)中的用戶能夠訪問互聯(lián)網(wǎng)。網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 主編：楊云、馬立新 人民郵電出版社 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 項(xiàng)目描述： 某高校組建了校園網(wǎng)，并且已經(jīng)架設(shè)了 Web、 FTP、 DNS、 DHCP、 Mail等功能的服務(wù)器來為校園網(wǎng)用戶提供服務(wù)，現(xiàn)有如下問題需要解決。 該項(xiàng)目實(shí)際上是由 Linux的防火墻與代理服務(wù)器： iptables和 squid來完成的，通過該角色部署 iptables、 NAT、 squid，能夠?qū)崿F(xiàn)上述功能。 （ 3）性能穩(wěn)定性。 Netfilter是集成在內(nèi)核中的一部分，它的作用是定義、保存相應(yīng)的規(guī)則。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 filter是 Linux核心中的一個(gè)通用架構(gòu)，它提供了一系列的“表”（tables），每個(gè)表由若干“鏈”（ chains）組成，而每條鏈可以由一條或數(shù)條“規(guī)則”（ rules）組成。可對(duì)來源地址（ Source Address）、目的地址（ Destination Address）與網(wǎng)絡(luò)卡地址（ MAC Address）進(jìn)行比對(duì) Port 封包內(nèi)存放于 Transport層的 Port信息設(shè)定比對(duì)的條件，可用來比對(duì)的 Pott信息包含：來源 Port（ Source Port）、目的 Port（ Destination Port） Protocol 通信協(xié)議，指的是某一種特殊種類的通信協(xié)議。當(dāng)數(shù)據(jù)包經(jīng)過 Linux時(shí)，若 filter檢測(cè)該包符合相應(yīng)規(guī)則，則會(huì)對(duì)該數(shù)據(jù)包進(jìn)行相應(yīng)的處理， iptables動(dòng)作如表 iptables工作原理 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 （ 3）鏈（ chain）。 ●用戶自定義鏈（ UserDefined Chains）。 ●地址轉(zhuǎn)換。這是 filter默認(rèn)的表，通常使用該表進(jìn)行過濾的設(shè)置，它包含以下內(nèi)置鏈。 filter表過濾功能強(qiáng)大，幾乎能夠設(shè)定所有的動(dòng)作（ target）。 ● PREROUTING：修改到達(dá)的數(shù)據(jù)包。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 ③ mangle。 ● INPUT：應(yīng)用于發(fā)送給本機(jī)的數(shù)據(jù)包。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 2． iptables工作流程 iptables工作原理 iptables擁有 3個(gè)表和 5個(gè)鏈，其整個(gè)工作流程如圖 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 iptables工作原理 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識(shí) 網(wǎng)絡(luò)地址轉(zhuǎn)換器 NAT（ Network Address Translator）位于使用專用地址的Intra和使用公用地址的 Inter之間，主要具有以下幾種功能。 （ 4）實(shí)現(xiàn)透明代理。 （ 2） NAT將數(shù)據(jù)包中的端口號(hào)和專用的 IP地址換成它自己的端口號(hào)和公用的 IP地址，然后將數(shù)據(jù)包發(fā)給外部網(wǎng)絡(luò)的目的主機(jī)，同時(shí)記錄一個(gè)跟蹤信息在映像表中，以便向客戶機(jī)發(fā)送回答信息。如圖 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識(shí) 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識(shí) 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 NAT的基本知識(shí) 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 2． NAT的分類 （ 1）源 NAT（ Source NAT， SNAT）。 （ 2）目的 NAT（ Destination NAT， DNAT）。 NAT的基本知識(shí) 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 代理服務(wù)器 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 代理服務(wù)器 1．