防火墙技术基础篇:NAT转发之——NAPT(同时转换地址和端口)

最新推荐文章于 2025-03-24 14:40:23 发布
最新推荐文章于 2025-03-24 14:40:23 发布
阅读量2.7k 收藏 19
点赞数 21
分类专栏: 防火墙技术基础篇 文章标签: 防火墙 NAT转发 NAPT 防火墙功能 网络地址转发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39241682/article/details/139238084
版权

NAT转发之——NAPT(同时转换地址和端口)

网络地址端口转换NAPT
网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。

NAPT 工作原理

地址转换:当内部网络中的设备发起与外部网络的通信时,NAPT会将源IP地址(私有地址)转换为公网IP地址。
端口转换:同时,NAPT还会更改源端口号,确保每个内部设备的通信请求都具有唯一的源IP地址和端口号组合。
映射表:NAPT设备维护一个映射表,记录内部IP地址和端口号到公网IP地址和端口号的转换关系。
数据包处理:当从外部网络返回的数据包到达NAPT设备时,设备会根据映射表将目的公网IP地址和端口号转换回对应的内部IP地址和端口号,然后将数据包转发给内部网络中的相应设备。

NAPT 的优点

IP地址节约:通过允许多个私有IP网络共享一个公网IP地址,NAPT显著减少了公网IP地址的需求。
安全性增强:由于私有网络的细节对外隐藏,NAPT提供了一定程度的安全保护,使得外部攻击者难以直接访问内部网络。
灵活性:NAPT使得家庭和小型企业能够轻松地建立自己的局域网,而无需为每个设备分配公网IP地址。

NAPT 的限制

应用限制:某些网络应用(如某些文件共享和视频通话服务)可能不支持NAPT,因为它们可能需要直接从外部网络访问内部设备。
性能影响:NAPT设备需要处理所有进出的数据包,这可能会引入额外的延迟,特别是在高流量情况下。
复杂性增加:配置和管理NAPT设备可能比简单的路由器更复杂,需要更多的网络知识。

实验步骤

1. 创建实验环境

2. 接口IP地址配置及开启Ping功能

配置接口g1/0/0

配置接口g1/0/1

3. 配置安全区域分别将g1/0/1加入trust区域、g1/0/2加入untrust区域

将g1/0/1加入trust区域

将g1/0/2加入untrust区域

4. 配置默认路由访问公网

5. 配置安全策略


[FW1]security-policy
[FW1-policy-security]rule name to_internet //创建策略名为to_internet
[FW1-policy-security-rule-policy1]source-zone trust //设置源区域为trust
[FW1-policy-security-rule-policy1]destination-zone untrust //设置目标区域为untrust
[FW1-policy-security-rule-policy1]source-address 192.168.10.0 24
[FW1-policy-security-rule-policy1]action permit //安全规则的动作,这里表示允许该规则流量的通过

6. 创建NAT地址池


nat address-group nat-pool
[FW1-address-group-bdqn]mode pat //设置模式为pat,因为NAPT不包含server-map所以不用配置global
[FW1-address-group-bdqn]section 0 1.1.1.10 1.1.1.11 //地址池数量由1.1.1.10~1.1.1.11
[FW1-address-group-bdqn]route enable //开启NAT路由

7. 配置NAT策略


[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name to_internet
[USG6000V1-policy-nat-rule-to_internet]source-zone trust
[USG6000V1-policy-nat-rule-to_internet]destination-zone untrust
[USG6000V1-policy-nat-rule-to_internet]source-address 192.168.10.0 24
[USG6000V1-policy-nat-rule-to_internet]action source-nat address-group nat-pool
[USG6000V1-policy-nat-rule-to_internet]dis th

