iptables--SNAT、DNAT實踐

iptables--SNAT、DNAT實踐

目錄

 iptables--SNAT、DNAT實踐

1.1 SNAT代理內網上網-iptables. 3

1.1.1 環境說明... 3

1.1.2 部署過程... 3

1.2 DNAT-映射內網服務器-iptables-實現外網IP的端口映射到內網IP的端口    5

1.2.1 需求：... 5

1.2.2 實現命令... 5

1.2.3 驗證... 5

1.1 SNAT代理內網上網-iptables

1.1.1 環境說明

主機A：(能上網)
ip:內172.16.1.7/24  外10.0.0.7/24  系統CentOS 6.9
主機B：(不能上網)
ip:內172.16.1.8/24   系統CentOS 6.9

      SNAT: 改變數據包的源地址。主機A的防火牆將數據包的源地址替換爲10.0.0.7/24。這樣使網絡內部主機可以與網絡外部通訊。

 

1.1.2 部署過程

1.1.1.1 主機A：開啓內核轉發功能

#永久
vim /etc/sysctl.conf 
修改 net.ipv4.ip_forward = 1
sysctl -p

 

1.1.1.2 主機A：iptables添加SNAT規則

   映射多個外網IP上網

iptables -t nat -I POSTROUTING -s 172.16.1.0/24 -j SNAT --to 10.0.0.7
#驗證成功後-優化
service iptables save   #保存配置
chkconfig iptables on  #開機自啓

映射多個外網IP上網

方法1：
   iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16
   三層交換機或路由器，劃分VLAN。
   
方法2：
   iptables -t nat -A POSTROUTING -s 10.0.1.0/22 -o eth0 -j SNAT --to-source 124.42.60.11
   iptables -t nat -A POSTROUTING -s 10.0.2.0/22 -o eth0 -j SNAT --to-source 124.42.60.12
   擴大子網，增長廣播風暴。

1.1.1.3 主機B : 添加默認路由並驗證

[root@localhost B~]# route add default gw 10.0.0.1   #添加路由 (臨時修改)
永久修改：修改網卡配置文件
[root@localhost B~]# route -n  #查看路由
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.1.0      0.0.0.0    255.255.255.0   U     0      0        0 eth1
169.254.0.0     0.0.0.0      255.255.0.0     U     0      0        0 eth1
0.0.0.0         172.16.1.6    0.0.0.0      UG    0      0        0 eth1
驗證：
[root@localhost B~]# ping www.baidu.com
PING www.a.shifen.com (111.13.100.91) 56(84) bytes of data.
64 bytes from 111.13.100.91: icmp_seq=1 ttl=128 time=5.42 ms
64 bytes from 111.13.100.91: icmp_seq=2 ttl=128 time=5.34 ms

 

 

 

1.2 DNAT-映射內網服務器-iptables-實現外網IP的端口映射到內網IP的端口

1.2.1 需求：

將網關的IP和9000端口映射到內網服務器的22端口

   端口映射 10.0.0.7:9000 -->172.16.1.8:22

1.2.2 實現命令

1、須要開啓內核轉發功能

二、iptables -t nat -A PREROUTING -d 10.0.0.7 -p tcp --dport 9000 -i eth0 -j DNAT --to-destination 172.16.1.8:22

 

1.2.3 驗證

[f:\~]$ ssh 10.0.0.7 9000