Red Hat Enterprise Linux网络安全与配置指南
1. 网络地址转换(NAT)与IP伪装
网络地址转换(NAT)是一种重要的网络技术,它允许隐藏内部网络中连接到互联网的计算机的IP地址。NAT会将数据包的源地址替换为防火墙计算机的IP地址,防火墙计算机同时作为内部网络与互联网之间的网关。源地址会被缓存在网关上,这样网关就能知道是哪台计算机发起了请求。
当防火墙接收到如网页这样的数据时,过程会反转。数据包通过防火墙时,会在缓存中识别出原始发起计算机,然后相应地修改每个数据包的头部,再将数据包发送出去。
NAT有诸多优点,比如隐藏内部IP地址能增加网络的安全性,使他人更难入侵网络;同时,NAT允许计算机在没有为每台计算机分配官方IP地址的情况下连接到互联网,这使得可以在内部局域网中使用私有IP地址。在Linux环境中,这种过程被称为IP伪装。
1.1 IP伪装的配置
Red Hat Enterprise Linux支持一种名为IP伪装的NAT变体。IP伪装允许使用单个官方分配的IP地址为多台计算机提供互联网访问,它能将多个内部IP地址映射到一个有效的外部IP地址。
要使用IP伪装将多个系统连接到互联网,需要按以下步骤进行配置:
1. 将官方IP地址分配给直接连接到互联网的网卡。
2. 为局域网中的计算机分配第1章中描述的私有IP地址之一。
3. 为连接到局域网的防火墙网卡保留一个私有IP地址。
4. 使用iptables设置IP伪装。
5. 在防火墙计算机上启用IP转发。
6. 将防火墙计算机的IP地址配置为局
