NAT的应用

有段时间没有更新 blog 了，我觉得博客一定要是有生气的，所以需要大家更多的与我对话。其实在任何行业内我们都只不过是工作，而工作不是生活，所以我希望各位朋友在忙于工作的同时也要重视一下自己生活质量，毕竟身体是革命的本钱。

 

NAT 的应用

 

我们常常得到 O 哥（ CEO or CTO ）的命令，架设一台啥样啥样的服务器，并且要求这台服务器可以通过公网访问，一般来说是为了与分公司的业务接洽。例如财务系统、 OA 系统等等。

架设在公网的系统往往就会遇到比较难搞的安全问题，安全问题是需要企业大量的资金投入的，而Ｏ哥们往往又很扣，作为部门负责人的你更要为Ｏ哥节省运营成本。

我们的工作总是在不断的矛盾中突破与发展，这里给你一个建议，要给你Ｏ哥一个最好的最贵的方案，表明你的技术实力与行业知识已经登峰造极，再给Ｏ哥一个最便宜最能凑或的建议表明你对公司忠心耿耿，费心在为公司节省成本。还要有一个适中的建议，表明你考虑周全，做事稳重。不要小看上中下的方案，往往对你的升迁是很有帮助的。

好，话入正题。 NAT 的基础应用是在于节省公司公网地址，例如公司只有一个公网地址却要求能够在外网应用服务，那只有做 NAT 来将你服务器的私网地址翻译出去：

ip nat inside source static tcp 192.168.0.200 8080 218.247.142.194 8080 extendable

这条命令是将内网一个地址为 192.168.0.200 的 WEB 服务发布出去，翻译出去的地址为 218.247.142.194 ，访问端口为 8080 。

这样的话，即便你的公司只有一个公网地址，也可以很方便的将你的服务器应用发布到公网上任相关人员访问。

 

ip nat pool natpool 218.247.142.218 218.247.142.220 netmask 255.255.255.224

这条命令是设一个地址池，将你公司内部的所有机器使用这个公网地址池来上网。也可以将翻译的出口定为一个端口。

 

工程实例：

公司只有一个外网地址 218.247.142.201

Ｏ哥需要其他在外地的子公司可以访问总公司的 FTP,WEB 服务器。

 

配置：

Ip nat inside source static tcp 192.168.0.200  21  218.247.142.201  8821  extendable

Ip nat inside source static tcp 192.168.0.201  80  218.247.142.201  80 extendable

 

我们发现第一条命令的内网的服务端口与发布出去的外网端口不一样，这是为了如果内网有多台相同服务器可以从外网使用不同端口来访问。

 

另外 NAT 命令也可以将你的服务器隐藏在内网，免受外网的不安骚扰，内网外网，居家旅行，必备命令。因为当黑客进行攻击的时候扫描的地址是 218.247.142.201, 而这台作地址翻译的设备可以是路由器或者防火墙，最好是防火墙，这样你的服务器就可以免受外网不安因素的直接侵犯，如果再配上策略性较强 ACL ，那就更佳理想了Ｎ。

 

本文出自 “白璐” 博客，谢绝转载！