8. 配置server

9. 测试结果

配置PC的IP地址

在任意PC上ping服务器,查看防火墙会话表,可以看到,同时转换IP地址时也转换端口号

因为NAPT可以实现多个私网地址共用一个或多个公网地址的地址转换方式,所以即使地址池只有两个IP地址,在PC1和PC2不停地给服务器发送数据的同时,PC3也可以进行IP地址转换。

firewalld(7)NAT端口转发
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-03 1721
在前面的文章中已经介绍了firewalld了zone、rich rule等规则设置,并且在iptables的文章中我们介绍了网络防火墙、还有iptables的target,包括SNAT、DNAT、MASQUERADE、REDIRECT的原理配置。那么在这文章中,将继续介绍在firewalld中的NAT的相关配置使用。
P2P技术详解()NAT详解——详细原理、P2P简介()
隔壁老瓦的专栏
09-17 2404
这是一介绍NAT技术要点的精华文章,来自华3通信官方资料库,文中对NAT技术原理的介绍很全面也很权威,对网络应用的应用层开发人员而言有很高的参考价值。   《P2P技术详解》系列文章 ➊ 本文是《P2P理论详解》系列文章中的第2,总目录如下:   《P2P技术详解()NAT详解——详细原理、P2P简介》(本文) 《P2P技术详解()...
NATNAPT技术详解
热门推荐
answer3lin的博客
02-11 3万+
一、定义 NAT: Network Address Transfer 网络地址转换。虚拟机。 NAPT: Network Address Port Transfer 网络地址端口转换。也叫PAT。内网路由器或FW。 NATNAPT功能是完成内部私有地址全局网络地址转换,让计算机能与外界网络通信。其属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址转换技术,它被广...
Firewalld防火墙 端口转发
weixin_50748489的博客
05-12 432
一.配置IP Centso1 Centso2 Centso3 Centso4 二.开启防火墙 Centso1 Centso2 Centso3 Centso4 centso2开启路由转发功能 三.配置防火墙区域,并将接口加入区域 1.centos1配置默认区域 2.centos1接口加入internal 3.Centos2配置默认区域 firewall-cmd --set-default-zone=trusted ens33接口加入internal 区域 ens 37 加入exte
NAT转发模式)安装
Kx253165521的博客
03-21 406
NAT 模式依赖宿主机虚拟适配器的 IP 子网,配置错误会导致通信中断。确保虚拟机 IP 与网关在同一子网。禁用冲突的 DHCP 或防火墙规则。确认宿主机 NAT 子网网关。
linux防火墙实现NAT转发
悠悠猪
04-27 136
2008-02-26 09:54 linux防火墙实现NAT转发。 iptables -t nat -F sysctl -w [...]
网络地址转换实验
weixin_34293059的博客
09-19 677
1.概念    网络地址转换用于控制网络封包的表面源或所需目标地址。    基于主机的简单防火墙只具有 INPUT 链中的规则,以 ACCEPT 或 REJECT 封包,但是在专用(不可路由)网络的网关或路由器上,通常使用 PREROUTING POSTROUTING 链修改封包。nat 表使用三条链: PREROUTING 、 OUTPUT POSTROUTING 。当路由器修改通过其的...
Nat转发
weixin_46106069的博客
04-24 501
准备:两台有两块网卡的虚拟机 1.1,开启第一台虚拟机的防火墙 systemctl start firewalld.service 1.2,firewalld配置nat网关服务器 1.3,转发内网段流量 2.2,第二台虚拟机配置: 关闭ens33网卡: 然后配置文件修改: 修改完就可以ping通外网了 ...
华三nat实验(包含静态NAT,动态NATNAPTEasy IP)
lebiewi的博客
12-29 1463
在实际应用中,由于企业内网大多使用私网地址NAT就可以用于实现私有网络访问公共网络的功能。[Exit-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //配置nat转换,没有no-pat表示使用端口转换,公网地址与私网地址一对多进行转换。[Exit-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat //配置地址转换
