网络地址转换

### 网络地址转换
NAT 可能是 linux 和 Iptables 最为吸引人的地方了，你不需要购买昂贵的 cisco IPX，很多小公司或者个人往往都选择 Iptables 完成这个功能。一个很重要的原因就是便宜，安全。它只需要你有一台旧电脑，一个比较新的 linux 发行版，另外还需要两张网卡以及线缆，仅此而已。

从根本上来说，NAT 就是容许一台或者多台机器共享一个 IP 地址。例如我们把这些机器的默认网关设置为 NAT 服务器。这样所有的报文都会被发送给网关，但是 NAT 服务器的处理有些特殊。

- snat
  - NAT 服务器能够改变报文的源和目的地址成另外一个不同的地址。NAT 服务 器接收到一个报文，接着就改写他的源/目的地址，其次在重新计算这个报文的 校验和。其中很重要的一个用途就是源地址 NAT(SNAT)，源地址 NAT 其实就 是解决我们上面提到的那个问题，我们只有一个公网 IP，但是有 5-10 台计机 器需要上网，这样我们就打开 SNAT 功能，5-10 计算机就能够共享这一个公网 IP 地址上网了。

- dnat
  - 当然还有另外一些叫做目的 NAT 的(DNAT)，DNAT 在我们假设自己的服务 器时候特别有用。首先它能够帮助我们节约 IP 地址(多台服务器共享一个 IP)，其次在 NAT 服务器和实际的服务器之间相当于增加了一个防护体系，增 强了服务器的安全系数。例如一些公司可能同时运行 web 和 ftp 服务器，他们 可能在同一台机器上面，也有可能是物理上分开的机器，但是上面运行着不同 聊天或者远程接入服务器(主要便于员工在家或者出差的时候，和公司内员工 互相联系)。我们可以借助 DNAT，通过同一个 IP 提供上述的所有服务。
 
在 linux 世界里面，我们有两个武器来完成 NAT 功能，分别是 Fast-NAT 和 Netfilter-NAT.Fast-NAT 在 linux 内核的 IP 路由代码里面实现，而 Netfilter-NAT 也是在 linux 内核里面实现，但是是在 Netfilter 里面完成。Fast-NAT 这个名字的由来就是因为它比 netfilter-NAT 更快，fast-NAT 没有连接跟踪相关的代码。

我们还经常接触的另外一个 SNAT 就是伪装(Masquerade)，它主要应用于动态地址分配的场合，对于 Masquerade 它会自动用出接口上面的地址作为报文的新地址。

- NAT使用说明
  - 第一个问题 一些特定的协议和应用程序不能在 NAT 的环境里面工作正常。
  - 第二个问题就是一些应用程序和协议只能部分工作正常。
  - NAT 只是我们解决 IPV4 地址不足的一种补救手段，它不是最终方案，真正的解决方案是加速 IPV6 的推广和应用。
 
 
- 放置代理
  - 在防火墙之前架设一个代理。然后让所有的 web 流量都到这台机器上面，本地完成 NAT。
  - 在防火墙外面搭建一个代理，但是要隔断所有不通过代理的 web 流量，这个方法虽然粗鲁，但是能够保证工作。

转载于:https://www.cnblogs.com/xyh592/articles/3685042.html