ROS中NAT应用

最新推荐文章于 2023-10-11 14:16:04 发布
最新推荐文章于 2023-10-11 14:16:04 发布
阅读量2.8k 收藏 3
点赞数
NAT有两种方式:
一种是source nat或者叫srcnat,源地址NAT,经常用于把内部网络的私网地址转换成公网地址,以便实现对公网地址的共用
一种是destination nat或者叫dstnat,目标地址NAT,常用与把访问的目标地址映射到内网的私网地址,以实现公网用户对内网资源的访问。

简单的srcnat应用:

常用的srcnat应用主要有两种:
一:masquerade方式,masquerade方式会自动寻找路由设备的IP地址去替代IP数据包的源地址
[admin@MikroTik] > ip firewall nat
[admin@MikroTik] /ip firewall nat> add chain=srcnat action=masquerade 
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
   chain=srcnat action=masquerade 
二:src-nat方式,src-nat方式会采用参数“to-addresses”中的特定值去替代IP数据包的源地址
假定:路由的外网地址172.16.0.2/24
[admin@MikroTik] /ip> firewall nat
[admin@MikroTik] /ip firewall nat> add chain=srcnat action=src-nat to-addresses=172.16.0.2 
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
   chain=srcnat action=src-nat to-addresses=172.16.0.2 
三:dstnat:端口映射
假定内网有一台WEB服务器:192.168.2.100,需要对外提供WEB资源
[admin@MikroTik] > ip
[admin@MikroTik] /ip> firewall nat
[admin@MikroTik] /ip firewall nat> add chain=dstnat dst-address=172.16.0.2 proto
col=tcp    dst-port=80 action=dst-nat to-addresses=192.168.2.100 to-ports=80
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
   chain=dstnat action=dst-nat to-addresses=192.168.2.100 to-ports=80 
         protocol=tcp dst-address=172.16.0.2 dst-port=80 
   chain=srcnat action=masquerade 
四:NAT功能举例:
实验结构:在外地机房存在一台ROS的有PPTP VPN服务器
实现功能:假定当从本地访问所需资源出现延时过高或者线路不稳定时,通过拨号连接至VPN服务后,从VPN服务器所在的ISP做中转,同时利用VPN服务器的NAT功能对不同的VPN授
权用户进行不同的访问限制,同时VPN服务器只具备单个网卡接口
本地路由器只需要实现正常共享上网(实现“ROS菜鸟系列1”功能)即可,
外地VPN服务器的构建:
实现第一步:先构建VPN服务器:
[admin@MikroTik] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave 
       NAME                                                                            TYPE                     MTU   
    ether1                                                                          ether                    1500 
[admin@MikroTik] /interface> set 0 name=wan
[admin@MikroTik] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave 
       NAME                                                                            TYPE                     MTU   
    wan                                                                               ether                    1500 
[admin@MikroTik] > ip address add address=211.2.123.42/28 interface=wan
[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic 
   ADDRESS                    NETWORK               BROADCAST           INTERFACE                       
   211.2.123.42/28      211.2.123.32      211.2.123.47      wan             
                   
[admin@MikroTik] > ip route
[admin@MikroTik] /ip route> add gateway=211.2.123.33
[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
        DST-ADDRESS              PREF-SRC              G GATEWAY                        DISTANCE IN..
0 A S    0.0.0.0/0                                            r 211.2.123.33                           wan 
1 ADC    211.2.123.32/28      211.2.123.42                                                         wan 
[admin@MikroTik] > ip pool        
[admin@MikroTik] /ip pool> add name=limit ranges=192.168.100.2-192.168.100.254
[admin@MikroTik] /ip pool> add name=nolimit ranges=192.168.200.2-192.168.200.254
[admin@MikroTik] /ip pool> print
# NAME                                                                     RANGES                                         
0 limit                                                                  192.168.100.2-192.168.100.254   
1 nolimit                                                                192.168.200.2-192.168.200.254   
增加地址池,为不同的授权用户动态分配不同的地址段

