IPCPU——网络之路 » NAT http://www.ipcpu.com Sat, 17 Jul 2010 11:04:03 +0000 en hourly 1 http://wordpress.org/?v=3.0 Linux学习笔记之LVS二NAT方式 http://www.ipcpu.com/2010/07/lvs-two-nat/ http://www.ipcpu.com/2010/07/lvs-two-nat/#comments Sat, 10 Jul 2010 12:20:13 +0000 admin http://www.ipcpu.com/?p=648 LVSLinux Virtual Server的简写,意即Linux虚拟服务器,是一个虚拟的服务

器集群系统。本项目在1998年5月由章文嵩博士成立,是中国国内最早出现的自

由软件项目之一。
章文嵩现在是淘宝基础核心软件研发负责人。

===========================
VS/NAT工作方式

这是最好理解的方式

从外部请求的数据包结构如下:

SOURCE 202.100.1.2:3456 DEST 202.103.106.5:80

调度器将目的地址和端口进行改写:

SOURCE 202.100.1.2:3456 DEST 172.16.0.3:8000

真是服务器返回数据经过调度

SOURCE 172.16.0.3:8000 DEST 202.100.1.2:3456

调度器在此更改源地址和端口,再发出去

SOURCE 202.103.106.5:80 DEST 202.100.1.2:3456

===========================

问题1:能否将80口指向RealServer的其他端口8080等?
可以,官网有例子,测试也没问题。

问题2:RealServer的网管必须指向调度器吗?
是的。如果指向其他,数据包能出去,但源地址和请求主机中的源地址对应不起

来,会被丢弃,无法通信。所以必须通过调度器进行改写源地址。

问题3:RealServer要上网的话,调度器要做NAT
必然,VS/NAT方式中,调度器充当的就是路由器的角色。

问题4:VS/NAT方式性能怎样?
由于进行地址改写,大量消耗资源,性能不好,一般不用。

问题5:NAT方式能不能把 流量抛到 其他网络上 (WAN),就像nginx的反向代理 ?
既然我们说,调度器就是路由器,那只能去调度内网接口的数据,需要被调度的资源位于内网口以内。

]]> http://www.ipcpu.com/2010/07/lvs-two-nat/feed/ 0 linux下基于ipables的NAT的配置 http://www.ipcpu.com/2010/06/linux-nat-iptables/ http://www.ipcpu.com/2010/06/linux-nat-iptables/#comments Sun, 06 Jun 2010 05:49:07 +0000 admin http://www.ipcpu.com/?p=556 iptables 是一个状态包检测防火墙stateful packet inspection。

实际上由netfilter和iptables两个组件构成。netfilter是集成在内核中的一部分,其作用是定义、保存相应的规则,而iptables是一种工具,用来修改信息的过滤规则及其他配置

netfilter是Linux核心中的一个通用架构,其提供了一系列的表(tables),每个表由若干个链(chains)组成,而每条链可以由一条或若干条规则(rules)组成。

详细的可以参见  参考资料 1  2

环境:linux .winxp两台
Linux eth2:ip:10.1.10.251  接外网

linux eth1:ip:6.6.6.6    接内网(winxp)

1、配置默认策略

开启转发:修改/etc/sysctl.conf的net.ipv4.ip_forward=1
#不要修改/proc/sys/net/ipv4/ip_forward重启不保存

iptables -F:清空所选链中的规则,如果没有指定链则清空指定表中所有链的规则
iptables -X:清除预设表filter中使用者自定链中的规则
iptables -Z:清除预设表filter中使用者自定链中的规则

iptables -P INPUT DROP
iptables -P FORWARD DROP

2.允许环回

iptables -A INPUT -i lo -j ACCEPT

3.连接状态设置

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT

4.实施NAT

iptables -t nat -A POSTROUTING -j MASQUERADE
#此设置比较危险,推荐按照入接口,源地址,出接口进行NAT
#该设置会使所有接口都成为NAT入接口包括eth2

5.允许内部上网

iptables -A FORWARD -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -p tcp –dport 53 -j ACCEPT
iptables -A FORWARD -p udp –dport 53 -j ACCEPT

6.保存
iptables-save或service iptables save
7.测试,ok,QQ能上,网页能上
参考资料:
1.http://redking.blog.51cto.com/27212/143185
2.http://linux.vbird.org/linux_server/0250simple_firewall.php

