ROS做NAT的应用配置.docx_三一办公31ppt.com

资源描述

《ROS做NAT的应用配置.docx》由会员分享，可在线阅读，更多相关《ROS做NAT的应用配置.docx（17页珍藏版）》请在三一办公上搜索。

1、NAT在IPV4的时代应用很广泛，它是解决IPV4地址资源紧张的权宜之计。我相信，每个单位都在使用着NAT功能匕。在思科等路由器中，配置NAT时，有几个重要因素：指定内部外部接口、指定内要NAT的地址列表、指定转换后的地址列表等。在接口配置模式下输入ipnat inside或ipnat outside，指明内部接口和外部接口后，路由器就知道地址翻译应该发生在数据包流经哪个接口时进行地址转换；全局模式下，ipnat inside xxx是对内部地址（包括内部私有和内部全局地址）进行转换，ipnat outside xxx是对外部地址（一般只有外部全局地址）进行转换;ipnat inside

2、 source xxx是对数据包的源地址进行转换；ipnatinsde destination xxx是对数据包的目的地址进行转换。比如，内部（私有地址）到外部网络的访问，此时需要将数据包的源地址（内部私有地址）转换为内部全局地址，进行的是内部地址转换（内部私有地址转换为内部全局地址），因此使用的是：ipnat inside source xxx。比如，外部PC通过内部全局地址来访问内部的某台服务器（内部私有地址），此时需要将数据包的目的地址（内部全局地址）转换为内部私有地址，进行的是内部目标地址的转换，因此使用的命令是：ipnat inside destination。言归正传，下面我们

3、来说明ROS中NAT时指明IP或接口和不指明时的差异：看如下拓扑：内部有一台FTP服务器，在ROS上通过NAT映射到外部192.168.202.133地址。外部192.168.202.1访问192.168.202.133 21端口，在FTP服务器上可以看到三种连接来源，如下图示:E站点住钠F消局住目初日录受全世Irrr站点标识建夜的用尸厝搜万!町呵草痢二2ionox_C：iX:D3；rrr用户点厚疼瘦FTP富r彳再13KU Ml*站*蒿性feiiiif自wrJT?玄L可7 身前琏按了 1个用户.廊JF|至那断开氟F，W前舍古溟1也就是说，到达FTP服务器的数据包的源IP地址可能是ROS的LAN

4、接口 IP、ROS的WAN接口 IP、外部访问者的IP。卜面我们一一来查看各种情况的ROS上的NAT配置: 一：FTP服务器上看到用户会话连接方为1721601（ROS的LAN接口 IP）时的ROS配置:Src.AivaxiGt dExtraActi。以Stati stiesGerber ：=J_3Chain： NkT Rule16B. ZOZ. 133/:21istnatA dili- ess:rp2. IBS.派 L33Dst.Mdr 空m；KDSTNAT： dst address 为 ROS 的 WAN 口 IPACTION:DST-NAT，映射到FTP服务器的IPBisatileRe

5、moveSRCNAT :将内部地址伪装AdTiilLCedEiitraActionStatisti czChain：口皿沱ti onRuutingApplyCorrim entSRCNAT :将内部地址伪装此配置的特点是:使用masquerade（伪装），不指定要NAT的源IP地址列表，也不指定In Interface和Out Interface。二：FTP服务器上看到用户会话连接方为192.168.202.133（ROS的WAN接IP）时的ROS配置:DSTNAT和上面的一样，只有SRCNAT不一样:此配置的特点是：SRCNAT时使用Src-Nat ACTION，将内部要NAT的地址映射为R

6、OS的WAN 口 IP,不指定要映射的src address，也不指定要映射的In Interface和Out Interface。三：FTP服务器上看到用户会话连接方为192.168.202.1（FTP客户端IP）时的ROS配置：DSTNAT和上面的一样，只有SRCNAT不一样:r=acke ICijriiLecti onHarkMarkAdvarLCtiEirtYSAeti 6TiStati 过mmMark：Routing指定 SNAT 时 Out Interface 接口下面将上述结果进行理论分析:当就MAT不指定out时，从laN口流出的彝据电,曲.要址行NAr.当iACtiohJi5

