--------------------------------------------------------------------------------
連線示意圖:
由上面的說明您應該能够瞭解了吧?!沒錯,您的 NAT 主機上面,至少需要『兩塊網路介面』請注意,鳥哥說的是『網路介面』而不是『網路實體介面卡』呦!以撥接為例,由於撥接之後會產生 ppp0 這個撥接後產生的網路介面,加上原本的實體網路介面,那麼自然就有兩個以上的網路介面囉!這麼說應該很容易瞭解了嗎?底下我以兩塊實體網路介面卡的佈線情況作為連線的示意圖,至於一塊網路卡進行 NAT 的圖示,將在待會說明囉。
圖一、兩塊網路卡的 NAT 主機配置
在上面的圖示當中,很清楚吧!我們的 Linux 共有兩塊實體介面卡,一塊接在數據機 上面,一塊接在 Hub/Switch 上面,並且以此 Hub/Switch 連接任何的區域網路內的電腦,以組成內部的私有網域!鳥哥個人是比較喜歡這樣的接線方式啦!不過,人人各有其所好,而且這樣的情況也不見得適合任何的人,所以還是得瞭解一下其他種類的連接方法!好吧,等一下再告訴您~ ^_^""
--------------------------------------------------------------------------------
核心版本:
我們在簡易防火牆設定當中就提過了,核心與防火牆機制是有關係的,也就是:
Kernel 2.2.xx :使用 ipchains 做封包偽裝的技術;
Kernel 2.4.xx :使用 iptables 做封包偽裝的技術!
所以,還是請仔細的檢查一下您的核心版本吧!(用 uname -r 來察看)。簡單的判別方法,假如是 Red Hat 7.0 ( 含 7.0 )以前的版本,使用的是 2.2.xx 的核心,自然只有 ipchains 而已,而假如是 Red Hat 7.1 ( 含 7.1 ) 以後的版本,則使用的是 Kernel 2.4.xx ,因此最好使用 iptables 的技術!因為 2.4.xx 的 IP 處理模組當中,大部分都是針對 iptables 來作為處理的軟體, ipchains 的模組已經不含在 2.4.xx 裡頭了!由於我是以 Red Hat 7.2, 7.3 與 9 作為範例的,所以自然以 iptables 為準囉!假如還想要以 ipchains 來進行架設 NAT 的朋友,不妨參考一下底下這篇:
NAT 伺服器:http://linux.vbird.org/linux_server/redhat6.1/linux_22nat.php
--------------------------------------------------------------------------------
誰需要 NAT 架設:
由前面 NAT( Network Address Transmission ) 的功能介紹,我們知道他能够作為頻寬分享的主機,當然也能够管理一群在 NAT 主機後面的 Client 電腦!呵呵!所以 NAT 的功能至少有這兩項:
頻寬分享:我想,架設 NAT 的朋友大部分都是希望能够達到頻寬分享的目的的!這畢竟是 NAT 主機的最大功能囉!
安全防護:咦!關安全防護什麼事呀!?別忘了, NAT 之內的 PC 連線到 Internet 上面時,他所顯示的 IP 是 NAT 主機的公共 IP ,所以 Client 端的 PC 當然就具备一定程度的安全了!最起碼人家在進行 port scan 的時候,就偵測不到您的 Client 端的 PC 啦!安全多了!
--------------------------------------------------------------------------------
NAT 的設定:
NAT 的設定能够使用一塊網路卡,當然也能够使用兩塊網路卡啦!鳥哥個人還是比較建議使用兩塊網路卡來完整的隔開私有網域的內外部分,畢竟還是比較安全一些!不怕內部私有網域的高手作怪啊! ^_^
--------------------------------------------------------------------------------
一塊網路卡的 NAT 架設:
剛剛上面我們已經提過了,要架設 NAT 的話,只要『兩塊網路介面』就夠了,倒不一定需要兩塊『實體網路卡( NIC )』,是的!所以鳥哥先以較為便宜的方式(因為少了一塊網路卡呀!)來介紹 NAT 的架設!底下是我們介紹的安裝步驟:
關閉一些系統服務的 port :
為了安全起見,還是檢查一下吧!首先,我們需要先來瞭解一下我的 Linux 主機的功用為何?!假如只是單純的要作為 NAT 的話,那麼 Linux 主機所開放的 port 是越少越好!鳥哥可不希望您開機了大約一個星期,就開始苦苦哀嚎說自己的主機無法以 root 登入了......。關閉 port 的方法與選擇『系統一定需要的服務』的介紹在 限制連線的埠口 裡面已經說的很清楚了!我以 Red Hat 9 來說明: 1. 使用 ntsysv 設定開機時啟動的服務項目:
[root@test root]# ntsysv
只要選擇底下幾個服務即可:
atd, cron, iptables, keytables, network, random, syslog, xinetd
2. 重新開機讓設定生效:
[root@test root]# reboot
3. 觀察现在的 port 開啟多少個?
[root@test root]# netstat -an | more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 7 [ ] DGRAM 944 /dev/log
unix 2 [ ] DGRAM 3162963
unix 2 [ ] DGRAM 739227
unix 2 [ ] DGRAM 739189
unix 2 [ ] DGRAM 1070
unix 2 [ ] DGRAM 953
unix 2 [ ] STREAM CONNECTED 690
# 注意:盡量不要看到有 LISTEN 的咚咚!最多就是有 ssh 就好了!除非您有其他的服務!
實體線路配置圖:
怎麼安裝連線呢?趕快買線材來架設吧!由於 Linux 主機只有一張網路卡,所以任何的裝置(包括 Linux 主機, client 端電腦, 數據機等等)都需要接在 Hub/Switch 上面,有點像底下的樣子:
圖二、一塊網路卡的 NAT 主機配置
這個時候請特別留意啦!假如是使用 ADSL 撥接制的話,那麼在 Linux 主機上應該會有安裝 rp-pppoe 這個東西,並且在撥接之後會產生 ppp0 這個網路介面,同時不要忘了,啟動網路卡的時候不是就已經有 eth0 這個實體網路界面的設定嗎?,嘿嘿!那麼我們不是就有兩個網路介面了嗎?!沒錯!就是這樣!但是,假如是 Cable 或是其他的固定制的方法的話,那麼跟這個也差不多啦!不過由於 Cable 的方式沒有自動產生兩個以上的網路界面,所以就需要設定 IP Alias 囉,也就是 eth0:0 啦!亦即就是以 eth0 跟 eth0:0 這兩個介面來連線囉!反正,只有一張網路卡,也能够進行 NAT 的啦! ^_^""
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