]]> http://www.ipcpu.com/2010/06/linux-nat-iptables/feed/ 4 企业网常用NAT配置 http://www.ipcpu.com/2010/05/smb-nat-configure/ http://www.ipcpu.com/2010/05/smb-nat-configure/#comments Tue, 04 May 2010 10:58:27 +0000 admin http://www.ipcpu.com/?p=492 1.动态NAT(PAT)和静态NAT

企业边缘路由器配置
interface FastEthernet0/0
 ip address 1.1.1.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 2.2.2.1 255.255.255.0
 ip nat outside
 duplex auto
 speed auto
!配置入口和出口
ip nat inside source static 1.1.1.2 2.2.2.11
!静态NAT
ip nat pool xixi 2.2.2.101 2.2.2.110 netmask 255.255.255.0
ip nat inside source list 1 pool xixi overload
!动态NAT(PAT)先定义ACL和NAT pool 做映射即可
access-list 1 permit 1.1.1.0 0.0.0.255
!ACL,实际根据需要可以只放行HTTP
ip route 0.0.0.0 0.0.0.0 2.2.2.2
!默认路由不做不行啊

2.外网口使用连接地址(一般为私有地址)
出口和NAT的地址不在同一网段,一般这种情况发生在光纤入户企业,拥有一段公网IP地址
假设为202.102.134.0/29,ISP将此段地址静态路由指过来了

ISP配置
ip route 202.102.134.0 255.255.255.248 10.1.10.2
企业边缘路由器配置:

interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!入口
interface FastEthernet0/1
 ip address 10.1.10.2 255.255.255.0
 ip nat outside
 duplex auto
 speed auto
!出口

ip route 0.0.0.0 0.0.0.0 10.1.10.1
!这个不做不行呀!
ip nat pool haha 202.102.134.3 202.102.134.6 netmask 255.255.255.248
ip nat inside source list 1 pool haha overload
ip nat inside source static 192.168.0.2 202.102.134.1
!
access-list 1 permit 192.168.0.0 0.0.0.255
!ACL

上述情况中如果发布一台web服务器,192.168.0.2(202.102.134.1),很显然DNS解析到202.102.134.1(有钱的可以弄个智能DNS解析,根据源地址不同做不同解析),我们看一下这个过程。

内网192.168.0.3 访问202.102.134.1  数据包到达路由器查看路由表:
Gateway of last resort is 10.1.10.1 to network 0.0.0.0

     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.10.0 is directly connected, FastEthernet0/1
C    192.168.0.0/24 is directly connected, FastEthernet0/0
S*   0.0.0.0/0 [1/0] via 10.1.10.1
Router#
很显然数据包发往ISP路由器,ISP有去往202.102.134.0/29的路由,又指了回来。正常访问,而本文刚开始的第一种情况就不行。

实际工程中,很多企业会在内网口f0/0绑一个公网地址做网关,然后内网的电脑就可以配公网IP了。
这只是其中一种方式,有些网吧,内网用公网地址,都不用做NAT的。

]]> http://www.ipcpu.com/2010/05/smb-nat-configure/feed/ 0 Fedora11下NAT用户接入IPv6实战 http://www.ipcpu.com/2009/10/fedora-nat-ipv6/ http://www.ipcpu.com/2009/10/fedora-nat-ipv6/#comments Wed, 14 Oct 2009 08:42:58 +0000 admin http://www.ipcpu.com/?p=161 xixi1

上个月写了一篇关于ipv6接入的文章,《普通NAT用户接入ipv6的方法,体验IPv6》 效果不错,但无奈Google排名却看不见,歧视呀。。。

这次就不到处转载了,言归正传,关于一些基本问题,可以从前面那篇文章中找到,这里只谈fedora11下的安装和使用:

1.去下载rpm包,你想用源码也可以。

下载地址:点我进入(下载不了的,请留言!)