7、RC-NAT中不指定地址B4 , P.源坦拒被改为臻口的IP .fm.7j.i6.aij ；171./. +1I.LU.XU.lhK曲*上血口irj.m.D.jLui当$瓦快1在虹戏?膏AM4T中措定地址时，流出落口的弦据包瓣楠甲地SRC-HAT中指定的I P&址。3nat介绍网络地址翻译是一种允许本地网络主机使用一段IP地址进行本地通信，使用另一段IP地址进行外部通信的因特网标准。一个使用网络地址翻译的局域网就被称为natted（已翻译）网络。为了使网络地址翻译进行工作必须在每个natted网络都有一个nat网关。nat网关的作用就是在数据包进/出局域网时重写IP地址的作用。输出数据包转

8、换的示例：elan117，如果您要查看本帖隐藏内容请回复网络地址翻译包括两种类型：-源网络地址翻译或者srcnat。这种类型的网络地址翻译工作在从一个natted网络产生的数据包上。nat路由器在IP包通过它的时候用一个新的公网IP地址代替了其私有源地址。相反的操作适用于响应包从相反方向通过路由器时。-目标网络地址翻译或者dstnato这种类型的网络地址翻译工作在到达一个natted网络的数据包上。它通常用于使一个私有网络上的主机能够被因特网访问dstnat路由器在IP包通过该路由器到达私有网络时替换了 IP包的目标IP地址。nat缺点在一个使用了网络地址翻译的路由器背后的主机并不拥有真实的

9、端对端的连接。因此一些因特网协议就不在有网络地址翻译的情况下工作。一些来私有用网络外部或者无连接协议如UDP协议且需要TCP连接初始化的服务将被打断。此外，一些协议内在与NAT不兼容，一个鲜明的事例就是IPsec中的AH协议。重定向与伪装重定向和伪装分别是目的nat和源nat的特殊形式。重定向类似与普通的目的网络地址翻译就好比伪装类似与源网络地址翻译一一伪装是一种不需要指定to-addresses的源网络地址翻译的特殊形式一一对外接口地址将被自动使用。重定向同理一一进入接口地址将被使用。注意，to-ports对于重定向规则来说很有意义一一这就是在路由器起上处理这些请求的的服务端口。（比如

10、：web代理）当数据包进行了目的网络地址翻译（dst-nat）时（不论action=nat或者action=redirect）,目的地址都将改变。有关地址翻译的任何信息（包括初始的目的地址）将被保存在路由器的内部维护表。当web请求被重定性到路由器的代理端口时，工作在路由器上的透明web代理将访问从内部表这个信息并从其中取得web服务器的地址。如果你正在对几个不同的代理服务器进行目的网络地址翻译，那你将不会从IP包头找到web服务器的地址，因为IP包的目的地址之前是web服务器的地址但现在已经变成了代理服务器的地址。从HTTP/1.1开始在HTTP 请求中出现了特殊的可以告知web服务器地

11、址的包头，于是代理服务器使用它取代了 IP包的目的地址。如果没有这样的包头（如：老版本的HTTP），代理服务器将不能确定web服务器地址也将无法工作。这也就是说，对HTTP流从一个路由器到其他一些透明代理服务器进行正确的透明的重定向是有可能的。只有在路由器本身添加透明代理并配置才是正确的方法，因此你的真实的代理就是上级代理。这种情况下你的真实的代理再也不用是透明的，因为在路由器上的代理将成为透明的并将向真正的代理转交代理方式请求（根据标准，这些请求包括了所有必须的web服务器信息）。属性描述action （accept | add-dst-to-address-list | add-src

13、IP包的源地址dst-nat -用to-addresses及to-ports参数指定的变量取代IP包的目的地址jump -跳转到由jump-target参数指定的链log - action的每个匹配都将对系统日志添加一条消息masquerade -以一个路由策略自动分配的IP地址取代IP包的源地址netmap -创造一个IP地址从一端到另一端的静态1： 1映像。通常用于分配公用IP地址到专用内网的主机上passthrough -忽略次条规则并转到下一个规则redirect -把IP包的目的地址替换成一个路由器的本地地址return -返回到跳转发生的链same -从允许范围内分配给特定客户每个

