NAT怎么配置
前很多人都通过NAT接入互联网。NAT可以在内网IP和公网IP间转换,这样内网用户就可以直接访问到互联网了。大多数用户使用的NAT叫做端口地址转换(PAT),Cisco称这种方式为NAT overload 。在开始前,我们首先了解一下什么是静态NAT。图A是一个网络拓扑图。
我们的目标是:将互联网上的静态IP通过路由器转换为内部网络IP。对于带有Web设置界面的Linksys路由器来说,这个工作实现起来很简单。但是对于采用命令行(CLI)模式的Cisco路由器来说,如果不知道相应的命令就麻烦了。因此在开始前多收集一些信息是很必要的。比如在我们给出的图例中,我们需要通过以下方法采集必要的信息:◆路由器内联端口 E0/0: IP 10111
◆路由器外联端口 S0/0: IP 6363631
◆Web/mail服务器内网 IP: 10112
◆Web/mail 服务器公网 IP: 6363632要让外网用户访问内网的 Web/mail服务器,有两步必要的工作:1配置NAT
2配置防火墙在本文中,我重点讲述基本的静态NAT配置。但是各位读者应该确保外网的有关数据可以通过防火墙进入内网。不论是使用ACL还是Cisco IOS配置防火墙,都要确保你熟悉Cisco IOS的操作顺序,并设定正确的IP地址(公网和内网)。换句话说,你应该知道是NAT先工作还是防火墙过滤先工作。在获取了相关信息后,我们就开始配置静态NAT了。在我们的例子中,我们首先进行一下基本配置:interface Serial0/0
ip address 6363631 2552552550
ip nat outside
interface Ethernet0/0
ip address 10111 2552552550
ip nat inside我们需要使用 NAT转换将Web/mail服务器的公网IP地址从6363632 转换到 10112 (并从10112 转换到 6363632)。 下面就是内网和公网间的NAT配置:router (config)# ip nat inside source static tcp 10112 25 6363632 25
router (config)# ip nat inside source static tcp 10112 443 6363632 443
router (config)# ip nat inside source static tcp 10112 80 6363632 80
router (config)# ip nat inside source static tcp 10112 110 6363632 110之所以用以上端口,是因为这些端口符合相应服务所对应的端口。比如25端口对应SMTP邮件发送,443端口对应安全的Web连接HTPS,80端口对应HTTP,110端口对应POP3收信。以上配置是假定我们有一个固定的公网IP,如果没有,我们也可以使用路由器出口IP(本例中是Serial 0/0),配置方法如下:router (config)# ip nat inside source static tcp 10112 25 interface serial 0/0 25如果你的公网IP地址是通过ISP的DHCP分配的 IP,也可以用上述配置方式。另外,我们还需要将Web服务器和邮件服务器的域名注册到互联网上的DNS注册表中。这样当用户在浏览器中输入域名就可以访问到我们的网站了。比如用户输入wwwmywebservercom,就可以访问到6363632,然后我们的路由器会把这个地址转化为10112 。这样Web服务器就会受到浏览请求并顺利进行响应。除了配置静态NAT,也许你希望同时能学会如何配置动态NAT,这样你的内网PC就可以通过动态NAT(比如NAT overload或PAT)访问互联网了。
要求:
1、 掌握静态NAT的配置方法。
2、 掌握动态NAT的配置方法。
3、 掌握端口映射的配置方法。
方法/步骤
1
路由器3台,交换机2台,console电缆1根,PC机4台,服务器3台,串行,直通,交叉线若干。连接如图:
2
根据上述拓扑图连接好设备,并正确配置全部路由器和PC机的接口极其IP地址。 ①路由器R1接口配置:
3
②路由器R2接口配置:
4
③路由器R3接口配置:
5
PC机与服务器的接口配置:
6
配置好路由器R1: 1) 配置静态路由。
2) 在R1路由器上配置NAT,实现内部动态地址转换。具体配置: (1) 为要转换的地址配置标准ACL;
R1(config)#access-list 1 permit 19216810 000255
(2) 配置本地全局地址池;
(4) 配置NAT内部和外部接口;
1、 配置路由器R3: 1) 配置静态路由。
