如何用iptables实现NAT服务器教程

时间：2022-05-24 03:18:57 其他范文收藏本文下载本文

【导语】下面小编给大家整理如何用iptables实现NAT服务器教程（共10篇），希望大家喜欢！

篇1：如何用iptables实现NAT服务器教程

本文主要介绍如何使用iptbales实现linux2.4下的强大的NAT功能，关于iptables的详细语法请参考“用iptales实现包过虑型防火墙”一文。需要申明的是，本文绝对不是 NAT-HOWTO的简单重复或是中文版，在整个的叙述过程中，作者都在试图用自己的语言来表达自己的理解，自己的思想。

一、概述

1. 什么是NAT

在传统的标准的TCP/IP通信过程中，所有的路由器仅仅是充当一个中间人的角色，也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改，更为确切的说，除了将源MAC地址换成自己的MAC地址以外，路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的ip地址、源端口、目的端口进行改写的操作。

2. 为什么要进行NAT

我们来看看再什么情况下我们需要做NAT，

假设有一家ISP提供园区Internet接入服务，为了方便管理，该ISP分配给园区用户的IP地址都是伪IP，但是部分用户要求建立自己的WWW服务器对外发布信息，这时候我们就可以通过NAT来提供这种服务了。我们可以在防火墙的外部网卡上绑定多个合法IP地址，然后通过NAT技术使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上，然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。

再比如使用拨号上网的网吧，因为只有一个合法的IP地址，必须采用某种手段让其他机器也可以上网，通常是采用代理服务器的方式，但是代理服务器，尤其是应用层代理服务器，只能支持有限的协议，如果过了一段时间后又有新的服务出来，则只能等待代理服务器支持该新应用的升级版本。如果采用NAT来解决这个问题，

因为是在应用层以下进行处理，NAT不但可以获得很高的访问速度，而且可以无缝的支持任何新的服务或应用。

篇2：Linux平台上Iptables包过滤防火墙的实现服务器教程

语法

1. 对链的操作

建立一个新链 (-N)，

删除一个空链 (-X)。

改变一个内建链的原则 (-P)。

列出一个链中的规则 (-L)。

清除一个链中的所有规则 (-F)。

归零(zero) 一个链中所有规则的封包字节(byte) 记数器 (-Z)。

2. 对规则的操作

加入(append) 一个新规则到一个链 (-A)的最后。

在链内某个位置插入(insert) 一个新规则(-I)，通常是插在最前面。

在链内某个位置替换(replace) 一条规则 (-R)。

在链内某个位置删除(delete) 一条规则 (-D)。

删除(delete) 链内第一条规则 (-D)。

3. 指定源地址和目的地址

通过--source/--src/-s来指定源地址(这里的/表示或者的意思，下同)，通过--destination/--dst/-s来指定目的地址，

可以使用以下四中方法来指定ip地址：

a. 使用完整的域名，如“www.linuxaid.com.cn”；

b. 使用ip地址，如“192.168.1.1”；

c. 用x.x.x.x/x.x.x.x指定一个网络地址，如“192.168.1.0/255.255.255.0”;

用x.x.x.x/x指定一个网络地址，如“192.168.1.0/24”这里的24表明了子网掩码的有效位数，这是

UNIX环境中通常使用的表示方法。

缺省的子网掩码数是32，也就是说指定192.168.1.1等效于192.168.1.1/32。

4. 指定协议

可以通过--protocol/-p选项来指定协议，比如-p tcp。

5. 指定网络接口将

可以使用--in-interface/-i或--out-interface/-o来指定网络接口。需要注意的是，对于INPUT链来说，只可能有-i，也即只会有进入的包；通理，对于OUTPUT链来说，只可能有-o，也即只会有出去的包。只有FORWARD链既可以有-i的网络接口，也可以有-o的网络接口。我们也可以指定一个当前并不存在的网络接口，比如ppp0，这时只有拨号成功后该规则才有效。

篇3：Linux系统上Iptables实现端口转发的过程服务器教程

看了不少关于用Iptables实现端口转发的文章,但感觉都没有把问题说得很清楚,现接合我自己设置和使用的经历,谈谈它的实现过程.