14、连接相同的源/目的IP地址。这种情况通常用于来自期望相同客户的相同客户地址对多重连接的服务。src-nat -把IP包的源地址替换成由to-addresses和to-ports参数指定的值address-list （名称）-指定地址列表的名称以收集使用了 action=add-dst-to-address-list或action=add-src-to-address-list 动作规则的 IP 地址。address-list-timeout （时间；默认：00:00:00）-在address-list参数指定的地址列表删除地址之后的时间间隔。与add-dst-to-address-list 或

15、 add-src-to-address-list 动作一起起使用00:00:00 -从地址列表中永久删除chain （dstnat | srcnat | name） -选择或者定义一个规则的链。由于不同的数据流通过不同的链，所以为新规则选择正确的链必须很小心。如果输入一个与默认链名（srcnat和dstnat）不匹配，那么会生产一个新的链。dstnat -在这个链中的规则会在路由前被应用。代替IP包目的地址的规则应放在这里。srcnat-在这个链中的规则会在路由后被应用。代替IP包源地址的规则应放在这里。comment （文本）-对规则的描述性注解。一条注解能被用于从脚本中识别规则。conne

16、ction-bytes （整型-整型）-当且仅当一定给定量字节从特定连接传输时与数据包进行匹配。0 -代表无穷大。例如：connection-bytes=2000000-0如果大于2MB数据从相关连接传输就与规则匹配。connection-limit （整型，子网掩码）-限制每个地址或地址群的连接限度。connection-mark （名称）-与通过mangle机制标记的特定连接数据包进行匹配connection-type （ftp | gre | h323 | irc | mms | pptp | quake3 | tftp）-与基于连接跟踪助手信息的相关连接的包进行匹配。相关连接助手必须在

17、/ip firewall service-port下启用content （文本）-文本数据包必须按顺序排列以与匹配规则 dst-address （IP地址/掩码| IP address-IP address）-指定IP包的目的地址范围address/netmask -对合法网络地址的换算，例如：1.1.1.1/24被转换为1.1.1.0/24dst-address-list （名称）-在用户自定义的地址列表中匹配数据包的目的地址dst-address-type （unicast | local | broadcast | multicast）-在 IP 包的目的地址类型中匹配其中之一unica

18、st -用于点对点传输的IP地址。这种情况仅限于一个发送者和一个接受者local -与分配到路由器接口的地址匹配broadcast -这个IP包从IP子网的一个点到其他所有点发送信号multicast -这种类型的IP地址负责从一个或多个点到其他一系列点的传输dst-limit （整型/时间0,1,整型，dst-address | dst-port | src-address+,time0,1）-在每个目的 IP 或者每个目的端口库上限制每秒数据包绿（pps）。与limit匹配相反，每个目的IP地址/目的端口都有自己的限度。其选项如下（按出现次序）：Count -最大平均包率。以pps衡量，除

19、非跟随在Time选项之后。Time -指定包率衡量的时间间隔Burst -以成组方式匹配的包数量Mode -包率限制分类方式Expire -指定已记录的IP地址/端口将被删除的过期时间，时间间隔。dst-port （整型：0.65535-整型：0.65535*）-目的端口数或范围hotspot （多选项：from-client | auth | local-dst）-从各种不同的Hot-Spot中匹配从客户获得的包。所有值都可以被取消。from-client -如果一个包来自于HotSpot客户则为真auth -如果一个包来自验证用户则为真local-dst -如果一个包拥有本地目的IP地址则

21、p)-与 ipv4标题选项匹配any -与ipv4选项中至少一个匹配loose-source-routing -与发射源路由选项的包进行匹配。次选项一般用于路由基于源提供信息的因特网数据报no-record-route -以无记录路由选项匹配包。次选项一般用于路由基于源提供信息的因特网数据报no-router-alert -以无路由警报选项匹配包no-source-routing -以无源路由选项匹配包no-timestamp -以无时间印章选项匹配包record-route -以记录路由选项匹配包router-alert -以路由警报选项匹配包strict-source-routing -以

