先简单介绍下。SNAT(源地址转换):目标地址不免,改写源地址,实现内网多用户使用同一个公网IP上网的情况。DNAT(目标地址转换):源地址不变重新修改目标地址。PNAT(端口映射):在DNAT基础上,实现内网IP端口对外网监听。
SNAT的实现方式:
先把Linux系统ipv4数据包的转发功能打开,系统就有了路由功能。
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
添加iptables的nat表项
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192168110/24 -j SNAT --to-source 20210xxxx
表示在postrouting链上,将内网源地址为192168110/24网段的数据包的源地址都转换为公网IP 20210xxxx。这样SNAT配置完毕,可以测试上网了。做NAT服务器的内网IP 19216811x 就是内网主机需要配置的网关地址。当然纯内网环境下,转换的成的IP也可以是另一个内网网段的IP。
SNAT还有一个常用选项:MASQUERADE。此选项可以用在动态获取IP地址的主机,如家用宽带拨号上网的主机。
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192168110/24 -o eth1 -j MASQUEREADE
在这里-o后面的网卡名是指定出去的接口,MASQUEREADE会调用该接口的地址作为转换后的源地址。
DNAT转换不多介绍了,用到的时候不多,格式如下:
[root@localhost ~]# iptables -t nat -A PREROUTING -d 20210xxXX -p tcp –-dport 8080 -j DNAT –-to-destination 19216811128:80
感兴趣的可以在网上搜一下nat原理。
首先需要将你的web服务器搭建好,然后需要做NAT,我这里有我的一个做NAT的笔记,分享给你
NAT
拓扑结构图:
要求:
1内网能够ping通外网地址,并且成功访问外网中的web服务;
2外网能够访问内网的ftp服务。
步骤:
一:内网服务器配置
1在内网中设置好ip地址,网关和DNS均为NAT服务器内网口地址,并搭建好ftp服务,此处略
二:NAT服务器配置
1在NAT只能中添加一块网卡作为 外网卡,并设置好ip地址
2开启NAT服务器的路由功能
[root@c2 ~]# vi /etc/sysctlconf
netipv4ip_forward = 1 //将0改为1
[root@c2 ~]# sysctl -p //永久生效
3配置防火墙(必须按照以下循序配置,否则配置完成后不能拼通外网,需配置第二次)
#iptables-X
#iptables-t nat -X
#iptables --flush
#iptables -t nat --flush
//以上为重置链表的命令
#iptables-t nat -A POSTROUTING -s 19216810/24 -o eth1 -j SNAT --to 202101012
//这条命令是将内网19216810/24的源地址映射为NAT服务器的外网口地址,eth1为外网卡
# iptables -t nat -A PREROUTING -p tcp--dport 21 -j DNAT --to 192168111
# iptables -t nat -A PREROUTING -p tcp--dport 20 -j DNAT --to 192168111
//这两条命令是发布内务的ftp服务
或者:
# iptables -t nat -A PREROUTING -p tcp -d 202101012--dport 21 -j DNAT --to 192168111
# iptables -t nat -A PREROUTING -p tcp -d 202101012--dport 20 -j DNAT --to 192168111
#/etc/initd/iptablessave
#/etc/initd/iptablesrestart
验证:
内网访问外网的web服务:
[root@c1 ~]# curl 202101013
web
外网访问内网的ftp服务(外网的防火墙一定要关闭,否则ls查看目录时会出错,或者打开外网的20号端口新建链接的也可以)#
[root@c3 ~]# ftp 202101012
Connected to 202101012 (202101012)
220 (vsFTPd 222)
Name (202101012:root): ftp01
331 Please specify the password
Password:
230 Login successful
Remote system type is UNIX
Using binary mode to transfer files
ftp> ls
227 Entering Passive Mode(192,168,1,11,93,1)
ftp: connect: Network isunreachable //列不出内容是因为进入了passive模式
ftp>passive //用passive命令切换passive模式和active模式
Passivemode off
ftp> ls
200 PORT command successful Consider usingPASV
150 Here comes the directory listing
226 Directory send OK
ftp>
补充:
删除防火墙中配置的记录
[root@c2 ~]# iptables -t nat -L POSTROUTING -n --line-number //列出记录和记录序号
[root@c2 ~]# iptables -t nat -D POSTROUTING1 //根据序号删除记录
你将内网的ftp服务换成web服务就可以了,主要是弄懂NAT的原理,将内部服务通过DNAT发布到外网
贝尔200Oca光纤猫的设置方法如下:1光猫的网口任取一个用网线连接到无线路由器的WAN口上。
2光猫的默认地址为19216811,所以无线路由器的LAN口需要配其他网段的地址。
配置方法:登陆到无线路由器,IP设置为19216821 子网掩码:2552552550保存。
设好后,找台PC接根网线到无线路由器的任意一个LAN口上,然后打开IE输入上述配置的IP地址即19216821登陆(一般TP-LINKS出厂默认的登陆IP为19216811)。
3WAN口设置。由无线路由器的网络参数——WAN口设置——WAN口连接类型:选择静态IP-IP地址:设置成1921681X(需要与光猫的19216811同网段即可。注意:此处不能设置成19216811
或者1921681255)子网掩码:2552552550 网关:为光猫的IP即19216811-数据包MTU:为1500-DNS服务器:设置为光猫的IP即19216811。
4完成上述3个步骤后已可以通过路由器上网了,最后是无线参数的设置。无线参数-基本设置-SSID号:任意取名——勾选开启无线功能-允许SSID广播——开启安全设置——自己设置密码。
5启用DHCP服务器。默认是开启的。
6修改无线路由器登陆口令:系统工具-修改登陆口令-自定义设置。
7重启路由器,有线和无线都可以上网了。Windows Server 2008概述
Windows Server 2008系统是基于Windows Server 2003系统以及Server Pack 1和Windows Server 2003 R2中采用的创新技术开发的,Windows Server 2008代表了下一代Windows Server。Windows Server 2008通过加强 *** 作系统和保护网络环境提高了安全性。通过加快IT系统的部署与维护、使服务器和应用程序的合并与虚拟化更加简单、提供直观管理工具,Windows Server 2008还为IT专业人员提供了灵活性并为任何组织的服务器和网络基础结构奠定了最好的基础。
与Windows Server 2003相比,Windows Server 2008在以下几方面有了显著的提高:
1更强的控制能力。IT专业人员能够更好地控制服务器和网络基础结构,从而可以将精力集中处理关键业务需求上。增强的脚本编写功能和任务自动化功能可帮助IT专业人员自动执行常见任务。通过服务器管理器进行的基于角色的安装和管理简化了在企业中管理与保护多个服务器角色的任务。服务器的配置和系统信息是从新的服务器管理器控制台这一集中位置来管理的。IT人员可以仅安装需要的角色和功能,向导会自动完成许多费时的系统部署任务。增强的系统管理工具提供有_芙系统的信息,在潜在问题发生之前向IT人员发出警告。
2更强的安全性。Windows Server 2008是迄今为止最安全的Windows服务器,它加强了 *** 作系统并进行丁安全创新,包括网络访问防护、RODC和故障转移群集。为网络、数据和业务提供了高水平的保护。借助PKI增强功能、Windows服务强化、新的双向Windows防火墙和新一代加密支持Windows Server 2008 *** 作系统中的安全性也得到了增强。
3 Windows Server 2008的设计允许管理员修改其基础结构来适应不断变化的业务需求,同时保持了此 *** 作的灵活性。它允许用户从远程位置执行程序,这一技术为移动工作人员增强了灵活性。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)