[admin@MikroTik] /ppp profile> add name=limitprofiles local-address=192.168.100.1 remote
-address=limit dns-server=61.139.2.69 idle-timeout=00:10:00 rate-limit=512K/512K only-on
e=yes
[admin@MikroTik] /ppp profile> add name=nolimitprofiles local-address=192.168.200.1 remo
te-address=nolimit dns-server=61.139.2.69 idle-timeout=00:10:00 rate-limit=1M/1M only-on
e=yes
[admin@MikroTik] /ppp profile> print
Flags: * - default 
0 * name="default" use-compression=default use-vj-compression=default 
         use-encryption=default only-one=default change-tcp-mss=yes 
   name="limitprofiles" local-address=192.168.100.1 remote-address=limit 
         idle-timeout=10m use-compression=default use-vj-compression=default 
         use-encryption=default only-one=yes change-tcp-mss=default rate-limit=512K/512K 
         dns-server=61.139.2.69 
   name="nolimitprofiles" local-address=192.168.200.1 remote-address=nolimit 
         idle-timeout=10m use-compression=default use-vj-compression=default 
         use-encryption=default only-one=yes change-tcp-mss=default rate-limit=1M/1M 
         dns-server=61.139.2.69 
3 * name="default-encryption" use-compression=default use-vj-compression=default 
         use-encryption=yes only-one=default change-tcp-mss=yes 
添加VPN用户属性,建立不同的用户类型
[admin@MikroTik] /ppp profile> ..
[admin@MikroTik] /ppp> secret 
[admin@MikroTik] /ppp secret> add name=user1 password=user1 profile=limitprofiles service=pptp
[admin@MikroTik] /ppp secret> add name=user2 password=user2 profile=nolimitprofiles service=pptp
[admin@MikroTik] /ppp secret> print
Flags: X - disabled 
   NAME                SERVICE CALLER-ID           PASSWORD           PROFILE           REMOTE-ADDRESS 
   user1               pptp                                  user1                limitprofiles
   user2               pptp                                  user2                nolimitpro...
[admin@MikroTik] /interface pptp-server server> set enabled=yes authentication=pap,chap,mschap1,mschap2
[admin@MikroTik] /interface pptp-server server> print
                    enabled: yes
                    max-mtu: 1460
                    max-mru: 1460
                         mrru: disabled
         authentication: pap,chap,mschap1,mschap2
    keepalive-timeout: 30
      default-profile: default-encryption
[admin@MikroTik] /interface pptp-server server> /
[admin@MikroTik] > ip firewall address-list 
[admin@MikroTik] /ip firewall address-list> add list=qq address=202.104.129.251-202.104.129.254
[admin@MikroTik] /ip firewall address-list> add list=qq address=218.18.95.160-218.18.95.227      
[admin@MikroTik] /ip firewall address-list> add list=qq address=202.96.170.163-202.96.170.166
[admin@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic 
   LIST                                                                               ADDRESS                                       
   qq                                                                                 202.104.129.251-202.104.129.254
   qq                                                                                 218.18.95.160-218.18.95.227      
   qq                                                                                 202.96.170.163-202.96.170.166   
添加地址列表

[admin@MikroTik] /ip firewall nat> add chain=srcnat src-address=192.168.200.0/24 action=masquerade out-interface=wan 
[admin@MikroTik] /ip firewall nat> add chain=srcnat src-address=192.168.100.0/24 dst-address-list=qq action=masquerade out-interface=wan 
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
   chain=srcnat action=masquerade src-address=192.168.200.0/24 out-interface=wan 
   chain=srcnat action=masquerade src-address=192.168.100.0/24 dst-address-list=qq 
         out-interface=wan 
利用NAT分类不同用户类型访问不同资源
以上的例子是所有使用limitprofile用户组的用户,在进行VPN拨号授权通过认证后,只能通过VPN线路去访问目标地址为QQ列表里面的资源,无法利用VPN线路去访问其他的资源,
ROS的操作员可以通过对QQ地址列表里面目标地址的添加和删减,从而实现授权用户对不同目标地址的访问限制。