设我们有一台计算机,有两块网卡,eth0连外网,ip为1.2.3.4;eth1连内网,ip为192.168.0.1.现在需要把发往地址1.2.3.4的81端口的ip包转发到ip地址192.168.0.2的8180端口,设置如下:

1. Iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp -m tcp --dport 81 -j DNAT --to-destination192.168.0.2:8180

2. Iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.0.0 -d 192.168.0.2 -p tcp -m tcp --dport 8180 -j SNAT --to-source 192.168.0.1

真实的传输过程如下所示:

假设某客户机的ip地址为6.7.8.9,它使用本机的1080端口连接1.2.3.4的81端口,发出的ip包源地址为6.7.8.9,源端口为1080,目的地址为1.2.3.4,目的端口为81.

主机1.2.3.4接收到这个包后,根据nat表的第一条规则,将该ip包的目的地址更该为192.168.0.2,目的端口更该为8180,同时在连接跟踪表中创建一个条目,(可从/proc/net/ip_conntrack文件中看到),然后发送到路由模块,通过查路由表,确定该ip包应发送到eth1接口.在向eth1接口发送该ip包之前,根据nat表的第二条规则,如果该ip包来自同一子网,则将该ip包的源地址更该为 192.168.0.1,同时更新该连接跟踪表中的相应条目,然后送到eth1接口发出.

此时连接跟踪表中有一项:

连接进入: src=6.7.8.9 dst=1.2.3.4 sport=1080 dport=81

连接返回: src=192.168.0.2 dst=6.7.8.9 sport=8180 dport=1080

是否使用: use=1

而从192.168.0.2发回的ip包,源端口为8180,目的地址为6.7.8.9,目的端口为1080,主机1.2.3.4的TCP/IP栈接收到该ip包后,由核心查找连接跟踪表中的连接返回栏目中是否有同样源和目的地址和端口的匹配项,找到后,根据条目中的记录将ip包的源地址由 192.168.0.2更该为1.2.3.4, 源端口由8180更该为81,保持目的端口号1080不变.这样服务器的返回包就可以正确的返回发起连接的客户机,通讯就这样开始.

还有一点, 在filter表中还应该允许从eth0连接192.168.0.2地址的8180端口:

Iptables -A INPUT -d 192.168.0.2 -p tcp -m tcp --dport 8180 -i eth0 -j ACCEPT

篇4：用访问控制列表实现网络单向访问服务器教程

简易拓扑图（所有子网掩码均为255.255.255.0）：

PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]

做网络的单向访问其实实现的是防火墙的基本功能：我是内网，你是外网，我能访问你，但你不能访问我，

所以现在假设RouterA的E0口所连网段为内网段，RouterA S0所连的网段为外网段，还假设我想做的是内网的PC机能ping通外网RouterB的S1口，但RouterB却ping不进我的内网。

用ACL来实现类似的单向访问控制需要用到一种特殊的ACL，叫Reflexive ACL。Reflexive ACL的配置分为两个部分，一部分是outbound的配置，一部分是inbound的配置。

在继续下面的说明之前，先说点题外话。在最开始想到单向访问问题时，我（也包括其它一些我的同事）自然的就这么想：那我在E0口上允许PC的流量进来，然后再在S0口上禁止RouterB的流量进来不就行了？看上去好像没什么问题，但一试就知道其实是不行的。为什么不行呢，因为很多人都忽略了这么一个问题：即绝大多数的网络流量都是有去有回的，上面的方法只解决了去的问题，但这个流量在到达RouterB后，RouterB还需要返回这个流量给PC，这个返回的流量到了RouterA的S0口，但上面的方法却在S0口上禁止了RouterB的流量进来，回来的流量被挡住了，通讯失败。

好，下面再切回来。Reflexive ACL中outbound的部分决定了我出去的哪些内网网络流量是需要被单向访问的，inbound部分决定了这些流量在返回后能被正确的识别并送给内网发起连接的PC机，