2) 在R3路由器上配置NAT,实现内网PAT和静态地址转换,使外网用户可通过本地全局地址访问内网服务器。具体配置: (1) 为要转换的地址配置标准ACL;
(2) 配置静态地址转换;
(3) 配置PAT;
(4) 指定NAT内部和外部接口。
配置R2: 配置静态路由;
配置服务器S1:在S1服务器中添加两条主机名解析:wwwciscocom 20023100模拟公用网络中的www服务器);www163com 2002434(模拟内网中的www服务器)。使主机PC1和PC2可解析外网www服务器域名。
6、 验证NAT配置;
在Windows 7平台中可以通过ICS(InternetConnection Sharing,连接共享,即是1)netshwlan set hostednetwork mode=allow ssid="Win7_Phyking" key=phykingpeng 2)netsh wlan start hostednetwork)实现一个校园网账户多机同时使用的教程,但是ICS最大的一个缺点是它有最大10个连接数的限制,想获得充足的带宽是有困难的,特别是使用这个共享连接的机器多了以后就会出现多种访问故障。如果想获得更加稳定的网络、更加充足的网络资源,我们就需要使用NAT(NetworkAddress Transition,网络地址转换)。
硬件上,搭建一个NAT服务器(以下简称服务器)需要具备两块物理网卡和一台交换机,当然我们搭了服务器就需要有客户机和连接用的网线。假设服务器中A网卡接入网络,B网卡接入交换机,客户机则连接到交换机上,也就是如下网络架构:
软件上,WindowsServer 2008 r2的NAT设置于Server2003和2008都略有区别,网上所提供的教程针对Linux、Server2003和2008的教程比较多,本着傻瓜式教程的宗旨,以下我将逐一列举搭建NAT服务器的步骤。
第一步:禁用Internet Connection Sharing服务。因为ICS(InternetConnection Sharing)与NAT同时存在会造成冲突,所以要禁用。在开始-->管理工具-->服务中,找到InternetConnection Sharing,然后停用并禁用ICS服务。
第二步:添加路由与远程访问角色服务。进入服务器管理器添加角色,添加“网络策略和访问服务”,这时可以选择安装角色服务,把“路由”和“远程访问服务”都选上。然后下一步。不用重启。
第三步:配置网卡。对于校园网用户,网卡A是不需要配置的,因为校园网环境中提供DNS、DHCP等服务,但是我们需要知道我们的DNS服务器IP地址是什么(珠海校区:主DNS服务器211661281,备用DNS服务器211661282;南校区主DNS服务器202116642,备用DNS服务器202116643),在后面的配置有用。然后网卡B的IP地址填写1721611,使用默认的子网掩码(25525500),网关不填,DNS服务器必须填上。由于我们在这里使用了手动IP分配,所以客户机上也需要进行IP设置,具体设置为:IP地址填1721611xx,子网掩码25525500,网关就填1721611,DNS服务器必须填上。至此网卡配置完成
第四步:在服务器管理器左侧窗口展开“网络策略和访问服务”,右键点击路由和远程访问,选择“配置并启用路由和远程访问”。配置中选择“网络地址转换NAT”;在NATInternet连接中选择“使用此公共接口连接到Internet”,并选中网卡A(直接接入Internet的网卡);在设置为NAT网络中计算机提供DHCP和DNS服务处,选择稍后设置名称与地址选项。至此NAT设置完成。为了验证设置,我们到NAT服务器àIPV4àNAT中,右键单击连接外网的网卡选择属性,看到“公用接口连接到Internet”,并且“在此接口上启用NAT”;右键单击链接到交换机的连接,看到“专用接口连接到专用网络”。
第五步:测试NAT。在客户机中分别ping B网卡IP地址(1721611)、A网卡IP地址(校园网DHCP分配),然后从服务器ping任意一个客户机的IP地址(手动分配),如果都能ping通,说明NAT设置完毕,可以尽情享受校园网了。
NAT有三种SNAT,DNAT和PNAT。
先简单介绍下。SNAT(源地址转换):目标地址不免,改写源地址,实现内网多用户使用同一个公网IP上网的情况。DNAT(目标地址转换):源地址不变重新修改目标地址。PNAT(端口映射):在DNAT基础上,实现内网IP端口对外网监听。
SNAT的实现方式:
先把Linux系统ipv4数据包的转发功能打开,系统就有了路由功能。
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
添加iptables的nat表项
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192168110/24 -j SNAT --to-source 20210xxxx
