[Linux]NAT和代理服务器

1. NAT：（Network Address Translation）是网络地址转换。

我们有这样一种场景，在专用网内部的一些主机本来已经分配到了本地IP地址，但现在又想和因特网上的主机通信，我们可以设法再申请一些全球IP地址，但是这个是不容易做到的，因为全球IPv4地址已经不多了，那么此时我们用的最多的就是使用网络地址转换技术。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网相连。

举个例子，当专用网主机A向因特网主机B上发送IP数据报，比如源IP地址为192.168.0.3，目的IP地址为213.18.2.4，NAT路由器会把IP数据报的源IP地址转换为新的源IP地址172.38.1.5，然后转发出去，因此主机B收到IP数据报时，以为A的地址是172.38.1.5，当B给A发送应答的时候，IP数据报的目的地址是NAT路由器的IP地址172.38.1.5。B并不知道A的专用地址192.168.0.3，即使知道了，也不能使用。因为因特网的路由器都不转发目的地址是专用网本地IP地址的IP数据报。当NAT路由器收到因特网上的主机B发来的IP数据报时，还要进行一次IP地址的转换。通过NAT地址转换表，就可把IP数据报上的旧的目的IP地址172.38.1.5，转换为新的目的IP地址192.168.0.3。

工作原理：

当内部网络中的一台主机想传输数据到外部网络时，它先将数据包传输到NAT路由器上，路由器检查数据包的报头，获取该数据包的源IP信息，并从它的NAT映射表中找出与该IP匹配的转换条目，用所选用的内部全局地址（全球唯一的IP地址）来替换内部局部地址，并转发数据包。当外部网络对内部主机进行应答时，数据包被送到NAT路由器上，路由器接收到目的地址为内部全局地址的数据包后，它将用内部全局地址通过NAT映射表查找出内部局部地址，然后将数据包的目的地址替换成内部局部地址，并将数据包转发到内部主机。

2. 代理服务器

所谓“代理”，就是代而劳之的意思。代理服务器就是代理网络用户去取得网络信息，形象的说：它是网络信息的中转站，使得一个网络终端和另一个网络终端不直接进行相连，代理网络用户去取得信息。主要工作在OSI的会话层中。

一个完整的代理请求过程为：客户端首先与代理服务器创建连接，接着根据代理服务器所使用的代理协议，请求对目标服务器创建连接或者获得目标服务器的指定资源（如文件）。在后一种情况中，代理服务器可能对目标服务器的资源下载至缓存，如果客户端索要获取的资源在代理服务器的缓存之中，则代理服务器并不会向目标服务器发送请求，而是直接返回了缓存的资源。一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应，以满足代理协议的需要。代理服务器的选项和设置在计算机程序中，通常只包括一个“防火墙”，允许用户输入代理地址，他会这该他们的网络活动，可以允许绕过互联网过滤实现网络访问。

代理服务器（Proxy Server）是Internet链路级网关所提供的一种重要的安全功能，主要的功能有：

　　　　1.突破自身IP访问限制，访问国外站点。教育网，过去的169网等。　　　　2.提高访问速度：通常代理服务器都设置了一个较大的硬盘缓冲区，当有外界的信息通过的时候，同时也将其保存在缓冲区中，当其他用户在访问相同的信息时，则直接有缓冲区取出信息，传给用户，以提高访问速度　　　　3.链接内网与Internet，充当防火墙：因为所有的内部网用户通过代理服务器访问外界时，只映射一个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限　　　　4.节省IP开销：代理服务器允许使用大量的伪IP地址，节约上网资源，即代理服务器可以减少对IP地址的需求，对于使用局域网方式接入Internet，如果为局域网（LAN）内的每一个用户都申请一个IP地址，其费用可想而知。但使用代理服务器之后，只需代理服务器上有一个合法的IP地址，LAN内其他用户可以使用10.*.*.*这样的私有IP地址，这样可以节约大量的IP，降低网路的维护成本。　　　　5.隐藏真实IP：上网者可以通过这种方式隐藏自己的IP，以免受到攻击；　　　　6.设置用户验证和记账功能，没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。