network-natd.html

这是很好的学习嵌入式LINUX的文章

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta name="generator" content="HTML Tidy, see www.w3.org" />
<title>网络地址转换</title>
<meta name="GENERATOR" content="Modular DocBook HTML Stylesheet Version 1.7" />
<link rel="HOME" title="FreeBSD 使用手册" href="index.html" />
<link rel="UP" title="高级网络" href="advanced-networking.html" />
<link rel="PREVIOUS" title="ISDN" href="network-isdn.html" />
<link rel="NEXT" title="平行线IP(PLIP)" href="network-plip.html" />
<link rel="STYLESHEET" type="text/css" href="docbook.css" />
<meta http-equiv="Content-Type" content="text/html; charset=GB2312" />
</head>
<body class="SECT1" bgcolor="#FFFFFF" text="#000000" link="#0000FF" vlink="#840084"
alink="#0000FF">
<div class="NAVHEADER">
<table summary="Header navigation table" width="100%" border="0" cellpadding="0"
cellspacing="0">
<tr>
<th colspan="3" align="center">FreeBSD 使用手册</th>
</tr>

<tr>
<td width="10%" align="left" valign="bottom"><a href="network-isdn.html"
accesskey="P">后退</a></td>
<td width="80%" align="center" valign="bottom">章 24. 高级网络</td>
<td width="10%" align="right" valign="bottom"><a href="network-plip.html"
accesskey="N">前进</a></td>
</tr>
</table>

<hr align="LEFT" width="100%" />
</div>

<div class="SECT1">
<h1 class="SECT1"><a id="NETWORK-NATD" name="NETWORK-NATD">24.8. 网络地址转换</a></h1>

<i class="AUTHORGROUP"><span class="CONTRIB">作者：</span>Chern Lee.</i> <i
class="AUTHORGROUP"><span class="CONTRIB">译者：</span>李 鑫.</i> 

<div class="SECT2">
<h2 class="SECT2"><a id="NETWORK-NATOVERVIEW" name="NETWORK-NATOVERVIEW">24.8.1.
概要</a></h2>

<p>FreeBSD 的网络地址转换服务， 通常也被称为 <span class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span> 是一个能够接收连入的未经处理的 IP 包，
将源地址修改为本级地址然后重新将这些包注入到发出 IP 包流中。 <span
class="CITEREFENTRY"><span class="REFENTRYTITLE">natd</span>(8)</span>
同时修改源地址和端口， 当接收到响应数据时，它作逆向转换以便把数据发回原先的请求者。</p>

<p>NAT 最常见的用途是为人们所熟知的 Internet 连接共享。</p>
</div>

<div class="SECT2">
<h2 class="SECT2"><a id="NETWORK-NATSETUP" name="NETWORK-NATSETUP">24.8.2. 安装</a></h2>

<p>随着 IPv4 的 IP 地址空间的日益枯竭， 以及使用如 DSL 和电缆等高速连接的用户的逐渐增多，
越来越多的人开始需要 Internet 连接共享这样的解决方案。 由于能够将许多计算机通过一个对外的
IP 地址进行接入， <span class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span> 成为了一个理想的选择。</p>

<p>更为常见的情况， 一个用户通过电缆或者 DSL 线路 接入，并拥有一个 IP
地址，同时，希望通过这台接入 Internet 的计算机来为 LAN 上更多的计算机提供接入服务。</p>

<p>为了完成这一任务， 接入 Internet 的 FreeBSD 机器必须扮演网关的角色。
这台网关必须有两块网卡 -- 一块用于连接 Internet 路由器， 另一块用来连接 LAN。 所有 LAN
上的机器通过 Hub 或交换机进行连接。</p>

<p><img src="advanced-networking/natd.png" /></p>

<p>上述配置被广泛地用于共享 Internet 连接。 <acronym class="ACRONYM">LAN</acronym>
中的一台机器连接到 Internet 中。 其余的计算机则通过那台 ``网关'' 机来连接 Internet。</p>
</div>

<div class="SECT2">
<h2 class="SECT2"><a id="NETWORK-NATDKERNCONFIGURATION"
name="NETWORK-NATDKERNCONFIGURATION">24.8.3. 配置</a></h2>

<p>下面这些选项必须放到内核配置文件中：</p>

<pre class="PROGRAMLISTING">
options IPFIREWALL
options IPDIVERT
</pre>

<p>此外，下列是一些可选的选项：</p>

<pre class="PROGRAMLISTING">
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_VERBOSE
</pre>

<p>这些配置必须放到 <tt class="FILENAME">/etc/rc.conf</tt> 中：</p>

<pre class="PROGRAMLISTING">
gateway_enable="YES"
firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="<var class="REPLACEABLE">fxp0</var>"
natd_flags=""
</pre>