Reflexive ACL中outbound的部分：

ip access-list extended outbound_filter

permit icmp any any reflect icmp_traffic

permit ip any any

!---注意在Reflexive ACL中只能用named方式的ACL，不能用numbered方式的ACL。

!---基本配置和普通ACL并没有什么太多不同，不同之处是reflect icmp_traffic，它的意思是这条ACE作为单向流量来处理，并且给了一个名称叫icmp_traffic，icmp_traffic在inbound部分被引用。

!---permit ip any any并不是必要的，加在这里是为了另一个测试，下面会说明。

Reflexive ACL中inbound的部分：

ip access-list extended inbound_filter

evaluate icmp_traffic

deny ip any any log

!---inbound的配置有和普通ACL有点不同了，第一句evaluate icmp_traffic对上述outbound配置中的icmp_traffic进行了引用，也就是说，它要检查从外网进来的流量，如果这个流量确实是从内网发起的对外访问的返回流量，那么允许这个流量进来。

篇5：FTP服务器如何实现安全性（上）服务器教程

作为Internet上的FTP服务器，系统的安全性是非常重要的，这是建立FTP服务器者所考虑的第一个问题，其安全性主要包括以下几个方面：

一、未经授权的用户禁止在服务器上进行FTP操作。

二、FTP用户不能读取未经系统所有者允许的文件或目录。

三、未经允许，FTP用户不能在服务器上建立文件或目录。

四、FTP用户不能删除服务器上的文件或目录。

FTP服务器采取了一些验明用户身份的办法来解决上述第一个问题，主要包括以下几个措施：

FTP用户所使用的用户帐号必须在／etc/passwd文件中有所记载（匿名FTP用户除外），并且他的口令不能为空。在没有正确输入用户帐号和口令的情况下，服务器拒绝访问。

FTP守护进程FTPd还使用一个/etc/FTPusers文件，凡在这个文件中出现的用户都将被服务器拒绝提供FTP服务，

服务器管理可以建立“不受欢迎”的用户目录，拒绝这些用户访问。

只有在服务器的／etc/passwd文件中存在名为“FTP”的用户时，服务器才可以接受匿名FTP连接，匿名FTP用户可以使用“anonymous”或“FTP”作为用户名，自己的Internet电子邮件地址作为保密字。为了解决上述安全性的另外三个问题，应该对FTP主目录下的文件属性进行管理，建议对每个目录及其文件采取以下一些措施：

FTP主目录：将这个目录的所有者设为“FTP”，并且将属性设为所有的用户都不可写，防止不怀好意的用户删改文件。

FTP/bin目录：该目录主要放置一些系统文件，应将这个目录的所有者设为“root”（即超级用户），并且将属性设为所有的用户都不可写。为保证合法用户可显示文件，应将目录中的ls文件属性设为可执行。

FTP/etc目录：将这个目录的所有者设为“root”，并且将属性设为所有的用户都不可写。将目录下的group文件和passwd文件的属性设为所有用户只读属性，并用编辑器将passwd文件中用户加过密的口令删掉。

篇6：关于Apache服务器如何实现用户验证服务器教程

Apache服务器已经内置用户验证机制，大家只要适当的加以设置，便可以控制网站的某些部分要用户验证，大家只要跟着我一步步做下来就应该能轻松实现用户验证。

前期准备，必须已经安装apache，如果还没安装，或者对安装很模糊的话，请查询相应的资料。

第1步

我们在/var/www(apache的主页根目录)下建立一个test目录

mkdir /var/www/test

第2步

然后我们编辑httpd.conf

添加

Alias /test“/var/www/test”

Options Indexes MultiViews

AllowOverride AuthConfig #表示进行身份验证

Order allow,deny

Allow from all

#AllowOverride AuthConfig 表示进行身份验证这是关键的设置

第3步

在/var/www/test创建.htaccess文件

vi /var/www/test/.htaccess

AuthName “frank share web”

