概要
本文说明如何通过使用 Windows Server 2003 来配置网络地址转换 (NAT) 服务器。Windows Server 2003 的路由和远程访问服务包括 NAT 路由协议。如果在运行“路由和远程访问”的服务器上安装和配置了 NAT 路由协议,则使用专用 Internet 协议 (IP) 地址的内部网络客户端可以通过 NAT 服务器的外部接口访问 Internet。




如何配置路由和远程访问 NAT 服务器
当内部网络客户端发送 Internet 连接请求时,NAT 协议驱动程序将截获该请求,并将其转发到目标 Internet 服务器。所有请求看上去都像是来自 NAT 服务器的外部 IP 地址。此过程隐藏了您的内部 IP 地址配置。

配置路由和远程访问 NAT 服务器:
1. 在管理工具菜单上,单击“路由和远程管理”。
2. 在“路由和远程访问”MMC 中,展开您的 server_name(其中server_name 是您要配置的服务器的名称),然后展开左窗格中的 IP 路由¡£
3. 右键单击常规,然后单击新建路由协议。
4. 单击以选中 NAT/基本防火墙复选框,然后单击确定。
5. 右键单击左窗格中的 NAT/基本防火墙,然后单击新建接口。
6. 单击表示内部网络接口的接口,然后单击确定。
7. 在“网络地址转换”属性中,单击“专用接口连接到专用网络”,然后单击确定。
8. 右键单击左窗格中的 NAT/基本防火墙,然后单击新建接口。
9. 单击表示外部网络接口的接口,然后单击确定。
10. 在“网络地址转换”属性中,单击“公用接口连接到 Internet”。
11. 单击以选中“在此接口上启用 NAT”复选框,然后单击确定。
NAT 服务器可以自动为内部网络客户端分配 IP 地址。如果您没有已向内部网络上的客户端分配了地址信息的 DHCP 服务器,则可能需要使用此功能。




如何配置路由和远程访问 NAT 服务器以分配 IP 地址和执行代理 DNS 查询
NAT 服务器还可以代表 NAT 客户端执行域名系统 (DNS) 查询。路由和远程访问 NAT 服务器对包括在客户端请求中的 Internet 主机名进行解析,然后将该 IP 地址转发给客户端。

要配置路由和远程访问 NAT 服务器以分配 IP 地址并代表内部网络客户端执行代理 DNS 查询,请按以下步骤操作:
1. 右键单击左窗格中的 NAT/基本防火墙,然后单击属性。
2. 单击地址分配选项卡,然后单击以选中“使用 DHCP 分配器自动分配 IP 地址”复选框。
3. 在 IP 地址框中,键入网络 ID。
4. 在掩码框中,键入子网掩码。
5. 单击名称解析选项卡,然后单击以选中“使用域名系统 (DNS) 的客户端”复选框。
6. 如果您使用请求拨号接口连接到 Internet,请单击以选中“当名称需要解析时连接到公用网络”复选框。
7. 在请求拨号接口框中,单击要拨号的接口。
8. 单击应用,然后单击确定。
注意:完成这些基本配置步骤之后,内部网络客户端就可以访问 Internet 上的服务器了。



如何配置基于 Windows Server 2003 的计算机以使用 NAT 服务器
1. 单击开始,指向控制面板,指向网络连接,然后单击本地连接。
2. 单击属性。
3. 单击 Internet 协议 (TCP/IP)。
4. 单击属性。
5. 在“默认网关”框中,键入 NAT 服务器的内部 IP 地址。

注意:如果您的计算机从动态主机配置协议 (DHCP) 服务器接收其 IP 地址,请单击高级,单击 IP 设置选项卡,单击网关下的添加,键入 NAT 服务器的内部 IP 地址,单击添加,单击确定,然后继续第 6 步。
6. 单击确定,单击确定,然后单击关闭。

利用Win2003的NAT功能配置简单的防火墙

添加网络地址转换
打开 路由和远程访问。
在控制台树中,单击“常规”。
位置
路由和远程访问
服务器名称
IP 路由选择
常规
右键单击“常规”,然后单击“新增路由协议”。
在“选择路由协议”对话框中,单击“NAT/基本防火墙”,然后单击“确定”。
注意:
要执行该过程,您必须是 Administrators 组的成员。作为安全性的最佳操作,请考虑使用 runas 命令而不是以管理凭据登录。如果您已经以管理凭据登录,则还可以打开“路由和远程访问”,方法是依次单击“开始”和“控制面板”,双击“管理工具”,再双 击“路由和远程访问”。


