指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086

Slides:



Advertisements
Similar presentations
ChinaUNIX 技术沙龙 iptables 基础及模块高级应用 marsaber 西安.
Advertisements

09 防火牆與 NAT 伺服器.
上海市党员党组织管理信息系统 培训讲义.
计算机文化基础教学课件 计算机网络基础.
第10章 局域网与Internet互联 RCNA_T010.
项目6.1:计算机网络基础 项目描述 能力目标 应用网络可以工作、学习,网络影响着我们的生活,了解网络知识、培养信息技术的水平和能力是工作和生活的需要。 通过对概念的理解,培养信息分析、辨别能力, 学会使用信息技术工作、学习。
校園網路管理實電務 電子計算機中心 謝進利.
Netman Linux 的防火牆設計與應用 Netman
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
网络地址转换(NAT) 及其实现.
Mobile IP Mar.14,’03 B 黃品甄 B 范哲瑋.
Hadoop 單機設定與啟動 step 1. 設定登入免密碼 step 2. 安裝java step 3. 下載安裝Hadoop
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
文档维护者:白金(platinum)、陈绪(bjchenxu)
主題五 CPU Learning Lab.
第四組 停車場搜尋系統 第四組 溫允中 陳欣暉 蕭積遠 李雅俐.
通訊協定 OSI分層模式 與 TCP/IP協定
Transparent proxy 班級:資傳四A 組員:林佳辰 陳星宇 邱鈺翔
TCP協定 (傳輸層).
第 6 章 通訊協定 UDP.
NetFilter IPTables.
P2P通信之 ——UDP穿越NAT方案的讨论
Wireless and Mobile Multimedia Networks
基 礎 網 路 管 理 台東大學電算中心 郭俊賢 技術師.
HiNet 光世代非固定制 用戶端IPv6設定方式說明
在NS-2上模擬多個FTP連線,觀察頻寬的變化
指導老師:溫翔安 組員:溫允中 蕭積遠 陳昕暉 李雅俐
家用網路所遇到的問題 與解決方案 演講者:徐子浩 指導老師:梁明章 老師.
远程诊断技术及设备 ---今日坐拥明日之选.
Windows 2003 server 進階介紹 麋鹿.
Echo Server/Client Speaker:Fang.
TCP/IP介紹 講師:陳育良 2018/12/28.
無線路由器(AP)管理.
連結資料庫管理系統.
江西财经大学信息管理学院 《组网技术》课程组
校園網路使用及故障排除 南投區網中心與NCNU TWAREN GigaPOPs 合辦之資訊安全研討會議
指導教授:【李博明】老師 組員: 4A13A017 紀家郁 4A 邱建傑 4A 白智仁 4A 簡宗胤
FTP檔案上傳下載 實務與運用.
IP, Port, Router and Port forward
網頁切換移轉 JS vs. ASP.NET.
DHCP for W2K.
Linux防火牆與NAT架設 2013/02/03.
Linux作業系統 電腦教室Linux使用說明.
3-page Introduction of Firewall, NAT, and VPN
Firewall-pfsense Mars Su
Partial-Reliable TCP Protocol over Sensor Networks
期末專題報告 組員:溫允中 陳欣暉 蕭積遠 李雅俐.
防火墙.
计算机网络概述 计算机网络原理与技术.
網頁資料知多少? 事 實 ? 謠言?.
電子量角器 撰寫人:董瑩蟬.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
探測工具:NetCat.
(Mobile User music–Sharing Innovation Center)
Linux CentOS 6.0 安裝教學 講師:趙力緯.
指導老師:蔡德明 組員:李承鴻、林啟哲、李平、徐啟閎
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
基本指令.
IP Layer Basics, Firewall, VPN, and NAT
ZigBee PRO教學系統 CC2530 實驗.
Cloud Operating System - Unit 03: 雲端平台建構實驗
班級:博碩子一甲 授課老師:鐘國家 助教:陳國政
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
ARP攻擊 A 吳峻誠.
網路安全技術期末報告 ICMP協定 學生 : A 黃昱儒.
第四組 停車場搜尋系統 第四組 溫允中 陳欣暉 蕭積遠 李雅俐.
Homework 3.
DNS (Domain Name System)
Department of Computer Information Science, NCTU
Presentation transcript:

指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086 NAT 伺服器 指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086

摘要 內部 LAN 有任何一部主機想要傳送封包出去時 來源 NAT, SNAT 目標 NAT, DNAT

NAT 伺服器的設定 NAT 的全名是 Network Address Translation,字面上的意思是『網路位址的轉換』。由字面上的意思我們來想一想, TCP/IP 的網路封包上面有 IP 位址,那 IP 位址不是有來源與目的嗎?我們的 iptables 指令就能夠修改 IP 封包的表頭資料, 連目標或來源的 IP 位址都可以修改。甚至連 TCP 封包表頭的 port number 也能修改。

