国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

上次咱們已經(jīng)對iptables做了一個了解，并且后面也舉了很多常用的例子。也許大家覺得很難，特別是那四張表和五個鏈。其實真正用的時侯沒哪么復(fù)雜，等一下你們看完下面兩個應(yīng)用就會覺得確實不難。每個人學(xué)技術(shù)的目的都是為客戶解決問題，給客戶拿出一套解決方案來。這樣才算是做的有用功。Iptables有很多功能，咱們不用好高騖遠。學(xué)兩招真正用的上技術(shù)是比較現(xiàn)實的。說這番話的目的是為了緩解大家面對iptables的壓力。NAT就不用說了吧，相信大家也不會陌生。不管哪個企業(yè)哪個機構(gòu)都會用到它，想上網(wǎng)除了走代理就是走NAT，所以咱們必須要把這個技術(shù)吃透。不但要掌握在路由、windows上的配置還要掌握在Linux系統(tǒng)上的配置。下面來看一下SNAT和DNAT的應(yīng)用。拓撲圖如下：現(xiàn)在大家看到拓撲了，我們的目的是讓內(nèi)網(wǎng)用戶安全的上網(wǎng)，另外就是把內(nèi)網(wǎng)中的一臺主機名為www.zpp.com的web服務(wù)器發(fā)布出去。這些應(yīng)用只要是個公司肯定都會有的，前面雖然已給出了用CISCO路由、windows、ISA等設(shè)備的解決方案，但就性能和成本來說用Linux肯定是最劃算的，現(xiàn)在大部分網(wǎng)吧、小型企業(yè)都用的是iptables.這里為了大家閱讀方便我簡單羅列一下拓撲上的信息：1>.網(wǎng)關(guān)服務(wù)器iptables有兩塊網(wǎng)卡，TCP/IP參數(shù)如下：Eth0（LAN接口）IP：192.168.1.1/24Eth1（WAN接口）IP：61.134.1.4/242>.內(nèi)網(wǎng)Web服務(wù)器的IP為：192.168.1.10/24網(wǎng)關(guān)：192.168.1.1 主機名：www.zpp.com還是一樣分兩部分來說，先讓內(nèi)網(wǎng)中的用戶上了網(wǎng)再說。然后再讓Internet用戶訪問咱們的Web服務(wù)器。第一部分：利用SNAT技術(shù)使內(nèi)網(wǎng)用戶安全上網(wǎng)。SNAT（Source Network Address Translation）源網(wǎng)絡(luò)地址轉(zhuǎn)換，咱們用這個技術(shù)既可以化解四版本的地址危機，又可以起到隱藏局域網(wǎng)信息的功能。下面來看看如何使用SNAT技術(shù)使用內(nèi)網(wǎng)用戶安全上網(wǎng)。1. 確認兩塊網(wǎng)卡的TCP/IP參數(shù)設(shè)置.如圖:2. 開啟網(wǎng)關(guān)服務(wù)器的路由轉(zhuǎn)發(fā)功能。1>.到/etc目錄下找到文件sysctl.conf將文件中的net.ipv4.ip_forward = 0,改為net.ipv4.ip_forward = 1.如圖：2>.執(zhí)行命令sysctl –p使咱們的修改生效。如圖：3. 為局域網(wǎng)訪問Internet的數(shù)據(jù)包采用SNAT策略，將源地址更改為服務(wù)器的公網(wǎng)IP地址。我這兒內(nèi)網(wǎng)是192.168.1.0/24網(wǎng)段，所以源地址是192.168.1.0/24.這時大家可能會問，如果我用的是ADSL撥號上網(wǎng)IP地址不是固定的而是動態(tài)的，如何設(shè)置這個策略？此時我們可以使用MASQUERADE（偽裝）策略。MASQUERADE是一種特殊的SNAT技術(shù)，它照樣可完成修改（偽裝）數(shù)據(jù)包源IP地址的工作，只不過它會自動獲取外網(wǎng)接口的IP地址。下面是MASQUERADE策略的用法：說明：使用iptables命令設(shè)置MASQUERADE策略時，只需要去掉SNAT策略中的“—to-source IP地址”，改為“-j MASQUERADE”指定數(shù)據(jù)包處理方式即可。ADSL通常使用PPPoE技術(shù)，在Linux系統(tǒng)中，對應(yīng)的連接名稱為ppp0、ppp1等，如果沒不確定編號可以用ppp+代替。現(xiàn)在來測試一下：在內(nèi)網(wǎng)的客戶機上使用命令nslookup,可以成功解析出外網(wǎng)google網(wǎng)站的IP說明DNS請求可以通過SNAT正常進行。如圖：從下圖可以看到我們利用SNAT我們可以成功的訪問外部站。第二部分：利用DNAT技術(shù)將位于咱們局域網(wǎng)內(nèi)部的web服務(wù)器發(fā)布出去。DNAT（Destination Network Address Translation）目標網(wǎng)絡(luò)地址轉(zhuǎn)換。和SNAT剛好相反，DNAT更靈活一點它可以用在nat表的PREROUTING鏈和OUTPUT鏈或被它調(diào)用的鏈。咱們用DNAT技術(shù)可以將內(nèi)網(wǎng)或DMZ區(qū)中的服務(wù)器發(fā)布出去，只需要一部搞定如下。在網(wǎng)關(guān)服務(wù)器上添加DNAT映射，將外網(wǎng)用戶訪問網(wǎng)關(guān)主機公網(wǎng)IP（地址為：61.134.1.4）80端口的數(shù)據(jù)包更改為網(wǎng)站主機的IP(地址為：192.168.1.2).如圖：現(xiàn)在我們到外網(wǎng)主機上去測試一下，可以看到可以成功訪問內(nèi)網(wǎng)的web主機。（注：我這里開了一臺啟動了httpd服務(wù)的Linux主機用于模擬內(nèi)網(wǎng)web主機www.zpp.com）通過命令nslookup可以測試出,主機www.zpp.com所對應(yīng)的IP是網(wǎng)關(guān)服務(wù)器的外網(wǎng)口地址。OK！現(xiàn)在我們iptables中的兩個關(guān)鍵技術(shù)——SNAT、DNAT解決了兩個關(guān)鍵的問題——用戶安全上網(wǎng)的問題和發(fā)布內(nèi)網(wǎng)服務(wù)器的問題。大家也可以發(fā)現(xiàn)雖然是關(guān)鍵的東西，但做起來并不難，幾乎都只是一條命令搞定。這也正順應(yīng)了一句話——Linux是一種高起點低應(yīng)用的技術(shù)，往往我們再學(xué)的時侯感覺很困難，但真真用的時侯就不哪樣認為了。本文出自 “zpp” 博客，請務(wù)必保留此出處http://zpp2009.blog.51cto.com/730423/285194本文出自 51CTO.COM技術(shù)博客本文出自 51CTO.COM技術(shù)博客