iptable之SNAT的實現

概念：

定義：

SNAT：Source NAT(POSTROUTING鏈)：源地址轉換，請求由內網的主機發起，修改IP源，外網的目的地址不變。

做用：

在生產環境中，源地址轉換可以讓咱們公司的內網或者我的的主機能夠訪問外網並且不讓本身的私網IP地址暴露在公網中，達到既能上網有隱藏ip防止被***的做用。

 

準備環境：

準備三臺centos7的虛擬機

一臺充當內網主機，ip地址爲192.168.146.129

一臺充當NAT Server,內網接口地址是192.168.146.120，

外網接口的地址是172.18.250.98.

一臺充當外網，地址是172.18.250.195

 

實驗拓撲圖：

實驗步奏：

一、 分別centos7上的3臺主機上關閉firewad和清空iptables的nat

[root@centos7 ~]# systemctl stop firewalld

[root@centos7 ~]# iptables  -F

二、  在NDA Server 上打開內核轉發

 [root@centos7 ~]# echo 1  >/proc/sys/net/ipv4/ip_forward

三、   在內網的機器上添加內網的網關，外網添加外網對應的網關

          route add default gw 192.168.146.130  #內網

          route add default gw 172.18.250.98    #外網

四、  在NDA Server上作SNAT源地址轉換規則

         iptables -t nat -A POSTROUTING  -s 192.168.146.0/24 -j SNAT

        --to-source172.18.250.98

五、  測試

在內網的機器上測試，ping 公網的IP結果是能夠PING通外網。

用外網ping內網，是不通的，說明實驗成功了。

        [root@centos7 ~]#  ping 192.168.146.129

        connect: Network is unreachable

 

注意事項：

一、在NAT Server機器上必定要開啓內核轉發功能，就算作了策略，內網也ping不 通外網。

二、   SNAT源地址轉換NAT表對應的鏈是POSTROUTING，不是PREROUTING鏈。

三、      SNAT源地址轉換NAT是把源地址轉換成外網網關的172.18.250.98，因此規則上填入的是--to-source 172.18.250.98