防火墙与入侵检测技术——NAT实验
Yo_ol的博客
04-10 2048
实验目的 温习及巩固NAT的各种技术及应用 实验环境及器材(软件、硬件环境及所需实验材料) PC、ensp 三、 实验内容及步骤 实验基于USG5500 NAT No-PAT(ip地址一对一转换) 组网使用2台PC连接交换机再连接防火墙,交换机配置vlan,防火墙配置vlan、vlanif接口及ip,防火墙接交换机的接口需要切换到二层...
NAT端口转发:理解NAT端口映射的作用
NAT(Network Address Translation,网络地址转换)是一种在计算机网络中将私有网络的IP地址转换为公共网络IP地址,或者反之,以实现内部网络外部网络之间通信的技术。 ## 1.2 NAT的作用原理 NAT的主要作用是...
同样都是NATNAT ServerNAT Static的区别是什么?
最新发布
网络技术联盟站
03-24 246
在进入正题前,咱们得先打个基础NAT,全称是,简单来说,就是一种把(比如家里局域网用的192.168.x.x)转换成(能在互联网上公开访问的地址)的技术。🌐为啥需要这个转换?因为IPv4地址只有43亿个,根本不够全球几十亿设备用。NAT的出现,让多个设备可以“挤”在一个公共IP地址后面,完美解决了IP短缺的尴尬局面。🌍 这就像一群人共用一个电话号码,通过不同的分机号区分彼此——聪明吧?😎好了,基础铺垫完毕,接下来进入重头戏:NAT ServerNAT Static的真面目!
NAT转发
TRI_SEVEN的博客
10-28 1033
sudo sysctl net.ipv4.ip_forward=1 ifconfig | grep -o "enp[0-9][0-9sfu]*" ifconfig | grep -o "wlp[0-9][0-9sfu]*" sudo iptables -t nat -A POSTROUTING -o wlp0s20f3 -j MASQUERADE sudo iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
什么是NAT转发
2301_78526531的博客
10-27 2146
如果您发现您的网络已经被网络NAT转发了,如果您电脑或服务器不需要被外网的人访问,您只是自己平时上网,那是没有什么影响的,但是如果您的电脑是一台服务器那外网的人就无法访问到您的服务器了,因为您已经失去了对外的公网地址了,这样的情况可能会影响到您的日常办公,需要您及时的处理。如果您的网络被NAT转发后,您就不具备了对外的公网IP地址了,您进入到您的路由器中查看路由器的WAN口IP,一般会显示100、10开头,如果是这样开头的IP地址,一般就是被网络NAT转发了,这种情况一般电信的网络居多。
linux防火墙端口转发
beyond_zb的博客
05-09 2132
步骤如下: (1)用root 用户查看防火墙状态 service iptables status (2)添加出入转发规则 8080转发到 80 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 iptables -t nat -A OUTPUT -p tcp --dpo...
VMware做NAT端口转发(全网最详细步骤)
maple_leaf
08-29 1万+
在日常生活中我们可能需要对虚拟机内的某个端口进行访问,例如我们在虚拟机上部署了一个web引用,需要我们使用到另外的主机去访问,这时由于他们不属于同一个网段,所以这时就需要我们去做端口转发
基于LINUX 主机防火墙端口转发
weixin_34023982的博客
02-13 157
由于centos7之后将默认防火墙从原来的iptables更改为firewall。本文主要记录基于firewall的端口转发部署。 1、检查防火墙状态 systemctl status firewall 显示active(running)为正在运行,如果没有运行则需要执行: systemctl start firewall 启动防火墙。 2、查看防火墙...
firewall 端口转发
ailx10
07-16 2704
centos7 不再使用iptables了,改使用高大上的firewall,firewall 命令主要在centos系列上使用,不过同样支持ubuntu 系列,这里我使用kali rolling系统来演示firewall 端口转发,比iptables简单多了,用完之后就喜欢了。步骤一:启动防火墙systemctl start firewalld # 关闭防火墙:systemctl stop fi...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云计算练习生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值