表示在postrouting链上,将内网源地址为192168110/24网段的数据包的源地址都转换为公网IP 20210xxxx。这样SNAT配置完毕,可以测试上网了。做NAT服务器的内网IP 19216811x 就是内网主机需要配置的网关地址。当然纯内网环境下,转换的成的IP也可以是另一个内网网段的IP。
SNAT还有一个常用选项:MASQUERADE。此选项可以用在动态获取IP地址的主机,如家用宽带拨号上网的主机。
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192168110/24 -o eth1 -j MASQUEREADE
在这里-o后面的网卡名是指定出去的接口,MASQUEREADE会调用该接口的地址作为转换后的源地址。
DNAT转换不多介绍了,用到的时候不多,格式如下:
[root@localhost ~]# iptables -t nat -A PREROUTING -d 20210xxXX -p tcp –-dport 8080 -j DNAT –-to-destination 19216811128:80
感兴趣的可以在网上搜一下nat原理。
最近有网友问我tplink nat不会设置模式,怎么办,我给大家展示下tplink ap 面板设置的具体步骤,希望对大家能有所帮助。
具体设置方法如下:
1 将路由器的电源连接好,然后将一条网线的一头插在电脑的网口,另一头插在路由器的LAN口。
2 打开电脑的浏览器,在地址栏里输入路由器的IP是19216801,点击回车键,进入路由器的设置页面,用户名是admin,密码是空白,点击登陆,进入路由器的设置主页。
3 登录主页后,选择手动设置。然后再选择手动因特网设置,家庭拨号用户选择PPPOE连接类型。在用户名,用户里正确输入ISP提供商(网通,长城,电信,铁通,有线等)给的用户名和密码。连接方式选择总是MTU值填入1492。保存就完成了。
4 无线路由器还有一个无线加密,用来保障用户无线的安全。在路由器的设置主页面选择无线设置,在安全模式里选择一种加密方式,WEP、WPA、WPA2中的任何一种,然后在安全密钥里输入8位或者以上汉字或者数字作为无线的密码,保存设置后路由器的设置就完成。
5设置完成后路由器会自动重启,将外网线连在路由器的WAN口就可以使用了。
一般家用路由应该是PAT,叫做Port Add translation,多个内部IP 被映射到一个外部IP,通过端口号多路复用。
仅针对ADSL内网:
1开IE,输入网址:19216811,用户名/密码:admin(厂方初始的。如人为改动过,只有问管理员)进入路由器设置,找到转发规则/DMZ主机,里面包含了关于NAT的设置,找到特殊应用程序,将要开放的端口手动开放,再把uPnP启用。
2着我们将虚拟服务器的设置再改一下,速度应该会更快一点,(这个内部ip很容易就查到的,我的是1921681100)
附:查自己IP的方法,在网络邻居上点右键——属性——左键点击——双击本地连接
a 知道你BT的端口,这个打开BT软件就可以看的见的。
b 进入路由器设置的网页
进行路由器WEB管理页面,转发规则-虚拟服务器和特殊应用程序项设置
在转发规则-虚拟服务器中填上A电脑的IP地址(内网地址,可通过天网或金山网镖查看A电脑IP地址),服务端口填BT软件端口,勾上“启用”。
c 特殊应用程序中触发端口和开放端口填BT软件端口,勾上“启用”,其他不用管
d DMZ主机 中DMZ主机IP地址填A电脑IP地址, “启用”勾不勾无所谓e UPnP设置 中当前UPnP状态必须开启动
NAT的三种实现技术:
使用NAT做地址转换时,可以静态的,也可以是动态的
1、静态:内部地址被预选映射到指定的外部地址,内部地址和外部地址是一一对应的。
2、动态:内部地址可以使用地址池中的外部地址。多个内部地址共享几个外部地址。(内部=私网) (外部=公网)
3、PAT(Port Add translation):多个内部地址共享一个外部地址,通过端口号多路复用。
无线企业路由器的一对一NAT功能,也指静态NAT映射,可以将局域网指定电脑的IP映射为相应的公网IP。对应主机访问Internet时使用映射后的公网IP,Internet中的用户可以通过映射后的公网IP地址访问到该主机。当用户有多个公网IP地址时,如果需要为局域网内的服务器分配一个专用的公网IP地址,为外网用户提供访问服务,可以使用一对一NAT功能实现。
NAT------网络地址转换,是通过将专用的网络地址(企业内部网Intranet)转换为公用地址(如互联网Internet),从而对外隐藏了内部管理的IP地址。这样,通过在内部使用非注册的 IP 地址,并将它们转换为一小部分外部注册的 IP 地址,从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