<div class="INFORMALTABLE"><a id="AEN37108" name="AEN37108"></a>
<table border="0" frame="void" class="CALSTABLE">
<col />
<col />
<tbody>
<tr>
<td>gateway_enable="YES"</td>
<td>配置机器， 使其能够作为网关使用。 手动执行 <tt class="COMMAND">sysctl
net.inet.ip.forwarding=1</tt> 的效果一样。</td>
</tr>

<tr>
<td>firewall_enable="YES"</td>
<td>在引导时启用 <tt class="FILENAME">/etc/rc.firewall</tt> 中的防火墙规则。</td>
</tr>

<tr>
<td>firewall_type="OPEN"</td>
<td>这一设置指定通过使用一组预定义的防火墙规则集来允许所有的包进入。参见 <tt
class="FILENAME">/etc/rc.firewall</tt> 以了解其他的类型。</td>
</tr>

<tr>
<td>natd_interface="fxp0"</td>
<td>指明将要用于转发包的网卡 (也就是连入 Internet 的那个)。</td>
</tr>

<tr>
<td>natd_flags=""</td>
<td>其他在启动时传给 <span class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span> 的选项。</td>
</tr>
</tbody>
</table>
</div>

<p>在 <tt class="FILENAME">/etc/rc.conf</tt> 中加入上述选项将在系统启动时运行 <tt
class="COMMAND">natd -interface fxp0</tt>。 这一工作也可以手工完成。</p>

<div class="NOTE">
<blockquote class="NOTE">
<p><b>注:</b> 当有太多选项要传递时，也可以使用一个<span class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span>的配置文件来完成。这种情况下，这个配置文件必须通过在<tt
 class="FILENAME">/etc/rc.conf</tt>里增加下面内容来定义：</p>

<pre class="PROGRAMLISTING">
natd_flags="-f /etc/natd.conf"
</pre>

<p><tt
class="FILENAME">/etc/natd.conf</tt>文件会包含一个配置选项列表，每行一个。在紧跟部分的例子里将使用下面的文件：</p>

<pre class="PROGRAMLISTING">
redirect_port tcp 192.168.0.2:6667 6667 redirect_port tcp 192.168.0.3:80 80
</pre>

<p>关于配置文件的更多信息，参考<span class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span>手册页中关于<var
class="OPTION">-f</var>选项那一部分。</p>
</blockquote>
</div>

<p>在LAN后面的每一台机子和接口应该被分配私有地址空间（由<a
href="ftp://ftp.isi.edu/in-notes/rfc1918.txt" target="_top">RFC
1918</a>定义）里的IP地址，并且默认网关设成<b
class="APPLICATION">natd</b>机子的内连IP地址。</p>

<p>例如：客户端<tt class="HOSTID">A</tt> 和 <tt class="HOSTID">B</tt>
在LAN后面，IP地址是<tt class="HOSTID">192.168.0.2</tt> 和 <tt
class="HOSTID">192.168.0.3</tt>，同时natd机子的LAN接口上的IP地址是<tt
class="HOSTID">192.168.0.1</tt>。客户端<tt class="HOSTID">A</tt> 和 <tt
class="HOSTID">B</tt>的默认网关必须要设成<b class="APPLICATION">natd</b>机子的IP——<tt
class="HOSTID">192.168.0.1</tt>。<b
class="APPLICATION">natd</b>机子外连，或互联网接口不需要为了<span
class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span>而做任何特别的修改就可工作。</p>
</div>

<div class="SECT2">
<h2 class="SECT2"><a id="NETWORK-NATDPORT-REDIRECTION"
name="NETWORK-NATDPORT-REDIRECTION">24.8.4. 端口重定向</a></h2>

<p>使用<span class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span>的缺点就是LAN客户不能从互联网访问。LAN上的客户可以进行到外面的连接，而不能接收进来的连接。如果想在LAN的客户端机子上运行互联网服务，这就会有问题。
对此的一种简单方法是在<b
class="APPLICATION">natd</b>机子上重定向选定的互联网端口到LAN客户端。</p>

<p>例如：在客户端<tt class="HOSTID">A</tt>上运行IRC服务，而在客户端<tt
class="HOSTID">B</tt>上运行web服务。想要正确的工作，在端口6667 (IRC) 和 80 (web)
上接收到的连接就必须重定向到相应的机子上。</p>

<p><var class="OPTION">-redirect_port</var>需要使用适当的选项传送给<span
class="CITEREFENTRY"><span class="REFENTRYTITLE">natd</span>(8)</span>。语法如下：</p>

<pre class="PROGRAMLISTING">
     -redirect_port proto targetIP:targetPORT[-targetPORT] [aliasIP:]aliasPORT[-aliasPORT] [remoteIP[:remotePORT[-remotePORT]]]
</pre>