善用NAT与其他策略的配合使用,可以实现其他的更多功能,如:上下行的数据分流等,
诺亚方舟兄弟
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ROS配置多网段NAT
奇怪的老司机
03-31 4458
文档适用于有多个网段,部分网段可以上公网,部分网段不能上公网。配置方法如下:1,打开IP–>Firewall–>NAT2,添加规则,General标签Chain选择srcnatSrc. Address填写要访问公网的网段,不允许访问公网的网段不写。Action标签Action选择masquerade。至此配置完成,只有在NAT列表的网段才可访问公网,不在列表的网段不能访问公...
ROS dst-nat端口映射限制访问映射IP
weixin_34067980的博客
06-21 1688
需求:对外映射的端口希望能进行源IP访问限制,这样就能避免有些恶意的访问或者扫描。一、映射...这个不多说了,网上一搜一大把!二、针对映射进行访问限制:1、先做一些地址列表:firewall---address lists ---- “+” 2、应用在限制访问的映射的列表 完活。。。。 转载于:https://blog.51cto.com/314258/2131328...
rosnat
yuzhentong的博客
04-09 3979
一:原地址nat 1:通过masquerade 2:通过原地址nat src-nat转换to address 二:目的地址转换(端口映射) general为外网ip action为内网
rosnat 共享上网
编程小战
07-19 5953
一、RouterOS安装: RouterOS安装配置菜单,用方向键控制光标,用空格键选择或者放弃选项, 按I确定安装。 光纤接入我们一般只需要基本的system, 如果是adsl或者modem拨号就需要   选择ppp,dhcp这些我就不用说啦 hotspot就是那种小区上网,连接外网的时候需要在网页页面输入帐号密码才能上网的组件 isdn是另一种拨号方式
ROS配置DS-NAT端口映射
奇怪的老司机
04-04 2067
ROS通过DS-NAT方式可配置端口映射,将出口IP的某个或某几个端口映射到内网的某个IP的某个端口上。实现外网用户使用出口IP:端口的方式即可访问到内网服务。这里以出口IP的tcp12345端口映射到内网tcp54321端口为例。操作方法如下:1,winbox登录到路由器。2,IP–>Firewall–>NAT增加规则,General标签Chain选择dstnat。Dst. A...
ROS 采用NAT方式提高双线转发效率的方法
weixin_34245082的博客
04-01 1239
在有固定ip的情况下,NAT转发效率比masquerade高效,尤其当带机量足够多时,NAT优势十分明显,如果是双线或多线用户,更可利用NAT方式分载到不同的内网机器。因masquerade设置起来更简单,所以很少有人谈及NAT转发。其实NAT设置并不复杂,实际应用也会更灵活。 假如有两条线路,电信接入的网卡名为TEL,网通接入的网卡为CNC,内网分配的IP为192....
ROS软路由-虚拟机版
12-01
ROS软路由虚拟机版,正如标题所言,是ROS系统在虚拟环境应用形式,让用户能够在个人计算机上通过虚拟化技术运行ROS,进行路由配置、网络管理等一系列任务,而无需专门的硬件设备。 首先,我们需要了解ROS的基本...
ros v5 文版本教程(pdf格式)
12-27
3. **网络接口配置**:学习如何配置ROS的网络接口,包括物理接口(如以太网、WLAN)和逻辑接口(如桥接、路由),以及相关的IP地址、子网掩码、DNS设置。 4. **路由配置**:理解静态路由、动态路由协议(如RIP、...
across_optitrack:ROS节点,用于使用NatNet协议访问optitrack数据
05-08