NAT功能通常被集成到路由器、防火墙、单独的NAT设备中,当然,现在比较流行的操作系统或其他软件(主要是代理软件,如WINROUTE),大多也有着NAT的功能。NAT设备(或软件)维护一个状态表,用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。每个包在NAT设备(或软件)中都被翻译成正确的IP地址发往下一级。与普通路由器不同的是,NAT设备实际上对包头进行修改,将内部网络的源地址变为NAT设备自己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
NAT分为三种类型:表态NAT(staticNAT)、NAT池(pooledNAT)和商品NAT(PAT)。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络,端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
/
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
说到20,我来加一个小插曲。我们都知道FTP对应的端口应该是21,为什么又冒出来一个20呢?其实,我们们进行FTP文件传输中,客户端首先连接到FTP服务器的21端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为20来进行传输数据文件,也就是说,端口20才是真正传输所用到的端口,端口21只用于FTP的登陆认证。我们平常下载文件时,会遇到下载到99%时,文件不完成,不能成功的下载。其实是因为文件下载完毕后,还要在21端口再行进行用户认证,而我们下载文件的时间如果过长,客户机与服务器的21端口的连接会被服务器认为是超时连接而中断掉,就是这个原因。解决方法就是设置21端口的响应时间。
/
利用WINDOWS 2000 Server 进行NAT设置
WINDOWS 20000 SERVER FAMILY强大的网络功能,说起来真是VERY GOOD。她集成很多网络功能,比如说DHCP、DNS、SNMP、路由……,进行NAT的设置,我们只需要一个WINDOWS 2000 SERVER就足够了,不必借助于其他的软件。
说干就干,我们以中文版的WINDOWS 2000 SERVER为例,在NAT服务器上加两块网卡,一块是与内部网络相连(如IP:192168035),另一块则是与外部网络相连(如IP:88888888),在配置之前,要保证NAT服务器与内部私有网络及外部公用网络的数据传输没有故障。具体配置如下:
打开“开始——>程序——>管理工具——>路由和远程访问”,出现一个对话框,左侧有一个“服务器状态”,一个“BDWSER(本地)”(不一定是BDWSER,其实就应该是你的机器名),点“BDWSER(本地)”,然后点“操作——>配置并启用路由和远程访问”,会弹出一个的对话框,下一步,会出现如图二的对话框,选择“Internet连接服务器”,下一步,
如图三,选择“设置有网络地址转换(NAT)路由协议的路由器”,下一步
如图四,选择“使用选择的Internet连接——>本地连接2”,这里要注意一点,“本地连接2”即为服务器的外部连接,如本例中域名为5imaxnet地址为88888888;而“本地连接”而是服务器与内部网络的连接。然后“下一步——>完成”,此时“路由和远程访问”会自动启动,我们稍侯等待“路由和远程访问”的启动。
通过以上的配置,我们就可以利用NAT将内部地址转发到外部地址,也就相当于本机(WINDOWS 2000 SERVER)可以通过NAT代理内部的机器共享上网了。如果NAT服务器使用了DHCP,那么客户机只要自动获取IP即可;如果没有设置,客户机要指定IP:1921680,子网掩码:2552552550,网关:192168035,DNS:2029722468(使用本地ISP提供DNS服务器地址即可)。接下来,我们应该来配置外部端口到内部端口的映射(如图一中的88888888:80——>1921680102:80),使得外部访问者访问http://www5imaxnet相应的HTTP服务时,NAT主机会将服务的请求自动转换到内部网络所提供相应服务的主机上,反之,内部主机服务的反馈信息经由NAT主机转换发送到外部访问者。
在“路由和远程访问”对话框的左侧,打开“BDWSER(本地)——>IP路由选择——>网络地址转换(NAT)”,这时在“路由和远程访问”对话框的右侧窗口应该有二个接口,外部网络和内部网络(如图五)。