AuthType Basic

AuthUserFile /var/www/test/.htpasswd

require valid-user

#AuthName 描述，随便写

#AuthUserFile /var/www/test/.htpasswd

#require valid-user 或者 require user frank 限制是所有合法用户还是指定用户

#密码文件推荐使用.htpasswd,因为apache默认系统对“.ht”开头的文件默认不允许外部读取，安全系数会高一点哦，

第4步

就是创建apache的验证用户

htpasswd -c /var/www/test/.htpasswd frank

#第一次创建用户要用到-c 参数第2次添加用户，就不用-c参数

如果你们想修改密码，可以如下

htpasswd -m .htpasswd frank

第5步

ok，重启apache服务，然后访问你的网站地址/test 如果顺利的话，应该能看到一个用户验证的弹出窗口，只要填入第4步创建的用户名和密码就行

后话，为了服务器的性能，一般不推荐使用AllowOverride AuthConfig或者AllowOverride ALL，因为这会使服务器会不断的去寻找.htaccess,从而影响服务器的效能，一般我们把一些后台管理界面或者其他特殊目录可能需要加验证这个需求。

篇7：如何用Netfilter/IPtables限制P2P流量服务器教程

今年4月，看到一则报道说尽管某宽带公司现有技术可以容纳的网络用户容量为400至600万用户，可是目前，在容纳了45万用户的情况下，网络已经拥挤不堪，时常出现断网情况，一到上网高峰，网速就会急剧下降，

为何网络会如此拥挤不堪？这是因为自从出现诸如电驴、Kazaa、BT等P2P软件之后，海量的数据文件（如大容量文件交换、视频文件下载等）逐渐占据了大部分的网络带宽。P2P这一新应用给用户带来了前所未有的方便和丰富的资源，但同时也引发了网络带宽和安全问题。

如何在发挥P2P强大功能的情况下对其进行一些必要的限制呢？本文将介绍在Linux中如何利用netfilter/iptables实现对P2P应用流量的限制。

升级内核

由于在公开发布的Linux内核文件中，有关iptables的各种参数里没有关于P2P属性的参数，所以必须通过升级Linux内核和iptables来打上这个补丁，使其支持P2P属性设置，

在具体操作之前，先要了解一下升级内核补丁需要的一些相关软件：linux-2.4.20-8.tar.gz、patch-o-matic-0609.tar.bz2、iptables-1.2.8.tar.bz2、iptables-p2p-0.3.0a.tar.gz和ipp2p-0.5c.tar.gz。

这里的测试环境为Red Hat 9.0，内核为2.4.20-8。由于2.4.*是一个稳定的内核，因此不能把当前开发的一些新功能提交到主内核中去，而只能首先在patch-o-matic中测试，然后打补丁到内核中。在CVS中可以找到最新的patch-o-matic包—Patch-o-matic-20040609.tar.bz2。

有了内核支持后，还需要iptables支持，其中iptables-p2p-0.3.0a.tar.gz为netfilter/iptables组织开发的专门支持P2P的iptables扩展软件包；ipp2p-0.5c.tar.gz为Eicke Friedrich开发的一个支持P2P的iptables扩展包。这两个扩展包各有特色，后面将会分别介绍。

篇8：Windows自动化管理的实现服务器教程

window

利用WMI软件开发包（SDK）可以方便地查看可用的CIM和Win32类，WMI SDK可以从msdn.microsoft.com/downloads/default.asp?URL=/code/sample.asp?url=/msdn-files/027/001/566/msdncompositedoc.xml下载，有8M多，可谓不小。

WMI SDK要求操作系统必须是Windows 2K/XP或者NT 4.0 SP4或更高版本；尽管Win9x系统上可以安装WMI支持软件，但SDK不能在Win9x上运行。另外，为支持SDK的ActiveX控件，SDK还要求有IE 5.0或更高版本。SDK对机器性能的最低要求是：Pentium处理器，32 Mb的RAM，40 Mb的磁盘空间，以及至少要有800 x 600、256色的显示设备。对于运行Windows 2K/XP的机器来说，这些要求应该不会成为问题。CIMOM默认以服务的形式运行，但如果机器没有网卡，CIMOM不能作为服务运行，不过此时可以作为一个应用运行，只需执行winmgmt.exe即可。winmgmt.exe在%systemroot%system32wbem的WMI主目录下。

