24、网络连接、NAT 与防火墙配置全解析

网络连接、NAT 与防火墙配置全解析

1. 网络连接与私有网络

当路由器拥有第三个带有互联网上行链路的网络接口时，特定配置可让两个子网中的所有主机访问互联网，因为它们将路由器设为默认网关。但问题在于，像 10.23.2.4 这类 IP 地址属于私有网络，无法被整个互联网识别。为实现与互联网的连接，需在路由器上配置网络地址转换（NAT）。

1.1 私有网络选择

若要创建自己的网络，选择 IP 子网时，可向 ISP 购买公网地址块，但因 IPv4 地址有限，成本高且仅适用于搭建对外可见的服务器。多数人作为客户端访问互联网，可选择 RFC 1918/6761 文档中定义的私有子网，如下表所示：
| 网络 | 子网掩码 | CIDR 格式 |
| — | — | — |
| 10.0.0.0 | 255.0.0.0 | 10.0.0.0/8 |
| 192.168.0.0 | 255.255.0.0 | 192.168.0.0/16 |
| 172.16.0.0 | 255.240.0.0 | 172.16.0.0/12 |

除非计划在单个网络中拥有超过 254 个主机，否则可选择如 10.23.2.0/24 这样的小子网。不过，互联网上的主机对私有子网一无所知，不会向其发送数据包，因此需要路由器来填补私有网络与互联网之间的连接空白。

1.2 NAT 工作原理

NAT 是共享单个 IP 地址与私有网络的常用方式，在家庭和小型办公室网络中几乎通用。在 Linux 中，多数人使用的 NAT 变体是 IP 伪装。其基本原理是路由器不仅在子网间传输数据包，还会在传输前对其进行转换