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。 在“特殊端口”选项卡上,在“协议”中,单击“TCP”或“UDP”(根据不同的服务选择不同的协议,如HTTP服务为TCP,TFTP服务为UDP,但此例中并未涉及到UDP协议),然后单击“添加”。 在“传入端口”中,键入传入公用通信的端口号(如图六中的“传入端口80)。在“传出端口”中,键入专用网络资源的端口号(如图六中的“传出端口80”)。在“专用地址”中,键入专用网络资源的专用地址(如图六中的“专用地址1921680102”,即图一所示主机C:1921680102)。单击“确定”,添加完毕。同样,FTP和MAIL的服务添加的端口为20,21,25和110。
以上的例子是仅使用单个公用IP进行NAT的转换,如果是使用多个公用IP,那么我们在配置映射端口之前,要进行NAT地址池的设置。在详细信息窗格中,右键单击要配置的接口(即外部网络接口,本地连接2),然后单击“属性”。在“地址池”选项卡上,单击“添加”,并执行下列操作之一:
如果正在使用以 IP 地址和子网掩码表示的 IP 地址范围,则在“起始地址”中键入起始 IP 地址,然后在“掩码”中键入子网掩码。
如果正在使用不能以 IP 地址和子网掩码表示的 IP 地址范围,在“起始地址”中键入起始 IP 地址,然后在“结束地址”中键入结束 IP 地址。
在设置端口映射时(即特殊端口),请单击“在此地址池项上”,然后键入传入公用通信的公用 IP 地址,其他的设置与上述的设置方法相访。
到了这里,我们的全部工作——利用NAT主机代理内部网络共享Interent和内部网络到NAT主机的端口映射——就完成了。为了安全起见,我们最好在NAT主机的接入处加一个防火墙或设置NAT主机的“IP安全机制(IPSEC)”和“TCP/IP筛选”。“IP安全机制”和“TCP/IP筛选”的设置就在外部网络的TCP/IP协议中的安全选项中,参考WINDOWS 2000的帮助文件进行设置就可以,我们在这里就不再赘述了。
NAT的小结
当然,使用NAT进行端口映射,用NAT代理软件同样可以做到(比如说WINROUTE),而且相应的设置比较简单,一般只要默认安装上后,在软件中进行简单设置就可以了。手都写累了,有机会我们以后再谈。
利用NAT保护内部网络,特别是软件的NAT,适用于小、中型的网络,而大型的网络一般要使用硬件(如路由),因为NAT服务也要消耗NAT服务器的资源的。在大型的网络中,使用路由来做NAT,要做相应的安全设置,一般参考路由手册及CISCO ISO安全模型即可。
NAT的使用,使内部网络相应于外部网络不可见化,入侵者要先侵入NAT服务器(或NAT设备),然后利用NAT做跳板,进一步侵入内部网络。这样,对于入侵者就有一定的难度,如果NAT服务器与内部服务器使用不同的操作系统,那么入侵者需要对这两个操作系统都要熟悉才可以做到的,这对于一般的入侵者来说,入侵行为无疑是提高了一个台阶。文章到此结束,本文的意图不仅仅只是一个步骤,而是希望大家以此为一个基点,利用现有的技术,组建出更安全的网络。
SMTP<->25
POP3<->110
FTP<->20,21
HTTP<->80
说到20,我来加一个小插曲。我们都知道FTP对应的端口应该是21,为什么又冒出来一个20呢?其实,我们们进行FTP文件传输中,客户端首先连接到FTP服务器的21端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为20来进行传输数据文件,也就是说,端口20才是真正传输所用到的端口,端口21只用于FTP的登陆认证。我们平常下载文件时,会遇到下载到99%时,文件不完成,不能成功的下载。其实是因为文件下载完毕后,还要在21端口再行进行用户认证,而我们下载文件的时间如果过长,客户机与服务器的21端口的连接会被服务器认为是超时连接而中断掉,就是这个原因。解决方法就是设置21端口的响应时间。
/
利用WINDOWS 2000 Server 进行NAT设置
WINDOWS 20000 SERVER FAMILY强大的网络功能,说起来真是VERY GOOD。她集成很多网络功能,比如说DHCP、DNS、SNMP、路由……,进行NAT的设置,我们只需要一个WINDOWS 2000 SERVER就足够了,不必借助于其他的软件。
说干就干,我们以中文版的WINDOWS 2000 SERVER为例,在NAT服务器上加两块网卡,一块是与内部网络相连(如IP:192168035),另一块则是与外部网络相连(如IP:88888888),在配置之前,要保证NAT服务器与内部私有网络及外部公用网络的数据传输没有故障。具体配置如下:
打开“开始——>程序——>管理工具——>路由和远程访问”,出现一个对话框,左侧有一个“服务器状态”,一个“BDWSER(本地)”(不一定是BDWSER,其实就应该是你的机器名),点“BDWSER(本地)”,然后点“操作——>配置并启用路由和远程访问”,会弹出一个的对话框,下一步,会出现如图二的对话框,选择“Internet连接服务器”,下一步,