SDK必须由管理员组的成员安装。安装过程很简单，执行WMISdk.exe启动向导，指定安装的目标目录（默认是program fileswmi）。选择要安装的可选组件（默认安装除了SNMP支持以外的所有组件），最后点击Finish。安装SDK不需要重新启动。安装完成后，“开始/程序”菜单上会增加一个WMI SDK组。

点击WMI SDK程序组的WMI CIM Studio。CIM Studio提示连接名称空间，并显示默认连接的名称空间是rootcimv2，确认即可。如果你用Administrator身分登录Windows，再次点击确定以当前身份登录；如果你用其他的身份登录Windows，请改用Administrator登录，

现在，假设我们要在当前的机器上查找一个对象：C:驱动器。我们不知道C:驱动器在CIM或WMI中的具体名称，浏览CIM Studio列出的数百个类又太麻烦，怎么办呢？可以使用Find按钮（左边上方的望远镜，参见图三）。图二显示了点击Find按钮后显示的Search for Class对话框，在这里输入我们猜想C:驱动器的类名称中应当包含的单词，然后点击Go!按钮。由于我们正在寻找一个命名的磁盘分区，而且我们知道Windows把这种分区叫做logical disk或logical drive，因此这里的搜索关键词可以是logical。当然，搜索关键词也可以是disk，但这时会有大量的搜索结果出现。

图二

图二显示了搜索关键词logical得到的结果。选择Win32_LogicalDisk并点击OK，图三的窗口出现（为什么不选择CIM_LogicalDisk？前面已经提到，WMI管理的所有对象都带有Win32前缀。如果选择CIM_LogicalDisk然后要求显示出它的实例，不可能看到可用逻辑驱动器的任何具体信息，只能看到对应每一个可用逻辑驱动器的Win32_LogicalDisk条目）。现在，窗口的右边显示出Win32_logicalDisk类的属性。可以看到，属性的值都为空，这是因为我们正在查看的是一个类，而不是类的具体实例。要显示出Win32_LogicalDisk类的实例，点击右边上面的Instances按钮（右数第四）。

图三

点击Instances按钮之后，窗口显示出当前机器上所有逻辑驱动器的实例，包括网络逻辑驱动器。点击设备ID为“C:”的实例，显示出图四的结果。右边窗格包含了当前实例的属性和方法，当前逻辑驱动器的名称显示在右边窗格的上方。

图四

利用脚本可以修改这些属性或调用这些方法。如果对某个属性的含义不太清楚，只需选择Win32_LogialDisk类或Win32_LogicalDisk.DeviceID=“C:”实例，再点击Help按钮。大多数对象的属性和方法都有详细的说明。

篇9：分页实现方法的性能比较服务器教程

我们先给出几种主要的分页方法和核心语句,然后直接给出结论,有兴趣的读者可以看看后面的数据

几种常用存储过程分页方法

TopN方法

select Top(@PageSize) from TableName where ID Not IN

(Select Top ((@PageIndex-1)*@PageSize) ID from Table Name where .... order by ... )

where .... order by ...

临时表

declare @indextable table(id int identity(1,1),nid int,PostUserName nvarchar(50))

declare @PageLowerBound int

declare @PageUpperBound int

set @PageLowerBound=(@pageindex-1)*@pagesize--下限

set @PageUpperBound=@PageLowerBound+@pagesize--上限

set rowcount @PageUpperBound

insert into @indextable(nid,PostUserName) select ReplyID,PostUserName from TableName order by ......

select * from TableName p,@indextable t where p.ID=t.nid

and t.id>@PageLowerBound and t.id<=@PageUpperBound order by t.id

CTE--新语法,类似临时表,但是生命周期稍微不同,这里只是他的一个运用

with cte_temp--定义零时表,PageIndex是一个计算字段,储存了搜索结果的页号

As (ceiling((Row_Number over(order by .... )-1)/@pagesize as int) as PageIndex,* from TableName where.....)