單一網域,僅有一個路由器的環境示意圖 NAT 伺服器功能可以達到類似下圖所介紹類似 IP 分享的功能,然而不同的功能取決於我們的 NAT 是修改: (1)來源 IP 還是 (2)目標 IP。

封包如何透過 Linux 主機

內部 LAN 有任何一部主機想要傳送封包出去時 那這個封包要如何透過 Linux 主機而傳送出去? 1.先經過 NAT table 的 PREROUTING 鏈 2.經由路由判斷確定這個封包是要進入本機與否,若不進入本機,則下一步 3.再經過 Filter table 的 FORWARD 鏈 4.通過 NAT table 的 POSTROUTING 鏈,最後傳送出去。

PREROUTING 與 POSTROUTING 重點在於修改 IP !但是這兩條鏈修改的 IP 是不一樣的! POSTROUTING 在修改來源 IP ,PREROUTING 則在修改目標 IP 。 由於修改的 IP 不一樣,所以就稱為來源 NAT (Source NAT, SNAT) 及目標 NAT (Destination NAT, DNAT)。

來源 NAT, SNAT 修改封包表頭的『來源』項目  Linux 主機就是 IP 分享器,那麼他是如何達到 IP 分享的功能?就是透過 NAT 中的 POSTROUTING 來處理的,那麼 NAT 伺服器是如何處理這個封包的呢? 假設:用戶端192.168.1.100主機,連結到YAHOO時,封包表頭會如何變化?

SNAT 封包傳送出去 1.用戶端所發出的封包表頭中,來源會是192.168.1.100 ,然後傳送到 NAT 這部主機。 2.NAT 這部主機的內部介面 (192.168.1.2) 接收到這個封包後,會主動分析表頭資料, 因為表頭資料顯示目的並非 Linux 本機,所以開始經過路由, 將此封包轉到可以連接到 Internet 的 Public IP 處 3.由於 private IP 與 public IP 不能互通,所以 Linux 主機透過 iptables 的 NAT table 內的 Postrouting 鏈將封包表頭的來源偽裝成為 Linux 的 Public IP ,並且將兩個不同來源 (192.168.1.100 及 public IP) 的封包對應寫入暫存記憶體當中, 然後將此封包傳送出去了

SNAT 封包傳送出去的示意圖

如果 Internet 回傳封包呢? 又會怎麼作? 1.在 Internet 上面的主機接到這個封包時,會將回應資料傳送給那個 Public IP 的主機。 2.當 Linux NAT 伺服器收到來自 Internet 的回應封包後,會分析該封包的序號,並比對剛剛記錄到記憶體當中的資料, 由於發現該封包為後端主機之前傳送出去的,因此在 NAT Prerouting 鏈中,會將目標 IP 修改成為後端主機,亦即那部 192.168.1.100,然後發現目標已經不是本機 (public IP), 所以開始透過路由分析封包流向。 3.封包會傳送到 192.168.1.2 這個內部介面,然後再傳送到最終目標 192.168.1.100 機器上去!

SNAT 封包接收的示意圖

目標 NAT, DNAT 修改封包表頭的『目標』項目 SNAT 主要是應付內部 LAN 連接到 Internet 的使用方式,至於 DNAT 則主要用在內部主機想要架設可以讓 Internet 存取的伺服器 假設:我的內部主機 192.168.1.210 啟動了 WWW 服務,這個服務的 port 開啟在 port 80 , 那麼 Internet 上面的主機 (61.xx.xx.xx) 要如何連接到我的內部伺服器呢? 得要透過 Linux NAT 伺服器!所以這部 Internet 上面的機器必須要連接到我們的 NAT 的 public IP 才行。

DNAT 的封包傳送 1.外部主機想要連接到目的端的 WWW 服務,則必須要連接到我們的 NAT 伺服器上頭。 2.我們的 NAT 伺服器已經設定好要分析出 port 80 的封包,所以當 NAT 伺服器接到這個封包後, 會將目標 IP 由 public IP 改成 192.168.1.210 ,且將該封包相關資訊記錄下來,等待內部伺服器的回應。 3.上述的封包在經過路由後,來到 private 介面處,然後透過內部的 LAN 傳送到 192.168.1.210 上頭! 4.192.186.1.210 會回應資料給 61.xx.xx.xx ,這個回應當然會傳送到 192.168.1.2 上頭去。 5.經過路由判斷後,來到 NAT Postrouting 的鏈,然後透過剛剛第二步驟的記錄,將來源 IP 由 192.168.1.210 改為 public IP 後,就可以傳送出去了!

DNAT 的封包傳送示意圖 其實整個步驟就等於 SNAT 的反向傳送!這就是 DNAT !

感謝指導