Linux服务器架设---NAT服务器设置

Linux服务器架设----NAT服务器设置

Linux防火墙简介：

1.防火墙：通过定义一定的有顺序的规则，并管理进入到网络中的主机数据包的一种机制。广义：分析和过滤网络中的数据包。

2.其最大功能是限制某些服务的访问来源；

3.Linux内核版本的防火墙软件，目前是iptables(Linux2.6);

4.iptables默认情况下有三个表格：Filter(进入本机的数据包),NAT（Linux主机后的局域网有关）,Mangle（特殊的数据包的路由标志有关）；

 

注意：Linux NAT服务器有两个IP地址，一个是私有网络的网络地址，一个是公网的IP地址。

1.NAT:Network Address Translation:其实就是利用iptables的命令对IP数据包进行修改，比如：目标或者是来源IP地址。

2.LAN局域网内的数据包发送历程：

      （1）首先经过NAT table的PREROUTING链；

      （2）经路由判断这个数据包是否要进入本地主机，若不是则下一步；

      （3）再经过Filter table 的FORWARD链；

      （4）通过NAT table 的POSTROUTING链，最后发送出去；

3.数据包从局域网私有IP地址，通过一公有IP传递到网络上的步骤：（SNAT----SourceNAT）

      （1）客户端发送数据包至NAT主机，数据包来源为客户端的私有IP;

      （2）NAT主机内部接口接受后，主动分析数据包头数据，发现目的地址不是本机，则经路由分析，传递到公有IP地址处；

      （3）私有IP与公有IP不能互通，故而Linux主机通过iptables的NAT table内的POSTROUTING链接将数据包伪装成Linux的公有IP，并且将不同来源的数据包对应写入暂存内存中，然后将数据包发送出去！

4.拥有私有IP的客户机从网络上接受来自公有IP的数据包：

      （1）网络上的主机收到数据包后，会将响应的数据传递给公有IP;

      （2）当Linux NAT 服务器收到来自网络的数据包后，会分析数据包的序号，并比对刚才记录的内存数据，发现数据包是由局域网内的主机发送出去的，因此会在NAT PREROUTING链中，会将目标IP修改成局域网内的主机，然后开始通过路由分析数据包的流向；

      （3）数据包会传送至Linux NAT服务器的私有网络地址（内部接口），然后再传送至最终的客户端！

------------------------------------以上便实现了类似IP分享器的功能，使得私有IP可以连上网络！

5.DNAT:Destination NAT,修改数据包包头中的目标地址，用以完成为内部主机架设可以让网络访问的服务器！因为服务器的地址是私有IP，故而在接受数据包连接时，需要修改数据包的目标网络地址，来进行接受！而发送的时候，则需要修改来源IP地址，使其成为Linux NAT服务器的公有IP地址！------几乎是SNAT的反向过程

6.前一个类似IP分享器的功能是为了联网，后一个是为了架设服务器；

 

参考《鸟哥私房菜--服务器架设篇（第三版）》P252-P294