NAT应用与配置完全攻略4

NAT应用与配置完全攻略4

　-A加入(append) 一个新规则到一个链 (-A)的最后;

　　-I可以插入一条规则，插入位置序号写在POSTROUTING后;

　　-D在链内某个位置删除(delete) 一条规则;

　　-R在链内某个位置替换(replace) 一条规则;

　　--source或-src或-s来指定源地址;

　　--destination或-dst或-s来指定目的地址;

　　--in-interface或-I指定网络入口;

　　--out-interface或-o指定网络出口(从NAT的原理可以看出，对于PREROUTING链，我们只能用-i指定进来的网络接口;而对于POSTROUTING和OUTPUT我们只能用-o指定出去的网络接口。);

　　--protocol或-p选项来指定协议;

　　--source-port或-sport

　　--destination-port或--dport来指明端口;

　　MASQUERADE 做NAT欺骗;

　　Redirection重定向。

　　三、设置NAT所需路由器的硬件配置和软件配置。

　　很多路由器都提供NAT功能，这里选择比较常用的Cisco路由器。首先设置NAT功能的路由器的IOS应支持NAT功能。至少要有一个内部(Inside)接口，配置内网地址(192.168.2.2)，一个外部(Outside)接口，配置外网地址(211.84.20.1)。

　　NAT的设置方法:

　　1.静态地址转换基本配置步骤。

　　(1)在内部本地地址与外部合法地址之间建立静态地址转换。在全局设置状态下输入:

　　ip nat inside source static 192.168.2.2 211.84.20.1

　　如果加上端口转发则为:

　　ip nat inside source static tcp 192.168.2.1 8080 211.84.20.1 80 extendable

　　(2)指定连接网络的内部接口上配置:

　　ip nat inside

　　(3)指定连接外部网络的外部接口上配置:

　　ip nat outside

　　注:可以根据实际需要定义多个内部接口及多个外部接口。

　　2.动态地址转换基本配置步骤。

　　(1)如果有多个IP地址，可以在全局设置模式下，定义内部合法地址池，如果只有一个，就不用定义了(建议不要定义地址池，这不会带来什么好处)。

　　其格式为:ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码。例如:

　　ip nat pool outnet 211.84.20.1 211.84.20.7 netmask 255.255.255.248

　　其中地址池名称可以任意设定。

　　(2)在全局设置模式下，定义access-list(通常是标准的，也可以是扩展的或是命名的)规则以判断哪些地址需要进行动态地址转换。

　　其格式为:Access-list 标号 permit 源地址 通配符

　　例如:

　　access-list 1 permit 192.168.2.0 0.0.0.255

　　其中标号为1-99之间的整数。

　　(3)在全局设置模式下，将由access-list指定的内部本地地址与指定的合法地址池进行地址转换。

　　其格式为:ip nat inside source list 访问列表标号 pool内部合法地址池名字。

　　例如:

　　ip nat inside source list 1 pool outnet overload

　　其中overload是指一对多做地址转换，建议加上。

　　(4)指定与内部网络相连的内部接口上配置。

　　其格式为:ip nat inside

　　(5)指定与外部网络相连的外部接口上配置。

　　其格式为:ip nat outside

　　NAT规则的查看:

　　show ip nat statistcs

　　show ip nat translations