如何设置nat？

假设某公司申请DDN专线时，电信提供的合法地址为61.138.0.93/30，61.128.0.94/30，公司内部网络地址为192.168.0.0/24，路由器局域口地址192.168.0.254/24，广域口地址61.138.0.93/30，

当192.168.0.1/24这台计算机向INTERNET上的服务器202.98.0.66发出请求，则相应的操作过程如下：

⑴内部主机192.168.0.1/24的用户发出到INTERNET上主机202.98.0.66的连接请求

⑵边界路由器从内部主机接到第一个数据包时会检查其NAT映射表，如果还没有为该地址建立地址转换映射，路由器便决定为该地址进行地址转换，路由器为该内部地址192.168.0.1到合法IP地址61.138.0.93的映射，同时附加端口信息，以区别与内部其他主机的映射。

⑶边界路由器用合法IP地址61.138.0.93及某端口号来替换内部IP地址192.168.0.1和对应的端口号，并转发该数据包。

⑷INTERNET服务器202.98.0.66接到该数据包，并以该包的地址(61.138.0.93)来对内部主机192.168.0.1作出应答。

⑸当边界路由器接受到目的地址为61.138.0.93的数据包时路由器将使用该IP地址、端口号从NAT的映射表中查找出对应的内部地址和端口号，然后将数据包的目的地址转化为内部地址192.168.0.1，并将数据包发送到该主机。对于每一个请求路由器都重复2-5的步骤。

NAT的功能就是指将使用私有地址的网络与公用网络INTERNET相连，使用私有地址的内部网络通过NAT路由器发送数据时，私有地址将被转化为合法注册的IP地址从而可以与INTERNET上的其他主机进行通讯。

NAT路由器被置于内部网和INTERNET的边界上并且在把数据包发送到外部网络前将数据包的源地址转换为合法的IP地址。当多个内部主机共享一个合法IP地址时，地址转换是通过端口多路复用即改变外出数据包的源端口并进行端口映射完成。

1、 静态nat，一对一转换

2、 动态nat：多对多转换

3、 napt：多对1端口转换

【RTA】nat address-group 1 200.10.10.1 200.10.10.1

【RTA】acl 2000

【RTA-acl-basic-2000】rule permit source 192.168.1.0 0.0.0.255

【RTA-GigabitEthernet0/0/0】nat outbound 2000 address-group 1

4、easy ip：出接口多对1端口转换

5、 nat服务器（NAT Server用于外网用户需要使用固定公网IP地址访问内部服务器的情形，目测与静态nat区别是可以做端口转换）

在什么情况下使用NAT

与无类域间路由选择( CIDR) 一样，最初开发NAT 也旨在推迟可用IP 地址空间耗尽的时间，这是通过使用少量公有IP地址表示众多私有IP 地址实现的。但随后人们发现，在网络迁移和合并、服务器负载均衡以及创建虚拟服务器方面， NAT 也是很有用的工具。

NAT 确实可减少联网环境所需的公有IP地址数在两家使用相同内部编址方案的公司合并时，NAT 也提供了便利的解决方案在公司更换因特网服务提供商(ISP )，而网络管理员又不想修改内部编址方案时， NAT 也能提供很好的解决方案。

下面是NAT 可提供帮助的各种情形:

需要连接到因特网，但主机没有全局唯一的IP 地址

更换的ISP 要求对网络进行重新编址

需要合并两个使用相同编址方案的内联网

NAT 转发软路由

开启 NAT 转发之后，只要本机可以上网，不论是单网卡还是多网卡，局域网内的其他机器可以将默认网关设置为已开启 NAT 转发的服务器 IP ，即可实现上网。

信任所有连接，并且开放NAT（一句完成）

firewall-cmd --zone=trusted --add-interface=ens33 --permanent

firewall-cmd --permanent --zone=public --add-masquerade

firewall-cmd --zone=public --add-port=80/tcp --permanent

firewall-cmd --query-masquerade

firewall-cmd --remove-masquerade

端口转发

端口转发可以将指定地址访问指定的端口时，将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机，如果指定了 ip 却没指定端口，则默认使用来源端口。

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080

irewall 能将不同的网络连接归类到不同的信任级别，Zone 提供了以下几个级别

drop: 丢弃所有进入的包，而不给出任何响应

block: 拒绝所有外部发起的连接，允许内部发起的连接

public: 允许指定的进入连接

external: 同上，对伪装的进入连接，一般用于路由转发

dmz: 允许受限制的进入连接

work: 允许受信任的计算机被限制的进入连接，类似 workgroup

home: 同上，类似 homegroup

internal: 同上，范围针对所有互联网用户

trusted: 信任所有连接

转发： https://www.cnblogs.com/ahuo/p/9876555.html

---