第二章 iptables防火墙SNAT与DNAT
1 SNAT
1.1 SNAT原理与应用
1.2 SNAT工作原理
数据包从内网发送到公网时,SNAT会把数据包的源IP由私网IP转换成公网IP
当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP
1.3 SNAT转换前提条件
2.Linux网关开启IP路由转发
linxu系统本身是没有转发功能只有路由发送数据
2 SNAT示例
2.1 网关
2.1.1 网关服务器配置网卡
*添加一个网卡并设置为仅主机模式*
*新加网卡为ens36*
*配置ens36网卡*
*重启网卡服务并进行联通测试*
2.1.2 开启SNAT命令
vim /etc/ sysctl. conf
net. ipv4.ip_ forward=1
sysctl -p
2.2 内网服务器端配置
*网卡配置*
*重启网卡服务并进行联通测试*
启动httpd服务
*编写httpd html*
2.3 服务器端配置
*网络连接改为仅主机*
2.4 网卡服务器端添加规则
*先清除所有规则*
*在nat表中添加SNAT规则*
2.5 SNAT 测试
*内网ping端*
*查看访问日志*
3 DNAT
继上面SNAT的操作后…
3.1 网卡服务器端添加规则
*先清除所有规则*
*在nat表中添加DNAT规则*
3.2 DNAT 测试
*查看访问日志*
MASQUERADE的含义
在iptables中有着和SNAT相近的效果,但也有一些区别。
1、如下命令表示把所有20.5.0.0网段的数据包snat成192.168.111.3的ip然后发出去:
iptables -t nat -A POSTROUTING -s 20.5.0.0/255.255.255.0 -o eth0 -j snat --to-source 192.168.111.3
2、如下命令表示把所有20.5.0.0网段的数据包snat成192.168.111.3/192.168.111.4/192.168.111.5等几个ip然后发出去
iptables -t nat -A POSTROUTING -s 20.5.0.0/255.255.255.0 -o eth0 -j snat --to-source 192.168.111.3-192.168.111.5
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE