NAT总结

简介：NAT是用来解决IPV4地址不够用而提出的概念，它的作用有两个：

*解决IP地址短缺

*隐藏内网的IP,让外网的用户无法查到内网的IP，有效保护内网安全

NAT分为3中，静态NAT  动态NAT  PAT

NAT，内网地址永久的被影射为外部合法的网络地址，是一对一的，一般用于实现外网对内网中某个设备的访问。如HTTP，FTP等

如图：

左边为内网，R1为边界Router，R1,R2之间跑RIP路由协议，HTTP 发布WEB服务，

则R1上的配置为：

全局下：    ip nat inside source static 192.168.1.1 12.0.0.1

F0/1接口下：ip  nat inside

F0/0接口下：ip nat outside

这样外部的客户就可以访问内部服务器发布的HTTP服务了。

注意：R1上不宣告192.168.1.0网段。

动态NAT:公网IP不是固定的，是随机的，公网用公网池，私网用ACL，这样就联系起来了。

注意，如果只有一个公网，则就变成PAT了。

配置和静态累死，接口下：ip  nat inside

                       ip nat outside

建立公网地址池：ip nat pool aa 12.0.0.1 12.0.0.3  netmask 255.255.255.0 假设有4个公网IP，

建立私网ACL: access-list 1 permit 192.168.1.0 0.0.0.255 私网为192.168.1.0网段。

将池和ACL联系起来： ip nat inside source list 1 pool aa.再这里可以加 overload 表示允许多个内网IP公用一个公司IP.

PAT：把内部私有IP映射到外部公网IP的不同端口上。

接口下：ip nat inside

       ip  nat outside

内部私有地址的ACL:全局   access-list 1 permit any

                 全局   ip nat inside source list 1 s0/0 overload    s0/0为公网的接口

DNAT  SNAT 这两个NAT和上述NAT不一样，常见于LINUX系统中，

DNAT ：当内部需要提供对外服务时（如对外发布web网站），外部地址发起主动连接，由路由器或者防火墙上的网关接收这个连接，然后将连接转换到内部，此过程是由带有公网IP的网关替代内部服务来接收外部的连接，然后在内部做地址转换，此转换称为DNAT，主要用于内部服务对外发布

SNAT： 内部地址要访问公网上的服务时（如web访问），内部地址会主动发起连接，由路由器或者防火墙上的网关对内部地址做个地址转换，将内部地址的私有IP转换为公网的公有IP，网关的这个地址转换称为SNAT，主要用于内部共享IP访问外部。

如图：

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j  DNAT --to-dest 10.0.0.85

上述是在linux上做的DNAT，将内部的10.0.0.85上的HTTP服务发布给外部。外部来的访问先PREROUTING。

DNAT：iptables -t nat  -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.250.从eth0出去的访问原地址全转换成192.168.0.250.内部出去的后POSTROUTING