代理服務(wù)器的工作原理 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 代理服務(wù)器 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 代理服務(wù)器 2．代理服務(wù)器的作用 （ 1）提高訪問速度。而防火墻可以使企業(yè)內(nèi)部局域網(wǎng)與 Inter之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪來保護(hù)內(nèi)部網(wǎng)絡(luò)。 （ 1）安裝好的企業(yè)版 Linux網(wǎng)絡(luò)操作系統(tǒng)，并且必須保證常用服務(wù)正常工作。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 項(xiàng)目實(shí)施 任務(wù) 1 安裝 iptables 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 1 安裝 iptables 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 1 安裝 iptables 5．自動(dòng)加載 iptables服務(wù) （ 1） chkconfig。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 2 認(rèn)識(shí) iptables的基本語法 如果想靈活運(yùn)用 iptables來加固系統(tǒng)安全的話，就必須熟練地掌握 iptables的語法格式。 iptables t nat 命令 匹配 j 動(dòng)作 /目標(biāo) t參數(shù)是可以省略的，如果省略了 t參數(shù)，則表示對(duì) filter表進(jìn)行操作。在 TCP/IP的網(wǎng)絡(luò)環(huán)境里，大多數(shù)的數(shù)據(jù)包所使用的協(xié)議不是 TCP類型的就是 UDP類型的，還有一種是 ICMP類型的數(shù)據(jù)包，例如ping命令所使用的就是 ICMP協(xié)議。 作用：基于 TCP包的目的端口來匹配包，也就是說通過檢測(cè)數(shù)據(jù)包的目的端口是不是指定的來判斷數(shù)據(jù)包的去留。例如： iptables A INPUT s j DROP 注意：在地址前加英文感嘆號(hào)表示取反，注意空格，如： s !。 定義默認(rèn)策略的命令格式如下。 任務(wù) 4 配置 iptables規(guī)則 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 2．添加、刪除、修改規(guī)則 【 例 95】 為 filter表的 INPUT鏈添加一條規(guī)則，規(guī)則為拒絕所有使用ICMP協(xié)議的數(shù)據(jù)包。 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 4 配置 iptables規(guī)則 【 例 99】 刪除 filter表中 INPUT鏈的第 2條規(guī)則。 [rootserver ～ ] iptables F INPUT 查看規(guī)則列表 [root server ～ ] iptables L INPUT Chain INPUT（ policy ACCEPT） target prot opt source destination 網(wǎng)絡(luò)服務(wù)器搭建、配置與管理 —— Linux版 任務(wù) 4 配置 iptables規(guī)則 3．保存規(guī)則與恢復(fù) iptables提供了兩個(gè)很有用的工具來保存和恢復(fù)規(guī)則，這在規(guī)則集較為龐大的時(shí)候非常實(shí)用。這可以使在重啟防火墻后不丟失對(duì)包和字節(jié)的統(tǒng)計(jì)。 [rootserver ～ ] iptables–save /etc/iptablessave iptablesrestore用來裝載由 iptablessave保存的規(guī)則集。默認(rèn)情況是清除所有已存在的規(guī)則。 [rootiptables /] iptablessave /etc/iptablessave [rootiptables /] service iptables save 將當(dāng)前規(guī)則保存在 /etc/sysconfig/iptables。所以很多的網(wǎng)絡(luò)管理者在部署企業(yè)內(nèi)部網(wǎng)絡(luò)的時(shí)候都紛紛禁止使用 軟件，早期的 都采用 UDP協(xié)議進(jìn)行傳輸數(shù)據(jù)，而且所使用的端口通常是從 4 000開始，目前新版本的 既可以使用TCP協(xié)議，也可以使用 UDP協(xié)議，而且端口號(hào)也有所改變，這使得封鎖 軟件的難度加大。當(dāng)然這5個(gè)選項(xiàng)并不是都需要寫出來，不過，我們還是先來看看它們分別是什么意思。 SNAT使用選項(xiàng)tosource，命令語法如下。 如果內(nèi)部網(wǎng)絡(luò)存在多臺(tái)相同類型應(yīng)用的服務(wù)器，可以使用 DNAT，將外部的訪問流量分配到多臺(tái) Server上