select * from cte_temp where pageindex=@pageindex-1;

结论:

TopN在小页数下最快,如果在10页以下,可以考虑用它,CTE和临时表时间很稳定,CTE消耗的时间比临时表多,但是不会引起tempdb的暴涨和IO增加

性能比较

试验环境:winserver,Sqlserver2005,库大小2,567,245行,没有where子句,试验时每页大小50,页码作为变量

取0,3,10,31,100,316,1000,3162...页,也就是10的指数,试验结果如下

页数 TopN CTE 临时表(有缓存) 临时表(无缓存)

公司正在使用的存储过程 CTE改进

1 3 12 10 101 457 7302

3 15 7 79 5524 464 7191

10 127 5504 88 3801 464 6116

32 588 9672 122 3601 976 7602

100 4680 9738 166 4235 486 7151

316 45271 9764 323 3867 522 7255

1000 Null 9806 869 2578 635 8948

3162 Null 9822 2485 4110 12460 8210

10000 Null 9754 7812 11926 14250 7359

31623 Null 9775 18729 33218 15249 7511

100000 Null Null 31538 55569 17139 6124

数据解释和分析

临时表分为有没有缓存两种时间,CTE就是上面的方法,CTE改进只是把选入CTE临时表的列数减少了,只选取了页号和主键,Null表示时间无法计算(时间太长),数据单位是毫秒.

从上面的数据可以看到,TopN在前32页都是有优势的,但是页数增大后,性能降低很快,CTE改进比CTE有所进步,平均进步两秒左右,但是还是比临时表慢,但是考虑临时表会增大日志文件的大小,引起大量IO,CTE也就有他自己的优势,公司现在正在使用的存储过程效率不错,但是在页码靠后的情况下性能会降低

篇10：用EXCEL服务器自动统计数据EXCEL基本教程

年底又到了，有太多的报表工作要做，每年这时候都要加班，不过，今年有了这个好帮手EXCEL服务器，一定会让您轻松许多！原来需要做一周甚至更长时间的EXCEL报表，有EXCEL服务器帮忙，几分钟就能做完！在此把方法介绍给大家，希望能够为那些经常为报表所累的朋友提供一些帮助。

一、准备工作

首先需要下载EXCEL服务器软件，并安装。安装好以后，点击操作系统“开始”-“程序”-“Excel服务器”-“Excel服务器管理台”，使用“sa”默认用户名进入，设置自己的用户名和密码。

需要说明的一点是，这个软件既适合单机应用，更适合多人的网络应用。如果公司员工一起使用这个软件，充分利用其网络化功能，那么统计汇总工作将会更加简便，很多基础数据就不需要重新输入，直接从其它同事做的表中自动获取就行了。如果在公司范围内应用，还需要在“Excel服务器管理台”设置组织机构等内容，来实现数据权限管理和数据规范管理。

二、建立报表模版

1)登陆“Excel服务器”

打开Excel，在屏幕右上角可以看到增加了“Excel服务器”的菜单，点击“建立连接”出现以下界面，使用刚才设定好的用户名和密码登陆。

图1

2)新建报表模版

使用Excel服务器的方便之处在于，它以微软EXCEL为操作界面，非常容易掌握。

下面以《产品销货台帐》和《销售分析表》为例来说明，《产品销货台帐》是基础数据表，《销售分析表》是统计分析表，它是以销售台帐的数据为基础。

a)将平时使用的报表的空表格拷贝粘贴到新的工作簿中，点击Excel服务器的工具栏“报表设计”--“另存为模版”将空表保存为模版“产品销货台帐”。

图2

3)定义数据项

此报表需要分别定义产品销货台帐主表(表头)和明细表(表身)的数据项。选定报表中数据范围，点击右键，在下拉菜单中选择匹配的数据类型和数据规范，如下：

图3