【Linux】NAT技术介绍以及代理服务器

NAT

基本概念

NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术，如下图所示。因此我们可以认为，NAT在一定程度上，能够有效的解决公网地址不足的问题。

NAT存在的目的

解决IP地址不够用的问题

名词解释

公有IP

指的是合法的IP地址，对外代表着一个或者多个内部局部地址，是全球可寻的地址

私有IP

也叫内部地址，专门为组织机构内部使用。

三类私有IP地址如下

10.0.0.0 ——— 10.255.255.255

172.16.0.0——— 172.16.255.255

192.168.0.0———192.168.255.255

IP地址池

地址池是由一部分公有IP组成的集合。

在内部网络的数据包通过地址转换到达外部网络时，将会在地址池中选择某个IP地址作为数据包的源IP地址

这样可以有效的利用用户的外部地址，提高访问外部网络的能力。

类型

静态NAT

静态NAT最为简单，是将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

动态地址NAT

动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。

它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。

当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

网络地址端口转换NAPT

NAPT是把内部地址映射到外部网络的一个IP地址的不同端口上。

NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。

NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

也就是说，NAPT与NAT最大的区别在于，NAPT不仅转换IP包中的IP地址，还对IP包中TCP和UDP的Port进行转换。

这使得多台私有网主机利用1个NAT公共IP就可以同时和公共网进行通信。

原理

NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用。

NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共 IP地址紧缺的问题。

通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。

这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。

代理服务器

基本概念

代理服务器（Proxy Server）是一种重要的服务器安全功能，它的工作主要在开放系统互联(OSI)模型的会话层，从而起到防火墙的作用。

代理服务器大多被用来连接INTERNET（国际互联网）和Local Area Network（局域网）。 
提供代理服务的电脑系统或其它类型的网络终端称为代理服务器（英文：Proxy Server）。 

原理

客户端首先与代理服务器创建连接，接着根据代理服务器所使用的代理协议，请求对目标服务器创建连接、或者获得目标服务器的指定资源（如：文件）。

在后一种情况中，代理服务器可能对目标服务器的资源下载至本地缓存，如果客户端所要获取的资源在代理服务器的缓存之中，则代理服务器并不会向目标服务器发送请求，而是直接返回缓存了的资源。

一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应，以满足代理协议的需要。代理服务器的选项和设置在计算机程序中，通常包括一个“防火墙”，允许用户输入代理地址，它会遮盖他们的网络活动，可以允许绕过互联网过滤实现网络访问。 

两者的区别

1、NAT一般是硬件专用设备，可以集成在防火墙，路由器，高端路由交换机里。

NAT一般在局域网出口部署，不可以跨网。

2、代理服务器一般是服务器来做的，可以在局域网、广域网做代理，并且不受地域限制。

但是二者完成的功能基本是一样的。