为网络地址转换添加和配置接口
打开 路由和远程访问。
在控制台树中,单击“NAT/基本防火墙”。
位置

路由和远程访问
服务器名称
IP 路由选择
NAT/基本防火墙
右键单击“NAT/基本防火墙”,然后单击“新增接口”。
在“接口”中,单击要添加的接口,然后单击“确定”。
执行以下任一操作:
如果该接口连接到 Internet,则在“NAT/基本防火墙”选项卡上,单击“公用接口连接到 Internet”并选中“在此接口上启用 NAT”复选框。如果希望用动态数据包筛选器保护公用接口,则选中“在此接口上启用基本防火墙”复选框。
如果该接口连接到小型办公室或家庭网络,则在“NAT/基本防火墙”选项卡上,单击“专用接口连接到专用网络”。
注意

要执行该过程,您必须是 Administrators 组的成员。作为安全性的最佳操作,请考虑使用 runas 命令而不是以管理凭据登录。如果您已经以管理凭据登录,则还可以打开“路由和远程访问”,方法是依次单击“开始”和“控制面板”,双击“管理工具”,再双 击“路由和远程访问”。
单击“仅基本防火墙”可仅启用公用接口的基本防火墙,而不启用 NAT。
对于到 Internet 的拨号连接,请选择配置为连接到您的“Internet 服务提供商 (ISP)”的请求拨号接口。
对于到 Internet 的永久连接,请选择连接到您 ISP 的永久接口。

启用网络地址转换寻址
打开 路由和远程访问。
在控制台树中,单击“NAT/基本防火墙”。
位置

路由和远程访问
服务器名称
IP 路由选择
NAT/基本防火墙
右键单击“NAT/基本防火墙”,然后单击“属性”。
在“地址指派”选项卡上,选中“使用 DHCP 分配器自动分配 IP 地址”复选框。
(可选)要为专用网络上的 DHCP 客户端进行分配, 请在“IP 地址”和“掩码”中配置 IP 地址的范围。
(可选)要排除避免分配给专用网络上 DHCP 客户端的地址,请单击“排除”,再单击“添加”,然后配置地址。
注意

要执行该过程,您必须是 Administrators 组的成员。作为安全性的最佳操作,请考虑使用 runas 命令而不是以管理凭据登录。如果您已经以管理凭据登录,则还可以打开“路由和远程访问”,方法是依次单击“开始”和“控制面板”,双击“管理工具”,再双 击“路由和远程访问”。
启用网络地址转换名称解析
打开 路由和远程访问。
在控制台树中,单击“NAT/基本防火墙”。
位置

路由和远程访问
服务器名称
IP 路由选择
NAT/基本防火墙
右键单击“NAT/基本防火墙”,然后单击“属性”。
要进行 DNS 服务器的主机名称解析,请在“名称解析”选项卡上选中“使用域名系统 (DNS) 的客户端”复选框。
如果希望到 Internet 的连接在专用网络上的主机向“网络地址转换 (NAT)”计算机发送 DNS 名称查询时得以初始化,请选中“当名称需要解析时连接到公用网络”复选框,然后在“请求拨号接口”中单击合适的请求拨号接口的名称。
注意

要执行该过程,您必须是 Administrators 组的成员。作为安全性的最佳操作,请考虑使用 runas 命令而不是以管理凭据登录。如果您已经以管理凭据登录,则还可以打开“路由和远程访问”,方法是依次单击“开始”和“控制面板”,双击“管理工具”,再双 击“路由和远程访问”。

配置接口 IP 地址范围
打开 路由和远程访问。
在控制台树中,单击“NAT/基本防火墙”。
位置

路由和远程访问
服务器名称
IP 路由选择
NAT/基本防火墙
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。
在“地址池”选项卡上,单击“添加”,并执行下列操作之一:
如果使用以 IP 地址和子网掩码表示的 IP 地址范围,则在“起始地址”中键入起始 IP 地址,然后在“掩码”中键入子网掩码。
如果使用不能以 IP 地址和子网掩码表示的 IP 地址范围,则在“起始地址”中键入起始 IP 地址,然后在“结束地址”中键入结束 IP 地址。
注意