<p>在上面的例子中，参数应该是：</p>

<pre class="PROGRAMLISTING">
    -redirect_port tcp 192.168.0.2:6667 6667 -redirect_port tcp 192.168.0.3:80 80
</pre>

<p>这就会重定向适当的<span class="emphasis"><i
class="EMPHASIS">tcp</i></span>端口到LAN上的客户端机子。</p>

<p><var class="OPTION">-redirect_port</var>
参数可以用来指出端口范围来代替单个端口。例如，<var class="REPLACEABLE">tcp
192.168.0.2:2000-3000 2000-3000</var> 就会把所有在端口2000 到 3000
上接收到的连接重定向到主机<tt class="HOSTID">A</tt>上的端口2000 到 3000。</p>

<p>当直接运行<span class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span>时，就可以使用这些选项，把它们放到<tt
class="FILENAME">/etc/rc.conf</tt>里的<var
class="LITERAL">natd_flags=""</var>选项上，或通过一个配置文件进行传送。</p>

<p>想要更多配置选项，请参考<span class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span>。</p>
</div>

<div class="SECT2">
<h2 class="SECT2"><a id="NETWORK-NATDADDRESS-REDIRECTION"
name="NETWORK-NATDADDRESS-REDIRECTION">24.8.5. 地址重定向</a></h2>

<p>
如果有几个IP地址提供，那么地址重定向就会很有用，然而他们必须在一个机子上。使用它，<span
class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span>就可以分配给每一个LAN客户端它们自己的外部IP地址。<span
 class="CITEREFENTRY"><span
class="REFENTRYTITLE">natd</span>(8)</span>然后会使用适当的处部IP地址重写从LAN客户端外出的数据包，以及重定向所有进来的数据包——一定的IP地址回到特定的LAN客户端。这也叫做静态NAT。例如，IP地址<tt
 class="HOSTID">128.1.1.1</tt>，<tt class="HOSTID">128.1.1.2</tt>和 <tt
class="HOSTID">128.1.1.3</tt> 属于 <b class="APPLICATION">natd</b> 网关机子。<tt
class="HOSTID">128.1.1.1</tt> 可以用来作<b
class="APPLICATION">natd</b>网关机子的外连IP地址，而<tt class="HOSTID">128.1.1.2</tt> 和
<tt class="HOSTID">128.1.1.3</tt> 用来转发回LAN客户端 <tt class="HOSTID">A</tt> 和 <tt
class="HOSTID">B</tt>。</p>

<p><var class="OPTION">-redirect_address</var>语法如下：</p>

<pre class="PROGRAMLISTING">
-redirect_address localIP publicIP
</pre>

<div class="INFORMALTABLE"><a id="AEN37225" name="AEN37225"></a>
<table border="0" frame="void" class="CALSTABLE">
<col />
<col />
<tbody>
<tr>
<td>localIP</td>
<td>LAN客户端的内部IP地址。</td>
</tr>

<tr>
<td>publicIP</td>
<td>相应LAN客户端的外部IP地址。</td>
</tr>
</tbody>
</table>
</div>

<p>在这个例子里，参数是：</p>

<pre class="PROGRAMLISTING">
-redirect_address 192.168.0.2 128.1.1.2 -redirect_address 192.168.0.3 128.1.1.3
</pre>

<p>象<var class="OPTION">-redirect_port</var>一样，这些参数也是放在<tt
class="FILENAME">/etc/rc.conf</tt>里的<var
class="LITERAL">natd_flags=""</var>选项上，或通过一个配置文件传送给它。使用地址重定向，就没有必要用端口重定向了，因为所有在某个IP地址上收到的数据都被重定向了。</p>

<p>在<b
class="APPLICATION">natd</b>机子上的外部IP地址必须激活并且别名到(aliased)外连接口。要这做就看看<span
 class="CITEREFENTRY"><span class="REFENTRYTITLE">rc.conf</span>(5)</span>。</p>
</div>
</div>

<div class="NAVFOOTER">
<hr align="LEFT" width="100%" />
<table summary="Footer navigation table" width="100%" border="0" cellpadding="0"
cellspacing="0">
<tr>
<td width="33%" align="left" valign="top"><a href="network-isdn.html"
accesskey="P">后退</a></td>
<td width="34%" align="center" valign="top"><a href="index.html"
accesskey="H">起点</a></td>
<td width="33%" align="right" valign="top"><a href="network-plip.html"
accesskey="N">前进</a></td>
</tr>

<tr>
<td width="33%" align="left" valign="top">ISDN</td>
<td width="34%" align="center" valign="top"><a href="advanced-networking.html"
accesskey="U">上一级</a></td>
<td width="33%" align="right" valign="top">平行线IP(PLIP)</td>
</tr>
</table>
</div>
</body>
</html>