如图三,选择“设置有网络地址转换(NAT)路由协议的路由器”,下一步
如图四,选择“使用选择的Internet连接——>本地连接2”,这里要注意一点,“本地连接2”即为服务器的外部连接,如本例中域名为5imaxnet地址为88888888;而“本地连接”而是服务器与内部网络的连接。然后“下一步——>完成”,此时“路由和远程访问”会自动启动,我们稍侯等待“路由和远程访问”的启动。
通过以上的配置,我们就可以利用NAT将内部地址转发到外部地址,也就相当于本机(WINDOWS 2000 SERVER)可以通过NAT代理内部的机器共享上网了。如果NAT服务器使用了DHCP,那么客户机只要自动获取IP即可;如果没有设置,客户机要指定IP:1921680,子网掩码:2552552550,网关:192168035,DNS:2029722468(使用本地ISP提供DNS服务器地址即可)。接下来,我们应该来配置外部端口到内部端口的映射(如图一中的88888888:80——>1921680102:80),使得外部访问者访问http://www5imaxnet相应的HTTP服务时,NAT主机会将服务的请求自动转换到内部网络所提供相应服务的主机上,反之,内部主机服务的反馈信息经由NAT主机转换发送到外部访问者。
在“路由和远程访问”对话框的左侧,打开“BDWSER(本地)——>IP路由选择——>网络地址转换(NAT)”,这时在“路由和远程访问”对话框的右侧窗口应该有二个接口,外部网络和内部网络(如图五)。
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。 在“特殊端口”选项卡上,在“协议”中,单击“TCP”或“UDP”(根据不同的服务选择不同的协议,如HTTP服务为TCP,TFTP服务为UDP,但此例中并未涉及到UDP协议),然后单击“添加”。 在“传入端口”中,键入传入公用通信的端口号(如图六中的“传入端口80)。在“传出端口”中,键入专用网络资源的端口号(如图六中的“传出端口80”)。在“专用地址”中,键入专用网络资源的专用地址(如图六中的“专用地址1921680102”,即图一所示主机C:1921680102)。单击“确定”,添加完毕。同样,FTP和MAIL的服务添加的端口为20,21,25和110。
以上的例子是仅使用单个公用IP进行NAT的转换,如果是使用多个公用IP,那么我们在配置映射端口之前,要进行NAT地址池的设置。在详细信息窗格中,右键单击要配置的接口(即外部网络接口,本地连接2),然后单击“属性”。在“地址池”选项卡上,单击“添加”,并执行下列操作之一:
如果正在使用以 IP 地址和子网掩码表示的 IP 地址范围,则在“起始地址”中键入起始 IP 地址,然后在“掩码”中键入子网掩码。
如果正在使用不能以 IP 地址和子网掩码表示的 IP 地址范围,在“起始地址”中键入起始 IP 地址,然后在“结束地址”中键入结束 IP 地址。
在设置端口映射时(即特殊端口),请单击“在此地址池项上”,然后键入传入公用通信的公用 IP 地址,其他的设置与上述的设置方法相访。
到了这里,我们的全部工作——利用NAT主机代理内部网络共享Interent和内部网络到NAT主机的端口映射——就完成了。为了安全起见,我们最好在NAT主机的接入处加一个防火墙或设置NAT主机的“IP安全机制(IPSEC)”和“TCP/IP筛选”。“IP安全机制”和“TCP/IP筛选”的设置就在外部网络的TCP/IP协议中的安全选项中,参考WINDOWS 2000的帮助文件进行设置就可以,我们在这里就不再赘述了。
NAT的小结
当然,使用NAT进行端口映射,用NAT代理软件同样可以做到(比如说WINROUTE),而且相应的设置比较简单,一般只要默认安装上后,在软件中进行简单设置就可以了。手都写累了,有机会我们以后再谈。
利用NAT保护内部网络,特别是软件的NAT,适用于小、中型的网络,而大型的网络一般要使用硬件(如路由),因为NAT服务也要消耗NAT服务器的资源的。在大型的网络中,使用路由来做NAT,要做相应的安全设置,一般参考路由手册及CISCO ISO安全模型即可。
NAT的使用,使内部网络相应于外部网络不可见化,入侵者要先侵入NAT服务器(或NAT设备),然后利用NAT做跳板,进一步侵入内部网络。这样,对于入侵者就有一定的难度,如果NAT服务器与内部服务器使用不同的操作系统,那么入侵者需要对这两个操作系统都要熟悉才可以做到的,这对于一般的入侵者来说,入侵行为无疑是提高了一个台阶。文章到此结束,本文的意图不仅仅只是一个步骤,而是希望大家以此为一个基点,利用现有的技术,组建出更安全的网络
0条评论