22、严密的源路由选项匹配包timestamp -以时间印章选项匹配包jump-target (dstnat | srcnatname)-将要跳转的目标链名称，如果使用了动作action=jump limit (整型/时间0，1，整型)-按给定限度限制包匹配率。对于减少日志信息数量有用Count -最大平均包率。以pps衡量，除非跟随在Time选项之后。Time -指定包率衡量的时间间隔Burst -以成组方式匹配的包数量log-prefix (文本)-所有写入日志的信息都包含次中指定的前缀。与action=log 一起使用。nth (整型，整型：0.15,整型0,1)-与特定的由规则获取的第N个包

23、匹配。16个可用计数器之一可被用来计算包数Every -匹配每第Every+1个包。例如：如果Every=1那么规则匹配每第二个包Counter -指定要使用的计数器。Packet -以给定包的数量进行匹配。显然地，这个值必须在0和Every之间。如果这个选项用于一个给定的计数器，那么在这个选项里必须至少有Every+1个规则，以包含所有在0和Every之间的值out-interface (name)-离开路由器的包的接口packet-size (整型：0.65535-整型：0.655350,1)-按字节匹配指定大小或大小范围的包Min -指定大小范围或独立的值的下限Max -指定大小范围的上

24、限phys-in-interface (name)-与添加到一个桥设备的桥端口物理输入设备匹配。仅在数据包从桥到达并通过路由器时有用phys-out-interface (name)-与添加到一个桥设备的桥端口物理输出设备匹配。仅在数据包从桥离开路由器时有用protocol (ddp | egp | encap | ggp | gre | hmp | icmp | idrp-cmtp | igmp | ipencap | ipip | ipsec-ah| ipsec-esp | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp

25、| xns-idp | xtp | 整型）-与由协议名称或编号指定的特定IP协议匹配。如果你想指定端口就应该进行这个配置。psd （整型，时间，整型，整型）-试图探测TCP及UDP扫描。建议对高号码端口分配低权重以减少被误判的频率，例如来自被动模式的FTP迁移WeightThreshold -来自不同主机且被作为端口扫描序列的带有不同目的端口的最新的TCP/UDP包的总权重值DelayThreshold -来自同意主机且被当作可能端口扫描子序列带有不同目的端口的包延迟LowPortWeight -特权目的端口（ = 1024）的数据包权重值HighPortWeight非特权目的端口（ = 10

26、24）的数据包权重值random （整型）-以给定概率随机匹配包routing-mark （name）-对mangle标记的特定路由的包进行匹配same-not-by-dst （yes | no）-当选择要与action=same规则匹配的包的新源IP地址时指定是否对目的IP地址进行计数src-address （IP地址/子网掩码| IP地址-IP地址）-指定源IP包产生的地址范围。src-address-list （name）-与用户定义的地址列表中的数据包源地址匹配src-address-type （unicast | local | broadcast | multicast）-与 IP

27、包的源地址类型中的一个匹配unicast -用于点对点传输的IP地址。这种情况仅限于一个发送者和一个接受者local -与分配到路由器接口的地址匹配broadcast -这个IP包从IP子网的一个点到其他所有点发送信号multicast -这种类型的IP地址负责从一个或多个点到其他一系列点的传输src-mac-address （MAC address）-源MAC地址src-port （整型：0.65535-整型：0.65535*）-源端口数或范围tcp-mss (整型:0.65535)-与 IP 包的 TCP MSS 值匹配time (时间-时间，sat | fri | thu | wed

28、| tue | mon | sun+)-允许产生基于数据包到达时间和日期的过滤器，或者对于本地产生的数据包的离开时间和日期to-addresses (IP address-IP address0,1; default: 0.0.0.0)-取代初始 IP 包地址的地址或地址范围to-ports (整型：0.65535-整型：0.655350,1)-取代初始IP包端口的端口或端口范围tos (max-reliability | max-throughput | min-cost | min-delay | normal)-对 IP 头服务类型(ToS)域的值指定一个匹配max-reliability-最大的可靠性(ToS=4) max-throughput-最大的吞吐量(ToS=8) min-cost-最低的成本代价(ToS=2)min-delay -最小的延迟(ToS=16)normal -普通服务(ToS=0)

展开阅读全文