要执行该过程,您必须是 Administrators 组的成员。作为安全性的最佳操作,请考虑使用 runas 命令而不是以管理凭据登录。如果您已经以管理凭据登录,则还可以打开“路由和远程访问”,方法是依次单击“开始”和“控制面板”,双击“管理工具”,再双 击“路由和远程访问”。
如果有多个地址范围,可使用“添加”分别添加每个地址。

配置基本防火墙
打开 路由和远程访问。
在控制台树中,单击“NAT/基本防火墙”。
位置

路由和远程访问
服务器名
IP 路由选择
NAT/基本防火墙
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。
在“NAT/基本防火墙”选项卡上,执行以下任一项操作:
单击“公用接口连接到 Internet”,然后选中“在此接口上启用基本防火墙”复选框。
单击“仅基本防火墙”。
注意

要执行该过程,您必须是 Administrators 组的成员。作为安全性的最佳操作,请考虑使用 runas 命令而不是以管理凭据登录。如果您已经以管理凭据登录,则还可以打开“路由和远程访问”,方法是依次单击“开始”和“控制面板”,双击“管理工具”,再双 击“路由和远程访问”。
通过配置其他静态数据包筛选器,可允许或阻止特定类型的网络通信到达网络。也可以接受或拒绝特定类型的“Internet 控制消息协议 (ICMP)”消息、特定服务所需的通信,或通过特定端口传送的通信。

配置服务和端口
打开 路由和远程访问。
在控制台树中,单击“NAT/基本防火墙”。
位置

路由和远程访问
服务器名称
IP 路由选择
NAT/基本防火墙
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。
在“服务和端口”选项卡上,执行下列操作之一:
如果接口与公用网络服务相关联,请查看“服务”中的列表,选择服务并查看显示的设置,然后单击“确定”。
如果接口不与公用网络服务相关联,或服务未在“服务”中列出,则单击“添加”,提供服务名称及传入和传出端口所需的设置,然后单击“确定”。
如果要禁用与公用网络服务相关联的端口,则查看“服务”中的列表,并清除相应的复选框。
如果要禁用以前添加的端口,则查看“服务”中的列表,并清除与所添加服务相应的复选框。
如果要删除以前添加的端口,则查看“服务”中的列表,选择所添加的服务,然后单击“删除”。
注意

要执行该过程,您必须是 Administrators 组的成员。作为安全性的最佳操作,请考虑使用 runas 命令而不是以管理凭据登录。如果您已经以管理凭据登录,则还可以打开“路由和远程访问”,方法是依次单击“开始”和“控制面板”,双击“管理工具”,再双 击“路由和远程访问”。

允许或拒绝 ICMP 消息
打开 路由和远程访问。
在控制台树中,单击“NAT/基本防火墙”。
位置

路由和远程访问
服务器名称
IP 路由选择
NAT/基本防火墙
在详细信息窗格中,右键单击要配置的接口,然后单击“属性”。
在“允许以下功能”中,执行如下操作:
要允许某类 ICMP 消息到达您的网络,请选中相应的复选框。
要阻止某类 ICMP 消息到达您的网络,请清除相应的复选框。
注意

要执行该过程,您必须是 Administrators 组的成员。作为安全性的最佳操作,请考虑使用 runas 命令而不是以管理凭据登录。如果您已经以管理凭据登录,则还可以打开“路由和远程访问”,方法是依次单击“开始”和“控制面板”,双击“管理工具”,再双 击“路由和远程访问”。
要显示消息类型的描述,请单击消息类型。描述将出现在“描述”下。

启用 ICMP 路由器发现
打开 路由和远程访问。
在控制台树中,单击“常规”。
位置

路由和远程访问
服务器名称
IP 路由选择
常规
在详细信息窗格中,右键单击要启用的接口,然后单击“属性”。
在“常规”选项卡上,请选中“启用路由器发现通告”复选框。
在“通告寿命(分钟)”中,输入或选择在听到其最后的路由器通告后多久认为路由器关闭的时间。
在“最小时间(分钟)”中,输入或选择路由器定期发送 ICMP 路由器通告的最小速率。
在“最大时间(分钟)”中,输入或选择路由器定期发送 ICMP 路由器通告的最大速率。
基于最小时间值和最大时间值,路由