Linux下的NAT服务器架设实战

图2客户机使用NAT路由器访问互联网的过程

以后所有的客户机访问WWW服务器的数据封包都要经过上述步骤。 （3）配置SNAT带动简单的局域网使用互联网资源脚本

以RHEL 4.0为例，在安装NAT服务器前，必须确定系统上已安装iptables程序，如果不知是否已经安装iptables，可以使用以下的方法来判断：# rpm-qa iptables

Linux下的NAT服务器架设实战（下）

http://tech.ddvip.com 2007年06月17日 来源：IT168 作者：华江 收藏本文

前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过―私有地址‖ 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。

如果尚未安装iptables，可以在第一张安装光盘中的/Red Hat/RPMS目录下，找到名为―iptables-1.2.7a-2.i386.rpm‖的安装程序，然后按照以下的方法进行安装：rpm –ivh iptables-1.2.7a-2.i386.rpm

为了使开机时能自动运行iptablas，可以在终端机窗口中输入―ntsysv‖指令，然后在出现的画面中，利用上下方向键将光标移到菜单中的―iptables‖项目（同时确定ipchains选项没有被选中），然后按空格键以选择，最后利用Tab键将光标移到―确定‖按钮并按Enter键即完成设置。其他具体操作如下，#是说明中文部分是说明：

#touch /etc/rc.d/snat.sh “首先在／etc／rc．d／目录下生成空的脚本文件” #chmod u+x /etc/rc.d/snat.sh “添加可执行权限”

#echo \firewall\使脚本能在系统启动时自动执行” #vi /etc/rc.d/ snat.sh

#!／bin／bash #开启内核转发

echo“1” > ／proc／sys／net／ipv4／ip-forward #定义外部接口变量，若使用PPP连接，将eth1换成ppp0 INET_IFACE= “eth1’’

INET_IP= “XXX．XXX.XXX.XXX“ #定义局域网相关变量 LAN_IFACE= “eth1’’

LAN_IP= “192． 168． 1．254”

LAN_IP_RANGE= “192． 168． 1．0／24” IPT= “sbin／iotables” #理内核所支持的模块清单 ／sbin／depmod -a #载所用模块

／sbin／modprobe ip_tables ／sbin／modprobe iptables_nat ／sbin／modprobe ip_nat_ftp ／sbin／modprobe ip_LOG

Linux下的NAT服务器架设实战（下）

http://tech.ddvip.com 2007年06月17日 来源：IT168 作者：华江 收藏本文

前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过―私有地址‖ 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。 清除已设规则，还原到不设防火墙的状态

$IPT -p INPUT ACCEPT $IPT -p FORWARD ACCEPT $IPT -p OUTPUT ACCEPT

$IPT -t nat -p PREROUTING ACCEPT $IPT -t nat -p POSTROUTING ACCEPT $IPT -t nat -p OUTPUT ACCEPT for TABLE in filter nat mangle;do

$IPT -t $TABLE -F清除预设表filter中所有规则链中的规则 $IPT -t $TABLE -X清除预设表filter使用者自定义链中规则 done

#根据接口决定使用SNAT或是IP伪装 if [ \

$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE else

$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IPi

（4）NAT和代理服务器访问互联网的对比

我们知道Linux支持（Squid 或者Apache等）代理服务器和NAT 2种常见的Internet共享连接方式。NAT和Proxy方式两者各有所长，具体的优缺点参见附表所示。其中，NAT更加易于使用，软件的兼容性及运行速度更好; 而Proxy则在可配置性和安全性方面更为强大。比较而言，NAT可以说是一种―透明‖网络访问方式，它只重写数据包中很少的一部分，由此保证了访问的高速度。此外，使用NAT方式几乎无需设置客户端应用程序，且可应用在几乎所有常用的操作系统，例如Windows、Mac OS、UNIX和Linux等。也正是由于NAT的众多特性，使其成为了用户普遍选择的Internet连接共享方式。

表－1是NAT与代理特性比较 2. 在局域网对外发布网络服务

(1)互联网客户通过NAT路由器访问局域网内服务器的过程。

Linux下的NAT服务器架设实战（下）

http://tech.ddvip.com 2007年06月17日 来源：IT168 作者：华江 收藏本文

前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过―私有地址‖ 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。

假设局域网中WWW 服务器的eth0接口的IP地址为192．168．1．100，NAT路由器的局域网接口ethl的IP地址为192．168．1．254，与互联网连接的接口的IP地址是219．243．69．10，互联网上客户机B的IP地址为111．111．111．111。

（2）互联网上客户机B要与隐藏在NAT后的www 服务器建立连接需要经过NAT，过程如下：

?客户机B－NAT路由器。客户机B将访问WWW服务器的请求封包发送到NAT路由器。客户机使用的拨号上网获得的IP地址：111．111．111．111。（也就是说客户机B并不知道111．111．111．111没有运行WWW服务器，互联网客户对这个访问是透明的。）

?DNAT。此请求封包在NAT路由器上实施DNAT，此时将封包地址重新定向到IP地址192.168.1.10。

?NAT路由器－WWW服务器。经过DNAT转化的数据封包通过互联网发送到WWW服务器。

?WWW服务器－NAT路由器。WWW服务器将回应封包发送到DNAT路由器。 ?UN-DNAT。NAT 服务器将回收的封包的源地址修改为eth1接口的 IP地址： 111．111．111．111 ；

?NAT路由器－客户机 B。NAT路由器将通过UN-DNAT转化的数据封包发送到客户机B。

以上过程如图3 所示。

图3 互联网上客户通过NAT路由器访问局域网内服务器的过程 以后所有的客户机访问WWW服务器的数据封包都要经过上述步骤。 （3）在局域网对外发布服务的脚本

作如下假设：在局域网中有2台WWW 服务器，实现简单的负载均衡。IP地址分别是：192．168．1．10、162．168．1．11。另外在局域网中有一台FTP服务器，IP地址

Linux下的NAT服务器架设实战（下）

http://tech.ddvip.com 2007年06月17日 来源：IT168 作者：华江 收藏本文 前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过―私有地址‖ 来扩