2.安装rpm包

[root@localhost 桌面]# rpm -ivh freenet6-6.0-3.fc11.i586.rpm

没出错就OK了。

3.配置

[root@localhost 桌面]# vi /etc/freenet6/gw6c.conf

只需修改两个地方

server=tb.ipv6.apol.com.tw
#server=authenticated.freenet6.net

# Tunnel Encapsulation Mode:
#   v6v4:    IPv6-in-IPv4 tunnel.
#   v6udpv4: IPv6-in-UDP-in-IPv4 tunnel (for clients behind a NAT).
#   v6anyv4: Lets the broker choose the best mode for IPv6 tunnel.
#   v4v6:    IPv4-in-IPv6 tunnel.
#
#   Recommended value: v6anyv4
#
tunnel_mode=v6udpv4

别滴不要动了,vi下的查找好像是:/word

保存!

4.启动服务

[root@localhost freenet6]# /etc/init.d/freenet6 start
正在启动 gw6c:                                            [确定]

5.查看IP地址(只显示部分)

[root@localhost freenet6]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:16:EC:59:A7:88
inet addr:10.1.10.157  Bcast:10.1.10.255  Mask:255.255.255.0
inet6 addr: fe80::216:ecff:fe59:a788/64 Scope:Link
(output omitted…)
tun       Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet6 addr: 2001:f10:5001:d907::2/128 Scope:Global
UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1280  Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:344 (344.0 b)  TX bytes:0 (0.0 b)

很明显了:2001:f10:5001:d907::2/128

6.开个网页看看

http://www.ipv6.org/

xixi

参考资料:
http://www.linuxjournal.com/article/5988
http://www.ghiapet.net

]]> http://www.ipcpu.com/2009/10/fedora-nat-ipv6/feed/ 1 普通NAT用户接入ipv6的方法,体验IPv6 http://www.ipcpu.com/2009/09/nat-ipv6-user/ http://www.ipcpu.com/2009/09/nat-ipv6-user/#comments Fri, 11 Sep 2009 11:37:25 +0000 admin http://www.ipcpu.com/?p=51 nat

今天是2009-09-11,昨天是教师节,在这里祝愿天下的老师身体健康,永远快乐!

2009年对ipv6来说是不平凡的一年,因为普通的ADSL用户都可以使用ipv6了。只要你用的网通电信ADSL,直接连到电脑拨号的而不是通过路由器(市面上大多数宽带路由器都不支持ipv6)都可以使用ipv6。WinXP用户在运行cmd后,输入“ipv6 install”即可体验,输入“ipconfig”可以查看地址。如图:

09091221267cdfc0774018a4b9

上图为网通ADSL用户,接入IPv6地址为2002:XXX为6to4地址。

接下来你就可以打开浏览器,上ipv6相关的网站了(ie6不支持ipv6,请升级至ie7,火狐Opera默认支持)。相关的资源可以Google一下。

_r1_c1

上图中,网站www.kame.net,ipv6用户或看到游动的乌龟,而ipv4用户看到的是静止的。

好了,不多说了,今天的主题是NAT用户,也就是那些路由器背后的网民,国内ipv4资源较为紧张,存在着大批的NAT上网用户,对于这些用户来说ISATAP和6to4都是行不通的(ISATAP需要有公网地址),这些用户就可以使用Teredo【rfc 4380】接入或者Tunnel Broker【rfc 3053】接入。

目前国际上采用Tunnel Broker的比较多,台湾的技术已经比较成熟,有很多的tb。国内的上海交大Tunnel Broker已关闭,浙大的测试失败。

具体的使用方法如下:

1.运行cmd 输入“ipv6 install”安装IPv6。

2.下载并安装Tunnel Broker Client客户端应用程序。下载地址

3.配置客户端Tunnel Mode为IPv6-in-IPv4 Tunnel (NAT Traversal)

_222r1_c1

3.配置相应服务器地址和用户名密码。一般为匿名。

4.连接,接入成功后会与提示。

_2222222r1_c1

详细的配置可以参照http://www.apol.com.tw/ipv6/ipv6-tb-4.html【亚太电信】

这里提供一些可以使用的tb服务器地址:

亚太电信集团:tb.ipv6.apol.com.tw(有可能不稳定)
Seednet IPv6 Tunnel Broker:goipv6.seed.net.tw
TWNIC IPv6 Tunnel Broker(備援):192.72.72.17

好了,去体验ipv6吧!!

http://www.ipv6.sparqnet.net/index.htm
http://www.mw.net.tw/user/ipv6/

]]> http://www.ipcpu.com/2009/09/nat-ipv6-user/feed/ 0