6. 解析接收到的数据,可以是物体的位置、速度、角度等,然后应用到机器人控制系统或其他应用。 这个节点对于那些需要集成OptiTrack运动捕捉系统的ROS项目非常有用,例如在机器人导航、动态模拟或者复杂环境下的...
pfSense软路由器配置NAT1:1教程
01-06
pfSense软路由器配置NAT1:1教程,图文详细教程。
ROSTNAT 数据分析工具
04-10
情感分析,采用爬虫来截取微博股民发布的评论信息,这样的评论是股民在互联网上对股市直接的体会,有关愤怒、喜悦、无奈等各种情绪,以用来表达自己对股市各方面的考量,直接影响到他们是否会继续持股。另一方面,股民通过股票投资进行资产增值,除了股票本身的数据这一方面可以分析以外,也可以在当
ROST使用手册
01-02
 ROST  内容挖掘 系统 使用手册 功能性分析:分词、字频分析、英文词频分析(文件词频统计、剪切板词频统计  、查看统计表格 、查看大纲列表  、描红超纲词、查看非词表、加密词表、打开词典目录);文本操作;可视化;工具;聊天分析;全网分析;网站分析;浏览分析;微博分析;期刊分析
ros RouterOS脚本生成器
08-25
这款系统以其灵活性、易用性和丰富的功能集在IT行业备受推崇,尤其在小企业和网络管理员广泛应用。RouterOS提供了一个命令行接口(CLI)和图形用户界面(GUI),使得配置和管理网络设备变得简单高效。 "ros ...
软路由ROS与H3C三层交换机组网配置
最新发布
XMWS-IT
10-11 956
将ether1定义为WAN口,连接光猫ether2定义为LAN口,连接三层交换机。
ROS定向NAT配置解决PON模块不能访问故障
奇怪的老司机
03-31 996
年后搬了家,用RB962替换原有光猫,出现访问和ping均无响应的现象,将SFP口与网线接口设置在同一个bridge,电脑设IP为10.99.99.5/24能访问模块。看到模块IP地址时恍然大悟,br0只有IP和掩码设置,没有网关设置,所以导致在局域网内访问不到。而PPPoE是二层协议,不受三层的影响。解决这个问题需要在ROS上配置NAT,访问模块的地址转换成同网段地址就可以了。具体操作方法如...
ROS搭建具有NAT Gateway功能的VPC 网络
weixin_34233679的博客
10-08 522
背景 专有网络环境下,特定ECS往往需要公网访问能力,前面我们介绍了《ROS搭建SNAT网关使专有网络访问Internet》,利用ECS和EIP手动的搭建一个SNAT网关。 目前阿里云官方推出了专门的网络产品——NAT网关,对公网IP和公网带宽进行统一管理。 ROS资源介绍 ROS提供三个插件对NAT Gateway进行支持: ALIYUN::EC...
酒店web认证802.11x+ROS共享NAT上网
weixin_30732825的博客
04-17 1088
网络环境: 维也纳酒店-上网方式 web认证上网(wifi有线) 设备-ROS RB952Ui-5AC2ND一台笔记本电脑一台 web认证的三个特征,我们下面ROS的设置就是为了满足下面三个条件来分布实现步骤的。 web认证 开网页 服务端记录电脑用于上网的网卡的MAC地址 认证完毕以后这个网卡的IP是通过Dhcp-snooping获取,手动指定IP无效,手动指定的酒店不...
ros脚本多线脚本
06-16
用户可以通过解压文件,按照文档指导配置和运行程序,从而在实际项目应用ROS的多线程和数据分流功能。这样的工具对于机器人控制系统的设计和优化是非常有价值的,能够帮助开发者更高效地管理和利用系统资源,实现...
ROS操作系统在机器人应用的实践探索
"ROS应用篇.pptx 是一个关于机器人操作系统ROS原理与实践的讲座或教程,涵盖了平台介绍、运动学算法、SLAM与自主导航、语音交互和视觉识别等多个主题。该资源强调了基于ROS的开源软件平台,支持激光雷达和深度摄像头...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值